APT:er är en typ av hotaktörer som har fått mycket uppmärksamhet på grund av deras sofistikerade och riktade tillvägagångssätt. Även om deras rykte ofta är negativt, har APT:er egenskaper som gör dem unika och särskiljer dem från andra hotaktörer.
Vad är en APT?
APT står för Advanced Persistent Threats och kännetecknas av att de är långsiktiga och välorganiserade attacker. De kan vara orkestrerade av statligt sponsrade grupper, kriminella organisationer eller hacktivistiska kollektiv. Det är viktigt att förstå att APTs inte nödvändigtvis är en grupp, utan snarare en typ av kampanj eller attack.
Tänk dig den fiktiva militära gruppen CatPeople som ett exempel. Deras ledare står inför tre betydande uppdrag, vilket inkluderar att attackera den digitala infrastrukturen för kärnvapenfaciliteter, övervaka en rysk APT och stjäla kryptovalutor från en lista över oönskade aktörer. Det är intressant att notera att allmänheten sällan får kännedom om detta arbete eller vilka personer som ingår i CatPeople. Forskare kan bara dra slutsatser och tillskriva handlingar och verktyg till APTs. Detta innebär att det kan finnas felaktiga identifieringar eller förväxlingar om forskare inte observerar likheter mellan olika operationer.
APT:er har som primärt mål att bibehålla långvarig åtkomst till komprometterade system, stjäla känslig data och förbli oidentifierade under längre perioder. De använder sig av olika attackvektorer, såsom spear-phishing, zero-day exploits och watering hole attacker för att kompromettera högprofilerade mål som regeringar, myndigheter, företag och kritisk infrastruktur. Dock är deras huvudsakliga mål vanligtvis att stjäla information snarare än att orsaka skada.
The persistence aspect is a really good way of identifying APTs because where other threat actors might hit a brick wall with an air gap, for example, an APT will find a way to get around such hurdles.
WithSecure Senior Threat Intelligence-analytiker Stephen Robinson
Viktiga egenskaper hos APT
- Avancerade tekniker: APT:s utnyttjar avancerade verktyg, zero-day-sårbarheter och komplex skadlig kod för att ta sig igenom säkerhetsskydd och etablera ihållande åtkomst.
- Långsiktig fokus: APT:s syftar till att bibehålla en långvarig närvaro inom det komprometterade nätverket vilket möjliggör kontinuerlig datastöld, lateral rörelse och ytterligare exploatering.
- Specifika mål: APT riktar sig vanligtvis mot högprofilerade verksamheter som regeringsorganisationer, militära installationer, forskningsinstitutioner eller multinationella företag, med målet att stjäla känslig information eller störa kritiska operationer.
- Koordinerade operationer: APT arbetar med betydande resurser, använder skickliga hackare, intelligensanalytiker och annan specialiserad personal, ofta med stöd av nationer eller mäktiga kriminella syndikat.
Att fastställa vem eller vad som ligger bakom
Det finns många olika namn på APT:er där ute, som Fancy Bear, Lazarus Group, APT 41 och Equation Group, för att bara nämna några. Ibland kan det även förekomma att forskare eller organisationer ger samma APT olika namn.
APT:er är vanligtvis mycket hemliga och ogillar att avslöja sin identitet. Forskare fokuserar därför oftast på deras taktik och teknik för att försöka klassificera dem. Nyligen publicerade forskare från WithSecure en rapport om vad som i stor utsträckning ansågs vara Lazarus-gruppens verk. Wikipedias APT-sida erbjuder en omfattande lista över kända grupper uppdelade efter land, vilket ger en indikation på hur APT:er grupperas för allmänhetens förståelse.
Dessutom blir det svårare att fastställa vem som är ansvarig när man inkluderar privata organisationer och samarbetsavtal. Ta exemplet med Stuxnet (det "första kända cybervapnet"). Även om inget av länderna har erkänt ansvar öppet, anses det allmänt vara ett cybervapen som byggdes gemensamt av USA och Israel i ett samarbete som kallas "Operation Olympic Games".
Försvara organisationer mot APT
För att skydda ett nätverk eller en organisation från en APT behövs en mer helhetsinriktad och proaktiv strategi jämfört med att hantera andra hot. Det innebär att man implementerar robusta säkerhets- och övervakningskontroller. Aktiviteter som kan hjälpa till att minska sårbarheter för APT inkluderar övervakning av misstänkt aktivitet, regelbundna säkerhetsbedömningar, penetrationstester och åtgärder för att åtgärda kända sårbarheter.
Organizations that are careful with their reputation, financial stability, or intellectual property, need to take a proactive approach to security, because an APT may be quietly taking a keen interest.
WithSecure Säkerhetskonsult Richard Suls
För att skydda organisationer mot APT-attacker är det också viktigt att ha en väldefinierad incidentresponsplan på plats. Dessutom kan hanteringen av andra hot, som ransomware, hacktivister, kräva en större betoning på förebyggande åtgärder, till exempel endpointskydd och säkra säkerhetskopior. Slutligen utnyttjar APT ofta den mänskliga faktorn och hittar svagheter i systemen kring sina mål. Därför är utbildning den viktigaste förebyggande åtgärden som kan vidtas i stor skala för att hjälpa till att mildra hoten från APT.
Ta reda på mer i avsnitt 76 av podcasten Cyber Security Sauna: What we get wrong (and right) about APTs
Kommentarer