Расширенная постоянная угроза

Расширенная постоянная угроза ( APT ) — это скрытый субъект угрозы , обычно государство или спонсируемая государством группа, которая получает несанкционированный доступ к компьютерной сети и остается незамеченной в течение длительного периода. ^{[ 1 ] [ 2 ]} В последнее время этот термин может также относиться к группам, не спонсируемым государством, осуществляющим крупномасштабные целевые вторжения с конкретными целями. ^{[ 3 ]}

Мотивы таких субъектов угроз обычно носят политический или экономический характер. ^{[ 4 ]} В каждом крупном бизнес-секторе зафиксированы случаи кибератак со стороны продвинутых субъектов с конкретными целями, будь то воровать, шпионить или разрушать. Эти целевые сектора включают правительство, оборону , финансовые услуги , юридические услуги , промышленность , телекоммуникации , потребительские товары и многие другие. ^{[ 5 ] [ 6 ] [ 7 ]} Некоторые группы используют традиционные шпионажа векторы , включая социальную инженерию , человеческий интеллект и проникновение , чтобы получить доступ к физическому местоположению для проведения сетевых атак. Целью этих атак является установка специального вредоносного ПО (вредоносного программного обеспечения) . ^{[ 8 ]}

APT-атаки на мобильные устройства также стали серьезной проблемой, поскольку злоумышленники могут проникать в облачную и мобильную инфраструктуру, чтобы подслушивать, красть и подделывать данные. ^{[ 9 ]}

Среднее время пребывания, то есть время, в течение которого APT-атака остается незамеченной, сильно различается в зависимости от региона. FireEye сообщила, что среднее время пребывания в 2018 году в Северной и Южной Америке составило 71 день, в регионе EMEA — 177 дней и в Азиатско-Тихоокеанском регионе — 204 дня. ^{[ 5 ]} Такое длительное время пребывания дает злоумышленникам значительное количество времени для прохождения цикла атаки, распространения и достижения своих целей.

Определения того, что такое APT, могут различаться, но их можно резюмировать с помощью названных требований ниже:

• Продвинутый уровень : операторы, стоящие за угрозой, имеют в своем распоряжении полный спектр методов сбора разведывательной информации. Они могут включать коммерческие технологии и методы компьютерного вторжения с открытым исходным кодом, но могут также включать в себя разведывательный аппарат государства. Хотя отдельные компоненты атаки не могут считаться особенно «продвинутыми» (например, компоненты вредоносного ПО , созданные из общедоступных комплектов для самостоятельной сборки вредоносных программ или использование легко приобретаемых материалов для эксплойтов), их операторы обычно могут получить доступ к более продвинутым компонентам и разработать их. инструменты по мере необходимости. Они часто комбинируют несколько методов, инструментов и приемов таргетинга, чтобы достичь и скомпрометировать свою цель, а также сохранить к ней доступ. Операторы также могут демонстрировать намеренное внимание к операционной безопасности, что отличает их от «менее продвинутых» угроз. ^{[ 3 ] [ 10 ] [ 11 ]}
• Настойчивость – у операторов есть конкретные цели, а не оппортунистический поиск информации для получения финансовой или другой выгоды. Это различие подразумевает, что злоумышленники руководствуются внешними объектами. Таргетирование осуществляется посредством постоянного мониторинга и взаимодействия для достижения поставленных целей. Это не означает шквал постоянных атак и обновлений вредоносного ПО. На самом деле подход «низко и медленно» обычно более успешен. Если оператор теряет доступ к своей цели, он обычно пытается получить доступ повторно, и чаще всего успешно. Одна из целей оператора — поддерживать долгосрочный доступ к цели, в отличие от угроз, которым доступ нужен только для выполнения конкретной задачи. ^{[ 10 ] [ 12 ]}
• Угроза. APT представляют собой угрозу, поскольку у них есть как возможности, так и намерения. APT-атаки выполняются скоординированными действиями человека, а не бессмысленными и автоматизированными фрагментами кода. Операторы имеют конкретную цель и являются квалифицированными, мотивированными, организованными и хорошо финансируемыми. Действующие лица не ограничиваются группами, спонсируемыми государством. ^{[ 3 ] [ 10 ]}

Предупреждения против целевых, социально-инженерных электронных писем, содержащих трояны для кражи конфиденциальной информации, были опубликованы организациями CERT Великобритании и США в 2005 году. Этот метод использовался в начале 1990-х годов и сам по себе не является APT. Термин «развитая постоянная угроза» был придуман ВВС США в 2006 году. ^{[ 13 ]} полковник Грег Рэттрей упоминается как человек, придумавший этот термин. ^{[ 14 ]}

Компьютерный Stuxnet червь , нацеленный на компьютерное оборудование ядерной программы Ирана , является одним из примеров APT-атаки. В этом случае иранское правительство может рассматривать создателей Stuxnet как серьезную постоянную угрозу. ^{[ нужна ссылка ] [ 15 ]}

В сообществе компьютерной безопасности и все чаще в средствах массовой информации этот термин почти всегда используется в отношении долгосрочной модели эксплуатации сложных компьютерных сетей, направленной против правительств, компаний и политических активистов, и, в более широком смысле, также для приписывания A , P и T атрибуты групп, стоящих за этими атаками. ^{[ 16 ]} Термин «усовершенствованная постоянная угроза» (APT) может сместить акцент на компьютерный взлом из-за растущего числа случаев. PC World сообщил о росте на 81 процент с 2010 по 2011 год количества особо сложных целевых компьютерных атак. ^{[ 17 ]}

используется Во многих странах киберпространство как средство сбора разведывательной информации об отдельных лицах и группах лиц, представляющих интерес. ^{[ 18 ] [ 19 ] [ 20 ]} Киберкомандованию США поручено координировать наступательные и оборонительные кибероперации американских вооруженных сил . ^{[ 21 ]}

Многочисленные источники утверждают, что некоторые группы APT связаны с правительствами суверенных государств или являются их агентами . ^{[ 22 ] [ 23 ] [ 24 ]} Предприятия, хранящие большое количество личной информации, подвергаются высокому риску стать жертвой сложных постоянных угроз, в том числе: ^{[ 25 ]}

• Сельское хозяйство ^{[ 26 ]}
• Энергия
• Финансовые учреждения
• Здравоохранение
• Высшее образование ^{[ 27 ]}
• Производство
• Технология
• Телекоммуникации
• Транспорт

Исследование Bell Canada предоставило глубокие знания анатомии APT и выявило их широкое присутствие в канадском правительстве и критически важной инфраструктуре. Установлена ​​атрибуция китайским и российским актерам. ^{[ 28 ]}

Действующие лица, стоящие за продвинутыми постоянными угрозами, создают растущий и меняющийся риск для финансовых активов, интеллектуальной собственности и репутации организаций. ^{[ 29 ]} следуя непрерывному процессу или цепочке уничтожений :

1. Ориентируйтесь на конкретные организации для достижения единственной цели
2. Попытка закрепиться в среде (обычная тактика включает в себя целевую фишинговую рассылку)
3. Используйте скомпрометированные системы для доступа к целевой сети.
4. Разверните дополнительные инструменты, помогающие достичь цели атаки.
5. Прикрытие для сохранения доступа для будущих инициатив

Глобальный ландшафт APT из всех источников иногда упоминается в единственном числе как «APT», как и ссылки на субъекта, стоящего за конкретным инцидентом или серией инцидентов, но определение APT включает как субъекта, так и метод. ^{[ 30 ]}

В 2013 году Mandiant представила результаты своего исследования предполагаемых китайских атак с использованием метода APT в период с 2004 по 2013 год. ^{[ 31 ]} которые следовали аналогичному жизненному циклу:

• Первоначальная компрометация – осуществляется с помощью социальной инженерии и целевого фишинга по электронной почте с использованием вирусов нулевого дня . Еще одним популярным методом заражения было размещение вредоносного ПО на веб-сайте, который с большой вероятностью будут посещать сотрудники жертвы. ^{[ 32 ]}
• Установите точку опоры – внедрите программное обеспечение для удаленного администрирования в сеть жертвы, создайте сетевые бэкдоры и туннели, обеспечивающие скрытый доступ к ее инфраструктуре.
• Повышение привилегий — используйте эксплойты и взлом паролей , чтобы получить права администратора на компьютере жертвы и, возможно, расширить их до учетных записей администратора домена Windows .
• Внутренняя разведка — сбор информации об окружающей инфраструктуре, доверительных отношениях, домена Windows . структуре
• Двигайтесь в сторону — расширяйте контроль над другими рабочими станциями, серверами и элементами инфраструктуры и осуществляйте сбор данных на них.
• Поддерживать присутствие — обеспечить постоянный контроль над каналами доступа и учетными данными, полученными на предыдущих этапах.
• Выполните миссию – извлеките украденные данные из сети жертвы.

В инцидентах, проанализированных Mandiant, средний период, в течение которого злоумышленники контролировали сеть жертвы, составлял один год, а самый продолжительный — почти пять лет. ^{[ 31 ]} Проникновения предположительно были осуществлены базирующимся в Шанхае подразделением 61398 Народно -освободительной армии . Китайские официальные лица отрицают свою причастность к этим нападениям. ^{[ 33 ]}

В предыдущих отчетах Secdev уже были обнаружены и замешаны китайские актеры. ^{[ 34 ]}

Существуют десятки миллионов разновидностей вредоносного ПО, ^{[ 35 ]} что делает чрезвычайно сложной задачу защиты организаций от APT. Хотя действия APT скрыты и их трудно обнаружить, сетевой трафик управления и контроля, связанный с APT, можно обнаружить на уровне сети с помощью сложных методов. Глубокий анализ журналов и корреляция журналов из различных источников имеют ограниченную полезность при обнаружении активности APT. Трудно отделить шум от законного трафика. Традиционные технологии и методы безопасности оказались неэффективными для обнаружения или смягчения последствий APT. ^{[ 36 ]} Активная киберзащита позволила повысить эффективность обнаружения и преследования APT (найти, устранить, уничтожить) при применении разведки о киберугрозах для поиска и преследования противника. ^{[ 37 ] [ 38 ]} Кибер-уязвимости, создаваемые человеком (HICV), представляют собой слабое кибер-звено, которое недостаточно изучено и не смягчено, и представляют собой значительный вектор атаки. ^{[ 39 ]}

С тех пор как Си Цзиньпин стал генеральным секретарем Коммунистической партии Китая в 2012 году, Министерство государственной безопасности получило больше ответственности за кибершпионаж по отношению к Народно-освободительной армии Китая и в настоящее время курирует различные группы APT. ^{[ 40 ]} По словам исследователя безопасности Тимо Стеффенса, «сфера APT в Китае реализуется по принципу «вся страны», используя навыки университетов, отдельных лиц, а также частного и государственного секторов». ^{[ 41 ]}

• APT1 — это PLA Unit 61398.
• APT2 — это НОАК, номер 61486.
• APT3 (также известный как Boyusec ) — Департамент государственной безопасности МСС провинции Гуандун. ^{[ 42 ]}
• APT10 (также известный как Красный Аполлон) - это Тяньцзиньское бюро государственной безопасности МСС.
• APT12 (также известная как Нумерованная Панда) — неопознанное подразделение НОАК.
• APT17 (также известная как «Заместитель собаки») — неопознанное подразделение правительства Китая. ^{[ 43 ]}
• APT18 (он же Динамит Панда или Скандий) — подразделение ВМФ Народно-освободительной армии. ^{[ 44 ]}
• APT19 (также известная как Deep Panda или C0d0so0 Team) — неопознанное подразделение китайского правительства.
• APT20 (также известная как Violin Panda или Wocao) — неопознанное подразделение китайского правительства. ^{[ 45 ] [ 46 ]}
• APT22 (также известный как Suckfly) — неопознанное подразделение китайского правительства.
• APT26 (также известный как Turbine Panda) — Департамент государственной безопасности провинции Цзянсу МСС.
• APT27 (также известный как Эмиссар Панда) — неопознанное подразделение китайского правительства. ^{[ 47 ]}
• APT30 (он же Найкон ) — подразделение НОАК .
• APT31 (он же Цирконий или Ураган Панда) — Департамент государственной безопасности МСС провинции Хубэй. ^{[ 48 ] [ 49 ] [ 50 ] [ 51 ]}
• APT40 — Департамент государственной безопасности МСС провинции Хайнань.
  • Гафний тесно связан с APT40. ^{[ 52 ] [ 53 ] [ 54 ]}
• APT41 (также известная как Double Dragon, Winnti Group или Barium) — подразделение Министерства государственной безопасности, базирующееся в Чэнду, Китай. ^{[ 55 ] [ 56 ] [ 57 ] [ 58 ] [ 44 ]}
• Световой Бассейн ^{[ 59 ] [ 60 ]} (Также известный как UNC1945)
• Драконий мост ^{[ 61 ]}
• Тропический солдат ^{[ 62 ] [ 63 ]}
• Был тайфун ^{[ 64 ]}

• Очаровательный котенок (также известный как APT35)
• Команда Elfin (также известная как APT33)
• Helix Kitten (также известный как APT34)
• Котёнок пионер ^{[ 65 ]}
• Remix Kitten (также известный как APT39, ITG07 или Chafer) ^{[ 66 ] [ 67 ]}

• Кимсуки
• Lazarus Group (также известная как APT38)
• Рикошет Чоллима (также известный как APT37)

• Берсерк Медведь
• Уютный мишка (также известный как APT29)
• Fancy Bear (также известный как APT28)
• ФИН7
• Гамаредон ^{[ 68 ]} (также известный как Примитивный Медведь ) ^{[ а ]}
• Песчаный червь
• Ядовитый медведь ^{[ 71 ]}

• StrongPity (также известный как APT-C-41 или ПРОМЕТИУМ ) ^{[ 72 ]}

• Группа уравнений ^{[ 73 ]}

• SandCat, связанный со СГБ по версии Касперского ^{[ 74 ]}

• OceanLotus (также известный как APT32 ) ^{[ 75 ] [ 76 ]}

Несколько организаций могут присваивать разные имена одному и тому же субъекту. Поскольку каждый из отдельных исследователей может иметь свои собственные оценки группы APT, такие компании, как CrowdStrike , Kaspersky , Mandiant и Microsoft , среди прочих, имеют свои собственные внутренние схемы именования. ^{[ 77 ]} На основании различных собранных данных названия разных организаций могут относиться к пересекающимся, но в конечном итоге к разным группам.

CrowdStrike распределяет животных по национальным государствам или другим категориям, например «Котенок» для Ирана и «Паук» для групп, занимающихся киберпреступностью. ^{[ 78 ]} Другие компании назвали группы на основе этой системы — например, Rampant Kitten была названа Check Point, а не CrowdStrike. ^{[ 79 ]}

Драгос основывает свои названия групп APT на минералах. ^{[ 77 ]}

Mandiant присваивает нумерованные аббревиатуры трем категориям: APT, FIN и UNC, в результате чего получаются имена APT, такие как FIN7 . Другие компании, использующие подобную систему, включают Proofpoint (TA) и IBM (ITG и Hive). ^{[ 77 ]}

Microsoft раньше присваивала имена из периодической таблицы , часто стилизованные заглавными буквами (например, КАЛИЙ ); в апреле 2023 года Microsoft изменила свою схему именования, чтобы использовать имена, основанные на погоде (например, Volt Typhoon). ^{[ 80 ]}

Списки групп APT

• Mandiant: продвинутые постоянные группы угроз
• Сообщество безопасности MITRE ATT&CK отследило страницы расширенных постоянных групп