APT je skratka pre najsofistikovanejšie hakerské útoky, ktoré mieria presne a hlboko.
Advanced Persistent Threat (APT) je fenomén v oblasti kyberbezpečnosti, ktorý je v posledných rokoch čoraz rozšírenejší. Nazýva sa tak séria organizovaných kyberútokov, ktoré mieria na konkrétnu obeť s cieľom dlhodobého usadenia sa v jej systéme a získavania jej dát.
Na rozdiel od „obyčajných“ hakerov, ktorým ako zámienka na útok niekedy stačí aj dlhá chvíľa za počítačom, ľudia stojaci za APT sú často motivovaní politikou či obchodom.
Príkladom môže byť operácia Titan Rain, počas ktorej čínski hakeri približne tri roky prenikali do vládnych systémov Spojených štátov, pričom sa im podarilo získať citlivé údaje o ich dodávateľoch, akými sú napríklad Lockheed Martin, NASA či Sandia National Laboratories.
Ako zo samotného názvu vyplýva, APT má tri dôležité zložky:
- Advanced (pokročilá) – útoky sú vysoko sofistikované a na ich vykonanie sú potrebné skúsenosti a zdroje. Páchatelia preto nie sú žiadni amatéri, ale hakeri s „backgroundom“, ktorý im umožňuje vyhľadávanie nových zraniteľností a vývoj vlastného softvéru. Často sa diskutuje o tom, akú rolu pri takýchto útokoch zohrávajú štáty. Na ich vykonanie totiž treba veľa peňazí, času a vedomostí, ktoré jednotlivci alebo menšia skupina nemusia mať. Hoci samotní útočníci nemusia priamo figurovať na výplatnej páske vlád, predstava, že za operáciami trvajúcimi niekoľko rokov stojí len neštátny aktér bez sponzoringu „zhora“, je málo pravdepodobná.
- Persistent (vytrvalá) – útoky trvajú dlhodobo (mesiace až roky), ťažko ich odhaliť a ešte ťažšie sa ich zbaviť. Nejde len o použité nástroje, ale aj o samotnú povahu útoku (životný cyklus), ktorá káže postihnúť napadnutý systém a sieť v čo najväčšej možnej miere.
- Threat (hrozba) – útoky nie sú plne automatizované a majú jasný cieľ. Dôležitú rolu pri útokoch tak hrá ľudský faktor, ktorý je ich aktívnou súčasťou. Podieľa sa na správe nástrojov, zbieraní osobných údajov o obeti, písaní vierohodných e-mailov, adaptácii a reakcii na správanie obete, ale najmä svojou motiváciou stelesňuje jadro hrozby.
Hoci existuje viacero APT s rôznym pôvodom, cieľmi a nástrojmi, väčšina útokov sa riadi jedným „životným cyklom.“
- Príprava – Hneď v prvom kroku sa ukážu skúsenosti hakera, resp. hakerov, ktorí počas prípravy musia prehľadať rôzne webstránky a využiť techniky sociálneho inžinierstva na získanie informácií o spoločnosti, zamestnancoch, partneroch, dodávateľoch a kadejakých iných terčoch. Tieto údaje následne slúžia napríklad na vykonštruovanie vierohodných e-mailov pri prvotnom kontakte s obeťou. Rovnako dôležitou je aj technická stránka veci, a to napríklad obstarávanie C2 serverov (Command-and-control servers) a malvéru či registrovanie domén a e-mailov.
- Počiatočné vniknutie – Spear-phishing je s informáciami o obeti a jej e-mailovou adresou voľba číslo jeden. Dobre napísaný e-mail, ktorý prinúti obeť stiahnuť prílohu podobajúcu sa na PDF či wordový dokument dokáže nainštalovať do počítača zadné dvierka a na diaľku ho ovládnuť. Dobre poslúži aj link, ktorý obeť presmeruje na falošnú webstránku, kde následne zadá svoje prihlasovacie údaje. Malvér sa však môže šíriť aj opusteným USB kľúčom, ktorý páchatelia predhodili pred budovu obete a dúfajú, že ju do nej niekto zo zamestnancov prenesie a zo zvedavosti ľahkovážne použije.
- Expanzia – Ešte pred samotným extrahovaním dát zo serverov obete je nutné zaistiť si väčšie práva a dlhodobý prístup. Ďalší krok teda smeruje ku kolegom a nadriadeným, od ktorých treba získať prihlasovacie údaje či nainštalovať backdoory.
- Extrahovanie – Prílohy a obsahy e-mailov, textové dokumenty, obrázky, video a audio nahrávky, … každý súbor nájde svoje využitie. Problémom je však ostať neviditeľným, a teda sťahovať dáta nepozorovane a zahladzovať za sebou stopy. Napríklad, čínsky APT1 si pre tento účel vyvíjal vlastný softvér GETMAIL a MAPIGET.
Organizovanosť, dokonalá príprava a utajenie robia z APT dozaista strašiaka firiem aj vlád. Najaktívnejšími sa v tomto smere zdajú byť Rusi a Číňania, ktorým sa najčastejšie prisudzujú jednotlivé útoky. Za Moskvu sú v hre APT28 (tiež známy ako Fancy Bear alebo Sofacy Group) a APT29 (Cozy Bear). Za Peking naopak APT1 (Comment Crew/Byzantine Candor), APT3 (UPS Team/Gothic Panda) a APT19 (Codoso Team). Tieto APT stáli za spomínanou operáciou Titan Rain, ale tiež útokmi na vojenské a vládne ciele vo východnej Európe (Ukrajina, Gruzínsko) a americký Pentagon.
(Viliam Kaliňák)