Acasă Securitate Amenințări persistente avansate: primul salvo în viitoarea cyberwar?

Amenințări persistente avansate: primul salvo în viitoarea cyberwar?

Cuprins:

Anonim

Un atac la o rețea de calculatoare nu mai este o știre principală, dar există un tip de atac diferit care duce la problemele de securitate cibernetică la nivelul următor. Aceste atacuri sunt numite amenințări persistente avansate (APT). Aflați cum diferă de amenințările de zi cu zi și de ce sunt capabili să provoace atât de multe daune în revizuirea unor cazuri cu profil înalt care au apărut în ultimii ani. (Pentru citire de fundal, consultați Cele mai scumpe amenințări în tehnică.)

Ce este un APT?

Termenul amenințare persistentă avansată (APT) se poate referi la un atacator cu mijloace substanțiale, organizare și motivație pentru a efectua un cyberattack susținut împotriva unei ținte.


Un APT, nu este surprinzător, este avansat, persistent și amenințător. Este avansat, deoarece folosește metode de atac furt și multiple pentru a compromite o țintă, adesea o resursă corporativă sau guvernamentală de mare valoare. Acest tip de atac este, de asemenea, dificil de detectat, eliminat și atribuit unui anumit atacator. Mai rău încă, după ce o țintă este încălcată, adesea sunt create în aer liber pentru a oferi atacatorului acces continuu la sistemul compromis.


APT-urile sunt considerate persistente în sensul că atacatorul poate petrece luni întregi adunând informații despre țintă și folosește această informație pentru a lansa mai multe atacuri într-o perioadă de timp extinsă. Este amenințător, deoarece făptașii sunt adesea după informații extrem de sensibile, cum ar fi macheta centralelor nucleare sau codurile pentru a se încălca în contractanții americani de apărare.


Un atac APT are în general trei obiective principale:

  • Furtul informațiilor sensibile din țintă
  • Supravegherea țintei
  • Sabotarea țintei
Atacatorul speră să-și poată atinge obiectivele rămânând nedetectat.


Perpetenții APT folosesc adesea conexiuni de încredere pentru a obține acces la rețele și sisteme. Aceste conexiuni pot fi găsite, de exemplu, printr-un înțeles simpatic sau un angajat neperformant care cade pradă unui atac de phishing de suliță.

Cum diferă APT-urile?

APT-urile sunt diferite de alte ciberataque în mai multe moduri. În primul rând, APT-urile folosesc adesea instrumente personalizate și tehnici de intruziune - cum ar fi exploatările de vulnerabilitate, viruși, viermi și rootkits - concepute special pentru a pătrunde în organizația țintă. În plus, APT-urile lansează adesea mai multe atacuri simultan pentru a-și încălca țintele și pentru a asigura accesul continuu la sisteme țintite, uneori incluzând un element care ar putea păcăli ținta în gândul că atacul a fost respins cu succes.


În al doilea rând, atacurile APT apar pe perioade lungi de timp în care atacatorii se mișcă încet și liniștit pentru a evita detectarea. Spre deosebire de tactica rapidă a multor atacuri lansate de cibernetici tipici, obiectivul APT este de a rămâne nedetectat mișcându-se „scăzut și lent”, cu monitorizare și interacțiune continuă până când atacatorii își ating obiectivele definite.


În al treilea rând, APT-urile sunt concepute pentru a satisface cerințele de spionaj și / sau sabotaj, implicând de obicei actori ascunși. Obiectivul unui APT include colectarea de informații militare, politice sau economice, date confidențiale sau amenințări secrete comerciale, întreruperea operațiunilor sau chiar distrugerea echipamentelor.


În al patrulea rând, APT-urile vizează o gamă limitată de ținte extrem de valoroase. Atacurile APT au fost lansate împotriva agențiilor și instalațiilor guvernamentale, contractanților de apărare și producătorilor de produse de înaltă tehnologie. Organizațiile și companiile care întrețin și operează infrastructura națională sunt, de asemenea, ținte probabile.

Câteva exemple de APT

Operațiunea Aurora a fost una dintre primele APT publicitate pe scară largă; seria de atacuri împotriva companiilor americane a fost sofisticată, țintită, sigură și concepută să manipuleze țintele.

Atacurile, efectuate la mijlocul anului 2009, au exploatat o vulnerabilitate în browserul Internet Explorer, permițând atacatorilor să acceseze sistemele de calculator și să descarce malware la aceste sisteme. Sistemele de calculatoare au fost conectate la un server de la distanță și proprietatea intelectuală a fost furată de la companii, care includea Google, Northrop Grumman și Dow Chemical. (Citiți despre alte atacuri dăunătoare din software-ul rău intenționat: Viermi, troieni și roboți, Oh My!)


Stuxnet a fost primul APT care a folosit un cyberattack pentru a perturba infrastructura fizică. Se crede că a fost dezvoltat de Statele Unite și Israel, viermele Stuxnet au vizat sistemele de control industrial ale unei centrale nucleare iraniene.


Deși Stuxnet pare să fi fost dezvoltat pentru a ataca instalațiile nucleare iraniene, acesta s-a extins cu mult peste ținta propusă și ar putea fi folosit și împotriva instalațiilor industriale din țările occidentale, inclusiv în Statele Unite.


Unul dintre cele mai proeminente exemple de APT a fost încălcarea RSA, o companie de securitate a computerelor și rețelelor. În martie 2011, RSA a izbucnit o scurgere când a fost pătrunsă de un atac de suliță care i-a agățat pe angajații săi și a dus la o captură uriașă pentru cyberattackers.


Într-o scrisoare deschisă către RSA, postată de clienți pe site-ul companiei în martie 2011, președintele executiv Art Coviello a spus că un atac sofisticat APT a extras informații valoroase legate de produsul său de autentificare SecurID în doi factori, folosit de lucrătorii îndepărtați pentru a accesa în siguranță rețeaua companiei. .


"Deși în acest moment suntem siguri că informațiile extrase nu permit un atac direct cu succes asupra niciunui dintre clienții noștri RSA SecurID, aceste informații ar putea fi utilizate pentru a reduce eficacitatea unei implementări actuale de autentificare cu doi factori, ca parte a unei aplicații mai largi atac ", a spus Coviello.


Dar, Coviello, s-a dovedit că a greșit în această privință, deoarece numeroși clienți cu jetoane RSA SecurID, inclusiv gigantul american de apărare Lockheed Martin, au raportat atacuri rezultate din încălcarea RSA. În efortul de a limita daunele, RSA a acceptat să înlocuiască jetoanele pentru clienții săi principali.

Unde APT-uri?

Un lucru este sigur: APT-urile vor continua. Atâta timp cât există informații sensibile de furat, grupurile organizate vor merge după ea. Și atâta timp cât există națiuni, vor exista spionaje și sabotaje - fizice sau cibernetice.


Există deja o urmărire a viermului Stuxnet, supranumit Duqu, care a fost descoperită în toamna anului 2011. Ca un agent de dormit, Duqu s-a încorporat rapid în sistemele industriale cheie și își adună informații și își ascunde timpul. Ești sigur că studiază documentele de proiectare pentru a găsi locuri slabe pentru atacurile viitoare.

Amenințări de securitate din secolul XXI

Cu siguranță, Stuxnet, Duqu și moștenitorii lor vor plânge din ce în ce mai mult guvernele, operatorii de infrastructură critici și profesioniștii în securitatea informațiilor. Este timpul să luăm aceste amenințări la fel de în serios ca problemele de securitate a informațiilor banale din viața de zi cu zi din secolul 21.

Amenințări persistente avansate: primul salvo în viitoarea cyberwar?