Расширенная постоянная угроза
Расширенная постоянная угроза ( APT ) — это скрытый субъект угрозы , обычно государство или спонсируемая государством группа, которая получает несанкционированный доступ к компьютерной сети и остается незамеченной в течение длительного периода. [ 1 ] [ 2 ] В последнее время этот термин может также относиться к группам, не спонсируемым государством, осуществляющим крупномасштабные целевые вторжения с конкретными целями. [ 3 ]
Мотивы таких субъектов угроз обычно носят политический или экономический характер. [ 4 ] В каждом крупном бизнес-секторе зафиксированы случаи кибератак со стороны продвинутых субъектов с конкретными целями, будь то воровать, шпионить или разрушать. Эти целевые сектора включают правительство, оборону , финансовые услуги , юридические услуги , промышленность , телекоммуникации , потребительские товары и многие другие. [ 5 ] [ 6 ] [ 7 ] Некоторые группы используют традиционные шпионажа векторы , включая социальную инженерию , человеческий интеллект и проникновение , чтобы получить доступ к физическому местоположению для проведения сетевых атак. Целью этих атак является установка специального вредоносного ПО (вредоносного программного обеспечения) . [ 8 ]
APT-атаки на мобильные устройства также стали серьезной проблемой, поскольку злоумышленники могут проникать в облачную и мобильную инфраструктуру, чтобы подслушивать, красть и подделывать данные. [ 9 ]
Среднее время пребывания, то есть время, в течение которого APT-атака остается незамеченной, сильно различается в зависимости от региона. FireEye сообщила, что среднее время пребывания в 2018 году в Северной и Южной Америке составило 71 день, в регионе EMEA — 177 дней и в Азиатско-Тихоокеанском регионе — 204 дня. [ 5 ] Такое длительное время пребывания дает злоумышленникам значительное количество времени для прохождения цикла атаки, распространения и достижения своих целей.
Определение
[ редактировать ]Определения того, что такое APT, могут различаться, но их можно резюмировать с помощью названных требований ниже:
- Продвинутый уровень : операторы, стоящие за угрозой, имеют в своем распоряжении полный спектр методов сбора разведывательной информации. Они могут включать коммерческие технологии и методы компьютерного вторжения с открытым исходным кодом, но могут также включать в себя разведывательный аппарат государства. Хотя отдельные компоненты атаки не могут считаться особенно «продвинутыми» (например, компоненты вредоносного ПО , созданные из общедоступных комплектов для самостоятельной сборки вредоносных программ или использование легко приобретаемых материалов для эксплойтов), их операторы обычно могут получить доступ к более продвинутым компонентам и разработать их. инструменты по мере необходимости. Они часто комбинируют несколько методов, инструментов и приемов таргетинга, чтобы достичь и скомпрометировать свою цель, а также сохранить к ней доступ. Операторы также могут демонстрировать намеренное внимание к операционной безопасности, что отличает их от «менее продвинутых» угроз. [ 3 ] [ 10 ] [ 11 ]
- Настойчивость – у операторов есть конкретные цели, а не оппортунистический поиск информации для получения финансовой или другой выгоды. Это различие подразумевает, что злоумышленники руководствуются внешними объектами. Таргетирование осуществляется посредством постоянного мониторинга и взаимодействия для достижения поставленных целей. Это не означает шквал постоянных атак и обновлений вредоносного ПО. На самом деле подход «низко и медленно» обычно более успешен. Если оператор теряет доступ к своей цели, он обычно пытается получить доступ повторно, и чаще всего успешно. Одна из целей оператора — поддерживать долгосрочный доступ к цели, в отличие от угроз, которым доступ нужен только для выполнения конкретной задачи. [ 10 ] [ 12 ]
- Угроза. APT представляют собой угрозу, поскольку у них есть как возможности, так и намерения. APT-атаки выполняются скоординированными действиями человека, а не бессмысленными и автоматизированными фрагментами кода. Операторы имеют конкретную цель и являются квалифицированными, мотивированными, организованными и хорошо финансируемыми. Действующие лица не ограничиваются группами, спонсируемыми государством. [ 3 ] [ 10 ]
История и цели
[ редактировать ]Предупреждения против целевых, социально-инженерных электронных писем, содержащих трояны для кражи конфиденциальной информации, были опубликованы организациями CERT Великобритании и США в 2005 году. Этот метод использовался в начале 1990-х годов и сам по себе не является APT. Термин «развитая постоянная угроза» был придуман ВВС США в 2006 году. [ 13 ] полковник Грег Рэттрей упоминается как человек, придумавший этот термин. [ 14 ]
Компьютерный Stuxnet червь , нацеленный на компьютерное оборудование ядерной программы Ирана , является одним из примеров APT-атаки. В этом случае иранское правительство может рассматривать создателей Stuxnet как серьезную постоянную угрозу. [ нужна ссылка ] [ 15 ]
В сообществе компьютерной безопасности и все чаще в средствах массовой информации этот термин почти всегда используется в отношении долгосрочной модели эксплуатации сложных компьютерных сетей, направленной против правительств, компаний и политических активистов, и, в более широком смысле, также для приписывания A , P и T атрибуты групп, стоящих за этими атаками. [ 16 ] Термин «усовершенствованная постоянная угроза» (APT) может сместить акцент на компьютерный взлом из-за растущего числа случаев. PC World сообщил о росте на 81 процент с 2010 по 2011 год количества особо сложных целевых компьютерных атак. [ 17 ]
используется Во многих странах киберпространство как средство сбора разведывательной информации об отдельных лицах и группах лиц, представляющих интерес. [ 18 ] [ 19 ] [ 20 ] Киберкомандованию США поручено координировать наступательные и оборонительные кибероперации американских вооруженных сил . [ 21 ]
Многочисленные источники утверждают, что некоторые группы APT связаны с правительствами суверенных государств или являются их агентами . [ 22 ] [ 23 ] [ 24 ] Предприятия, хранящие большое количество личной информации, подвергаются высокому риску стать жертвой сложных постоянных угроз, в том числе: [ 25 ]
- Сельское хозяйство [ 26 ]
- Энергия
- Финансовые учреждения
- Здравоохранение
- Высшее образование [ 27 ]
- Производство
- Технология
- Телекоммуникации
- Транспорт
Исследование Bell Canada предоставило глубокие знания анатомии APT и выявило их широкое присутствие в канадском правительстве и критически важной инфраструктуре. Установлена атрибуция китайским и российским актерам. [ 28 ]
Жизненный цикл
[ редактировать ]
Действующие лица, стоящие за продвинутыми постоянными угрозами, создают растущий и меняющийся риск для финансовых активов, интеллектуальной собственности и репутации организаций. [ 29 ] следуя непрерывному процессу или цепочке уничтожений :
- Ориентируйтесь на конкретные организации для достижения единственной цели
- Попытка закрепиться в среде (обычная тактика включает в себя целевую фишинговую рассылку)
- Используйте скомпрометированные системы для доступа к целевой сети.
- Разверните дополнительные инструменты, помогающие достичь цели атаки.
- Прикрытие для сохранения доступа для будущих инициатив
Глобальный ландшафт APT из всех источников иногда упоминается в единственном числе как «APT», как и ссылки на субъекта, стоящего за конкретным инцидентом или серией инцидентов, но определение APT включает как субъекта, так и метод. [ 30 ]
В 2013 году Mandiant представила результаты своего исследования предполагаемых китайских атак с использованием метода APT в период с 2004 по 2013 год. [ 31 ] которые следовали аналогичному жизненному циклу:
- Первоначальная компрометация – осуществляется с помощью социальной инженерии и целевого фишинга по электронной почте с использованием вирусов нулевого дня . Еще одним популярным методом заражения было размещение вредоносного ПО на веб-сайте, который с большой вероятностью будут посещать сотрудники жертвы. [ 32 ]
- Установите точку опоры – внедрите программное обеспечение для удаленного администрирования в сеть жертвы, создайте сетевые бэкдоры и туннели, обеспечивающие скрытый доступ к ее инфраструктуре.
- Повышение привилегий — используйте эксплойты и взлом паролей , чтобы получить права администратора на компьютере жертвы и, возможно, расширить их до учетных записей администратора домена Windows .
- Внутренняя разведка — сбор информации об окружающей инфраструктуре, доверительных отношениях, домена Windows . структуре
- Двигайтесь в сторону — расширяйте контроль над другими рабочими станциями, серверами и элементами инфраструктуры и осуществляйте сбор данных на них.
- Поддерживать присутствие — обеспечить постоянный контроль над каналами доступа и учетными данными, полученными на предыдущих этапах.
- Выполните миссию – извлеките украденные данные из сети жертвы.
В инцидентах, проанализированных Mandiant, средний период, в течение которого злоумышленники контролировали сеть жертвы, составлял один год, а самый продолжительный — почти пять лет. [ 31 ] Проникновения предположительно были осуществлены базирующимся в Шанхае подразделением 61398 Народно -освободительной армии . Китайские официальные лица отрицают свою причастность к этим нападениям. [ 33 ]
В предыдущих отчетах Secdev уже были обнаружены и замешаны китайские актеры. [ 34 ]
Стратегии смягчения последствий
[ редактировать ]Существуют десятки миллионов разновидностей вредоносного ПО, [ 35 ] что делает чрезвычайно сложной задачу защиты организаций от APT. Хотя действия APT скрыты и их трудно обнаружить, сетевой трафик управления и контроля, связанный с APT, можно обнаружить на уровне сети с помощью сложных методов. Глубокий анализ журналов и корреляция журналов из различных источников имеют ограниченную полезность при обнаружении активности APT. Трудно отделить шум от законного трафика. Традиционные технологии и методы безопасности оказались неэффективными для обнаружения или смягчения последствий APT. [ 36 ] Активная киберзащита позволила повысить эффективность обнаружения и преследования APT (найти, устранить, уничтожить) при применении разведки о киберугрозах для поиска и преследования противника. [ 37 ] [ 38 ] Кибер-уязвимости, создаваемые человеком (HICV), представляют собой слабое кибер-звено, которое недостаточно изучено и не смягчено, и представляют собой значительный вектор атаки. [ 39 ]
APT-группы
[ редактировать ]Китай
[ редактировать ]С тех пор как Си Цзиньпин стал генеральным секретарем Коммунистической партии Китая в 2012 году, Министерство государственной безопасности получило больше ответственности за кибершпионаж по отношению к Народно-освободительной армии Китая и в настоящее время курирует различные группы APT. [ 40 ] По словам исследователя безопасности Тимо Стеффенса, «сфера APT в Китае реализуется по принципу «вся страны», используя навыки университетов, отдельных лиц, а также частного и государственного секторов». [ 41 ]
- APT1 — это PLA Unit 61398.
- APT2 — это НОАК, номер 61486.
- APT3 (также известный как Boyusec ) — Департамент государственной безопасности МСС провинции Гуандун. [ 42 ]
- APT10 (также известный как Красный Аполлон) - это Тяньцзиньское бюро государственной безопасности МСС.
- APT12 (также известная как Нумерованная Панда) — неопознанное подразделение НОАК.
- APT17 (также известная как «Заместитель собаки») — неопознанное подразделение правительства Китая. [ 43 ]
- APT18 (он же Динамит Панда или Скандий) — подразделение ВМФ Народно-освободительной армии. [ 44 ]
- APT19 (также известная как Deep Panda или C0d0so0 Team) — неопознанное подразделение китайского правительства.
- APT20 (также известная как Violin Panda или Wocao) — неопознанное подразделение китайского правительства. [ 45 ] [ 46 ]
- APT22 (также известный как Suckfly) — неопознанное подразделение китайского правительства.
- APT26 (также известный как Turbine Panda) — Департамент государственной безопасности провинции Цзянсу МСС.
- APT27 (также известный как Эмиссар Панда) — неопознанное подразделение китайского правительства. [ 47 ]
- APT30 (он же Найкон ) — подразделение НОАК .
- APT31 (он же Цирконий или Ураган Панда) — Департамент государственной безопасности МСС провинции Хубэй. [ 48 ] [ 49 ] [ 50 ] [ 51 ]
- APT40 — Департамент государственной безопасности МСС провинции Хайнань.
- APT41 (также известная как Double Dragon, Winnti Group или Barium) — подразделение Министерства государственной безопасности, базирующееся в Чэнду, Китай. [ 55 ] [ 56 ] [ 57 ] [ 58 ] [ 44 ]
- Световой Бассейн [ 59 ] [ 60 ] (Также известный как UNC1945)
- Драконий мост [ 61 ]
- Тропический солдат [ 62 ] [ 63 ]
- Был тайфун [ 64 ]
Иран
[ редактировать ]- Очаровательный котенок (также известный как APT35)
- Команда Elfin (также известная как APT33)
- Helix Kitten (также известный как APT34)
- Котёнок пионер [ 65 ]
- Remix Kitten (также известный как APT39, ITG07 или Chafer) [ 66 ] [ 67 ]
Северная Корея
[ редактировать ]- Кимсуки
- Lazarus Group (также известная как APT38)
- Рикошет Чоллима (также известный как APT37)
Россия
[ редактировать ]- Берсерк Медведь
- Уютный мишка (также известный как APT29)
- Fancy Bear (также известный как APT28)
- ФИН7
- Гамаредон [ 68 ] (также известный как Примитивный Медведь ) [ а ]
- Песчаный червь
- Ядовитый медведь [ 71 ]
Турция
[ редактировать ]- StrongPity (также известный как APT-C-41 или ПРОМЕТИУМ ) [ 72 ]
Соединенные Штаты
[ редактировать ]Узбекистан
[ редактировать ]Вьетнам
[ редактировать ]- OceanLotus (также известный как APT32 ) [ 75 ] [ 76 ]
Мы
[ редактировать ]Несколько организаций могут присваивать разные имена одному и тому же субъекту. Поскольку каждый из отдельных исследователей может иметь свои собственные оценки группы APT, такие компании, как CrowdStrike , Kaspersky , Mandiant и Microsoft , среди прочих, имеют свои собственные внутренние схемы именования. [ 77 ] На основании различных собранных данных названия разных организаций могут относиться к пересекающимся, но в конечном итоге к разным группам.
CrowdStrike распределяет животных по национальным государствам или другим категориям, например «Котенок» для Ирана и «Паук» для групп, занимающихся киберпреступностью. [ 78 ] Другие компании назвали группы на основе этой системы — например, Rampant Kitten была названа Check Point, а не CrowdStrike. [ 79 ]
Драгос основывает свои названия групп APT на минералах. [ 77 ]
Mandiant присваивает нумерованные аббревиатуры трем категориям: APT, FIN и UNC, в результате чего получаются имена APT, такие как FIN7 . Другие компании, использующие подобную систему, включают Proofpoint (TA) и IBM (ITG и Hive). [ 77 ]
Microsoft раньше присваивала имена из периодической таблицы , часто стилизованные заглавными буквами (например, КАЛИЙ ); в апреле 2023 года Microsoft изменила свою схему именования, чтобы использовать имена, основанные на погоде (например, Volt Typhoon). [ 80 ]
См. также
[ редактировать ]Примечания
[ редактировать ]- ^ активен с 2013 года, в отличие от большинства APT, Gamaredon широко нацелен на всех пользователей по всему миру (помимо того, что он фокусируется на определенных жертвах, особенно на украинских организациях). [ 69 ] ) и, судя по всему, предоставляет услуги другим APT. [ 70 ] Например, группа угроз InvisiMole атаковала отдельные системы, которые Gamaredon ранее взломал и снял отпечатки пальцев. [ 69 ]
Ссылки
[ редактировать ]- ^ «Что такое продвинутая постоянная угроза (APT)?» . www.kaspersky.com . Архивировано из оригинала 22 марта 2021 года . Проверено 11 августа 2019 г.
- ^ «Что такое продвинутая постоянная угроза (APT)?» . Циско . Архивировано из оригинала 22 марта 2021 года . Проверено 11 августа 2019 г.
- ^ Перейти обратно: а б с Мэлони, Сара. «Что такое продвинутая постоянная угроза (APT)?» . Архивировано из оригинала 7 апреля 2019 года . Проверено 9 ноября 2018 г.
- ^ Коул., Эрик (2013). Расширенная постоянная угроза: понимание опасности и способы защиты вашей организации . Сингресс. OCLC 939843912 .
- ^ Перейти обратно: а б «Тенденции кибербезопасности M-Trends» . Огненный Глаз . Архивировано из оригинала 21 сентября 2021 года . Проверено 11 августа 2019 г.
- ^ «Киберугрозы сфере финансовых услуг и страхования» (PDF) . Огненный Глаз . Архивировано из оригинала (PDF) 11 августа 2019 года.
- ^ «Киберугрозы розничной торговле и индустрии потребительских товаров» (PDF) . Огненный Глаз . Архивировано из оригинала (PDF) 11 августа 2019 года.
- ^ «Расширенные постоянные угрозы: взгляд Symantec» (PDF) . Симантек . Архивировано из оригинала (PDF) 8 мая 2018 года.
- ^ Ау, Ман Хо (2018). «Операция с персональными данными с сохранением конфиденциальности в мобильном облаке — шансы и проблемы, связанные с продвинутыми постоянными угрозами». Компьютерные системы будущего поколения . 79 : 337–349. дои : 10.1016/j.future.2017.06.021 .
- ^ Перейти обратно: а б с «Расширенные постоянные угрозы (APT)» . Управление ИТ . Архивировано из оригинала 11 августа 2019 года . Проверено 11 августа 2019 г.
- ^ «Расширенное постоянное понимание угроз» (PDF) . ТрендМикро Инк . Архивировано (PDF) из оригинала 10 июня 2016 года . Проверено 11 августа 2019 г.
- ^ «Пояснение: продвинутая постоянная угроза (APT)» . Лаборатория Малваребайтс . 26 июля 2016 г. Архивировано из оригинала 9 мая 2019 г. . Проверено 11 августа 2019 г.
- ^ «Оценка исходящего трафика для выявления сложных постоянных угроз» (PDF) . Технологический институт SANS. Архивировано из оригинала (PDF) 26 июня 2013 года . Проверено 14 апреля 2013 г.
- ^ «Представляем исследование Forrester по разведке киберугроз» . Исследования Форрестера. Архивировано из оригинала 15 апреля 2014 года . Проверено 14 апреля 2014 г.
- ^ Бейм, Джаред (2018). «Усиление запрета на международный шпионаж» . Чикагский журнал международного права . 18 : 647–672. ПроКвест 2012381493 . Архивировано из оригинала 22 мая 2021 года . Проверено 18 января 2023 г.
- ^ «Продвинутые постоянные угрозы: изучите азбу APT – Часть А» . SecureWorks . Архивировано из оригинала 7 апреля 2019 года . Проверено 23 января 2017 г.
- ^ Олавсруд, Тор (30 апреля 2012 г.). «В 2011 году количество целевых атак увеличилось, они стали более разнообразными» . Журнал ИТ-директоров . Архивировано из оригинала 14 апреля 2021 года . Проверено 14 апреля 2021 г.
- ^ «Развивающийся кризис» . БизнесУик. 10 апреля 2008 г. Архивировано из оригинала 10 января 2010 г. Проверено 20 января 2010 г.
- ^ «Новая угроза электронного шпионажа» . БизнесУик. 10 апреля 2008 г. Архивировано из оригинала 18 апреля 2011 г. . Проверено 19 марта 2011 г.
- ^ Розенбах, Марсель; Шульц, Томас; Вагнер, Виланд (19 января 2010 г.). «Google под атакой: высокая стоимость ведения бизнеса в Китае» . Дер Шпигель . Архивировано из оригинала 21 января 2010 года . Проверено 20 января 2010 г.
- ^ «Командующий обсуждает десятилетие кибермощи Министерства обороны» . МИНИСТЕРСТВО ОБОРОНЫ США . Архивировано из оригинала 19 сентября 2020 года . Проверено 28 августа 2020 г.
- ^ «Под киберугрозой: оборонные подрядчики» . Bloomberg.com . БизнесУик. 6 июля 2009 года. Архивировано из оригинала 11 января 2010 года . Проверено 20 января 2010 г.
- ^ «Понимание продвинутой постоянной угрозы» . Том Паркер. 4 февраля 2010 г. Архивировано из оригинала 18 февраля 2010 г. Проверено 4 февраля 2010 г.
- ^ «Расширенная постоянная угроза (или информатизированные силовые операции)» (PDF) . Усеникс, Майкл К. Дейли. 4 ноября 2009 г. Архивировано (PDF) из оригинала 11 мая 2021 г. . Проверено 4 ноября 2009 г.
- ^ «Анатомия продвинутой постоянной угрозы (APT)» . Делл Секьюрворкс. Архивировано из оригинала 5 марта 2016 года . Проверено 21 мая 2012 г.
- ^ Гонсалес, Хоакин Джей III; Кемп, Роджер Л. (16 января 2019 г.). Кибербезопасность: текущие статьи об угрозах и защите . МакФарланд. п. 69. ИСБН 978-1-4766-7440-7 .
- ^ Ингерман, Брет; Ян, Кэтрин (31 мая 2011 г.). «Десять главных IT-проблем 2011 года» . Обзор образования. Архивировано из оригинала 14 апреля 2021 года . Проверено 14 апреля 2021 г.
- ^ МакМахон, Дэйв; Рогозинский, Рафаль. «Проект темного космоса: оборонные исследования и разработки Канады - отчет подрядчика Центра наук о безопасности DRDC CSS CR 2013-007» (PDF) . публикации.gc.ca . Архивировано (PDF) из оригинала 5 ноября 2016 года . Проверено 1 апреля 2021 г.
- ^ «Обход сложных и уклончивых угроз вредоносного ПО» . Безопасные работы . Аналитика Secureworks. Архивировано из оригинала 7 апреля 2019 года . Проверено 24 февраля 2016 г. .
- ^ ЭМАГКОМСЕКЬЮРИТИ (9 апреля 2015 г.). «Группа APT (Advanced Persistent Threat)» . Архивировано из оригинала 15 января 2019 года . Проверено 15 января 2019 г.
- ^ Перейти обратно: а б «APT1: Разоблачение одного из китайских подразделений кибершпионажа» . Мандиант. 2013. Архивировано из оригинала 2 февраля 2015 года . Проверено 19 февраля 2013 г.
- ^ «Что такое методы первоначального доступа MITRE ATT&CK» . GitGuardian — автоматическое обнаружение секретов . 8 июня 2021 года. Архивировано из оригинала 29 ноября 2023 года . Проверено 13 октября 2023 г.
- ^ Бланшар, Бен (19 февраля 2013 г.). «Китай заявляет, что обвинения США во взломе не имеют технических доказательств» . Рейтер. Архивировано из оригинала 14 апреля 2021 года . Проверено 14 апреля 2021 г.
- ^ Дейберт, Р.; Рогозинский Р.; Манчанда, А.; Вильнев, Н.; Уолтон, Дж. (28 марта 2009 г.). «Отслеживание GhostNet: расследование сети кибершпионажа» . Центр международных исследований Мунка при Университете Торонто . Архивировано из оригинала 27 декабря 2023 года . Проверено 27 декабря 2023 г.
- ^ РикМессье (30 октября 2013 г.). Сертификация GSEC GIAC Security Essentials Все . McGraw Hill Professional, 2013. с. XXV. ISBN 978-0-07-182091-2 .
- ^ «Анатомия атаки APT (расширенная постоянная угроза)» . Огненный Глаз . Архивировано из оригинала 7 ноября 2020 года . Проверено 14 ноября 2020 г.
- ^ «Аналитика угроз в активной киберзащите (Часть 1)» . Записанное будущее . 18 февраля 2015 г. Архивировано из оригинала 20 июня 2021 г. Проверено 10 марта 2021 г.
- ^ «Аналитика угроз в активной киберзащите (Часть 2)» . Записанное будущее . 24 февраля 2015 г. Архивировано из оригинала 27 февраля 2021 г. Проверено 10 марта 2021 г.
- ^ «Контекстно-ориентированный исследовательский подход к фишингу и операционным технологиям в промышленных системах управления | Журнал информационной войны» . www.jinfowar.com . Архивировано из оригинала 31 июля 2021 года . Проверено 31 июля 2021 г.
- ^ Мозур, Пол; Бакли, Крис (26 августа 2021 г.). «Шпионы по найму: новое поколение китайских хакеров, сочетающее шпионаж и предпринимательство» . Нью-Йорк Таймс . ISSN 0362-4331 . Архивировано из оригинала 27 августа 2021 года . Проверено 27 августа 2021 г.
- ^ Стоун, Джефф (5 октября 2020 г.). «Иностранные шпионы используют подставные компании, чтобы замаскировать свои хакерские атаки, заимствуя старую тактику маскировки» . www.cyberscoop.com . Киберсовок. Архивировано из оригинала 22 марта 2021 года . Проверено 11 октября 2020 г.
- ^ «Buckeye: Spionage Outfit использовала инструменты группы уравнений до утечки информации о Shadow Brokers» . Симантек . 7 мая 2019 г. Архивировано из оригинала 7 мая 2019 г. . Проверено 23 июля 2019 г.
- ^ «APT17: Прячемся на виду — FireEye и Microsoft раскрывают тактику запутывания» (PDF) . Огненный Глаз . Май 2015 г. Архивировано из оригинала (PDF) 24 ноября 2023 г. . Проверено 21 марта 2021 г.
- ^ Перейти обратно: а б «Субъекты угроз из Китая» (PDF) . Министерства здравоохранения и социальных служб США Управление информационной безопасности . 16 августа 2023 г. Архивировано (PDF) из оригинала 29 декабря 2023 г. . Проверено 29 апреля 2024 г.
- ^ ван Данциг, Маартен; Шампер, Эрик (19 декабря 2019 г.). «Wocao APT20» (PDF) . fox-it.com . Группа компаний НКЦ . Архивировано из оригинала (PDF) 22 марта 2021 года . Проверено 23 декабря 2019 г.
- ^ Виджаян, Джай (19 декабря 2019 г.). «Китайская группа кибершпионажа нацелена на организации в 10 странах» . www.darkreading.com . Мрачное чтение. Архивировано из оригинала 7 мая 2021 года . Проверено 12 января 2020 г.
- ^ Лингаас, Шон (10 августа 2021 г.). «Китайские хакеры выдавали себя за иранцев, чтобы взломать израильские объекты, — сообщает FireEye» . www.cyberscoop.com . Архивировано из оригинала 29 ноября 2023 года . Проверено 15 августа 2021 г.
- ^ «Министерство финансов ввело санкции против хакеров, связанных с Китаем, за нападение на критическую инфраструктуру США» . Министерство финансов США . 19 марта 2024 года. Архивировано из оригинала 25 марта 2024 года . Проверено 25 марта 2024 г.
- ^ Лингаас, Шон (16 октября 2020 г.). «Google предлагает подробную информацию о китайской хакерской группе, атаковавшей кампанию Байдена» . Киберсовок . Архивировано из оригинала 7 мая 2021 года . Проверено 16 октября 2020 г. .
- ^ Хуэй, Сильвия (25 марта 2024 г.). «США и Великобритания объявляют о санкциях из-за связанных с Китаем хакерских атак на наблюдателей за выборами и законодателей» . Ассошиэйтед Пресс . Архивировано из оригинала 25 марта 2024 года . Проверено 25 марта 2024 г.
- ^ Лингаас, Шон (12 февраля 2019 г.). «Правильная страна, неправильная группа? Исследователи говорят, что не APT10 взломал норвежскую фирму-разработчик программного обеспечения» . www.cyberscoop.com . Киберсовок. Архивировано из оригинала 7 мая 2021 года . Проверено 16 октября 2020 г. .
- ^ Нарейн, Райан (2 марта 2021 г.). «Microsoft: несколько серверов Exchange нулевых дней подверглись атаке китайской хакерской группы» . Securityweek.com . Проводные деловые СМИ. Архивировано из оригинала 6 июля 2023 года . Проверено 3 марта 2021 г.
- ^ Берт, Том (2 марта 2021 г.). «Новые кибератаки национальных государств» . blogs.microsoft.com . Майкрософт. Архивировано из оригинала 2 марта 2021 года . Проверено 3 марта 2021 г.
- ^ Гатлан, Сергей (19 июля 2021 г.). «США и их союзники официально обвиняют Китай в атаках на Microsoft Exchange» . Пипящий компьютер . Архивировано из оригинала 25 марта 2024 года . Проверено 25 марта 2024 г.
- ^ «Double Dragon APT41, операция по двойному шпионажу и киберпреступности» . Огненный Глаз . 16 октября 2019 года. Архивировано из оригинала 7 мая 2021 года . Проверено 14 апреля 2020 г.
- ^ «Бюро назвало виновников программы-вымогателя» . www.taipeitimes.com . Тайбэй Таймс. 17 мая 2020 года. Архивировано из оригинала 22 марта 2021 года . Проверено 22 мая 2020 г.
- ^ Тартар, Матье; Смолар, Мартин (21 мая 2020 г.). «Для Winnti Group игра окончена» . www.welivesecurity.com . Мы живем в безопасности. Архивировано из оригинала 22 марта 2021 года . Проверено 22 мая 2020 г.
- ^ Гринберг, Энди (6 августа 2020 г.). «Китайские хакеры разграбили тайваньскую полупроводниковую промышленность» . Проводной . Архивировано из оригинала 22 марта 2021 года . Проверено 7 августа 2020 г.
- ^ Николс, Шон (20 октября 2021 г.). « Хакеры LightBasin провели 5 лет, скрываясь в телекоммуникационных сетях» . ТехТаржет . Архивировано из оригинала 29 ноября 2023 года . Проверено 8 апреля 2022 г.
- ^ Илашку, Ионут (19 октября 2021 г.). «Хакерская группа LightBasin за два года взломала 13 глобальных телекоммуникационных компаний» . Пипящий компьютер . Архивировано из оригинала 24 июля 2023 года . Проверено 8 апреля 2022 г.
- ^ Сабин, Сэм (26 октября 2022 г.). «Новая прокитайская кампания по дезинформации нацелена на выборы 2022 года: отчет» . Аксиос . Архивировано из оригинала 26 октября 2022 года . Проверено 27 октября 2022 г.
- ^ Чен, Джоуи (12 мая 2020 г.). «Спина тропического солдата: атака USBferry нацелена на окруженную воздухом среду» . blog.trendmicro.com . Тренд Микро. Архивировано из оригинала 22 марта 2021 года . Проверено 16 мая 2020 г.
- ^ Чимпану, Каталин. «Хакеры нацелены на закрытые сети тайваньских и филиппинских военных» . ЗДнет . Архивировано из оригинала 22 марта 2021 года . Проверено 16 мая 2020 г.
- ^ Разведка, угроза Microsoft (24 мая 2023 г.). «Вольт-Тайфун нацелен на критически важную инфраструктуру США с помощью методов выживания за счет земли» . Блог Microsoft по безопасности . Архивировано из оригинала 17 января 2024 года . Проверено 26 мая 2023 г.
- ^ Монтальбано, Элизабет (1 сентября 2020 г.). «Pioneer Kitten APT продает доступ к корпоративной сети» . Пост с угрозами . Архивировано из оригинала 22 марта 2021 года . Проверено 3 сентября 2020 г.
- ^ «APT39, ITG07, Chafer, Remix Kitten, Group G0087 | MITRE ATT&CK®» . Attack.mitre.org . Архивировано из оригинала 30 декабря 2022 года . Проверено 30 декабря 2022 г.
- ^ «Отчет о глобальных угрозах Crowdstrike 2020» (PDF) . www.crowdstrike.com . 2020. Архивировано (PDF) из оригинала 14 марта 2020 года . Проверено 30 декабря 2020 г.
- ^ Кайл Олспах (4 февраля 2022 г.). «Microsoft раскрывает новые подробности о российской хакерской группировке Gamaredon» . ВенчурБит . Архивировано из оригинала 6 февраля 2022 года . Проверено 22 марта 2022 г.
- ^ Перейти обратно: а б Чарли Осборн (21 марта 2022 г.). «Украина предупреждает об атаках InvisiMole, связанных с спонсируемыми государством российскими хакерами» . ЗДНет . Архивировано из оригинала 22 марта 2022 года . Проверено 22 марта 2022 г.
- ^ Уоррен Мерсер; Витор Вентура (23 февраля 2021 г.). «Гамаредон – Когда национальные государства не платят по всем счетам» . Циско . Архивировано из оригинала 19 марта 2022 года . Проверено 22 марта 2022 г.
- ^ «Противник: Ядовитый Медведь – Угроза» . Вселенная противоборства Crowdstrike . Проверено 22 марта 2022 г.
- ^ Уоррен Мерсер; Пол Расканьерес; Витор Вентура (29 июня 2020 г.). «PROMETHIUM расширяет глобальное присутствие с помощью StrongPity3 APT» . Циско . Архивировано из оригинала 22 марта 2022 года . Проверено 22 марта 2022 г.
- ^ «Уравнение: Звезда Смерти галактики вредоносных программ» . Лаборатория Касперского . 16 февраля 2015 года. Архивировано из оригинала 11 июля 2019 года . Проверено 23 июля 2019 г.
- ^ Галлахер, Шон (3 октября 2019 г.). «Касперский обнаружил хакерскую операцию в Узбекистане… потому что группа использовала Kaspersky AV» . arstechnica.com . Арс Техника. Архивировано из оригинала 22 марта 2021 года . Проверено 5 октября 2019 г.
- ^ Панда, Анкит. «Наступательные кибервозможности и разведка общественного здравоохранения: Вьетнам, APT32 и COVID-19» . thediplomat.com . Дипломат. Архивировано из оригинала 22 марта 2021 года . Проверено 29 апреля 2020 г.
- ^ Танриверди, Хакан; Зирер, Макс; Веттер, Анн-Катрин; Бирманн, Кай; Нгуен, Ти До (8 октября 2020 г.). Ньерле, Верена; Шеффель, Роберт; Решниок, Лиза (ред.). «Оказалась в прицеле у вьетнамских хакеров» . Баварский Рундфунк . Архивировано из оригинала 22 марта 2021 года . Проверено 11 октября 2020 г.
В случае Буи следы ведут к группе, предположительно действующей от имени вьетнамского государства. У специалистов есть много названий этой группы: наиболее известны APT 32 и Ocean Lotus. В разговорах с десятком специалистов по информационной безопасности все сошлись во мнении, что это вьетнамская группировка, шпионящая, в частности, за собственными соотечественниками.
- ^ Перейти обратно: а б с БусидоТокен (20 мая 2022 г.). «Схемы именования групп угроз в разведке киберугроз» . Кураторский интеллект. Архивировано из оригинала 8 декабря 2023 года . Проверено 21 января 2024 г.
- ^ «Отчет о глобальных угрозах CrowdStrike 2023» (PDF) . КраудСтрайк. Архивировано (PDF) из оригинала 26 марта 2024 года . Проверено 21 января 2024 г.
- ^ «Буйный котёнок» . Агентство развития электронных транзакций Таиланда. Архивировано из оригинала 29 ноября 2022 года . Проверено 21 января 2024 г.
- ^ Ламберт, Джон (18 апреля 2023 г.). «Microsoft переходит к новой таксономии именования субъектов угроз» . Майкрософт. Архивировано из оригинала 22 января 2024 года . Проверено 21 января 2024 г.
Внешние ссылки
[ редактировать ]- Списки групп APT