Satura rādītājs:
Uzbrukums datortīklam vairs nav virsraksts, taču pastāv cita veida uzbrukums, kas kiberdrošības problēmas pārceļ uz nākamo līmeni. Šos uzbrukumus sauc par progresīviem pastāvīgiem draudiem (APT). Pārskatot dažus augsta profila gadījumus, kas notikuši dažu pēdējo gadu laikā, uzziniet, kā tie atšķiras no ikdienas draudiem un kāpēc viņi var nodarīt tik lielu kaitējumu. (Lai iegūtu priekšlasījumu, iepazīstieties ar 5 baisākajiem draudiem tehnikā.)
Kas ir APT?
Termins “progresīvs pastāvīgs drauds” (APT) var attiekties uzbrucēju ar nozīmīgiem līdzekļiem, organizāciju un motivāciju veikt ilgstošu kiberuzbrukumu pret mērķi.
APT, kas nav pārsteidzoši, ir progresīvs, noturīgs un draudīgs. Tas ir uzlabots, jo tajā tiek izmantotas slepenas un vairāku uzbrukumu metodes, lai kompromitētu mērķi, kas bieži ir vērtīgs korporatīvs vai valdības resurss. Arī šāda veida uzbrukumus ir grūti atklāt, noņemt un piedēvēt konkrētam uzbrucējam. Vēl ļaunāk, ja mērķis tiek pārkāpts, aizmugures durvis bieži tiek izveidotas, lai uzbrucējam nodrošinātu pastāvīgu piekļuvi apdraudētajai sistēmai.
APT tiek uzskatīti par noturīgiem tādā nozīmē, ka uzbrucējs var pavadīt mēnešus, lai savāktu izlūkdatus par mērķi un izmantotu šo informāciju, lai ilgā laika posmā sāktu vairākus uzbrukumus. Tas ir draudoši, jo vainīgie bieži saņem ļoti slepenu informāciju, piemēram, atomelektrostaciju izkārtojumu vai kodus, lai ielauztos ASV aizsardzības darbuzņēmumos.
APT uzbrukumam parasti ir trīs galvenie mērķi:
- Jutīgas informācijas zādzība no mērķa
- Mērķa uzraudzība
- Mērķa sabotāža
APT izdarītāji bieži izmanto uzticamus savienojumus, lai piekļūtu tīkliem un sistēmām. Šos savienojumus var atrast, piemēram, caur simpātisku iekšēju vai nevērīgu darbinieku, kurš ir kļuvis par šķēpa pikšķerēšanas uzbrukuma upuri.
Kā APT atšķiras?
APT daudzos veidos atšķiras no citiem kiberuzbrukumiem. Pirmkārt, APT bieži izmanto pielāgotus rīkus un ielaušanās paņēmienus - piemēram, ievainojamības, vīrusus, tārpus un sakņu komplektus -, kas īpaši izstrādāti, lai iekļūtu mērķa organizācijā. Turklāt APT bieži vienlaicīgi sāk vairākus uzbrukumus, lai pārkāptu savus mērķus un nodrošinātu pastāvīgu piekļuvi mērķtiecīgām sistēmām, dažreiz iekļaujot arī mānekli, lai krāptu mērķi, domājot, ka uzbrukums ir veiksmīgi atgrūsts.
Otrkārt, APT uzbrukumi notiek ilgā laika posmā, kura laikā uzbrucēji pārvietojas lēni un klusi, lai izvairītos no atklāšanas. Pretstatā daudzu uzbrukumu ātrajai taktikai, ko uzsākuši tipiski kibernoziedznieki, APT mērķis ir palikt nepamanītam, virzoties "lēni un lēni" ar pastāvīgu uzraudzību un mijiedarbību, līdz uzbrucēji sasniedz noteiktos mērķus.
Treškārt, APT ir izstrādāti, lai apmierinātu spiegošanas un / vai sabotāžas prasības, parasti iesaistot slepenus valsts dalībniekus. APT mērķis ietver militāras, politiskas vai ekonomiskas izlūkošanas datu vākšanu, konfidenciālu datu vai komercnoslēpuma draudus, operāciju pārtraukšanu vai pat aprīkojuma iznīcināšanu.
Ceturtkārt, APT ir vērsti uz ierobežotu ļoti vērtīgu mērķu klāstu. Ir sākti APT uzbrukumi valdības iestādēm un objektiem, aizsardzības darbuzņēmējiem un augsto tehnoloģiju produktu ražotājiem. Iespējams, ka mērķi ir arī organizācijas un uzņēmumi, kas uztur un pārvalda valsts infrastruktūru.
Daži APT piemēri
Operācija Aurora bija viena no pirmajām plaši reklamētajām APT; uzbrukumu sērija pret ASV uzņēmumiem bija izsmalcināta, mērķtiecīga, slepena un paredzēta manipulācijām ar mērķiem.Uzbrukumos, kas tika veikti 2009. gada vidū, tika izmantota Internet Explorer pārlūka ievainojamība, ļaujot uzbrucējiem piekļūt datorsistēmām un lejupielādēt šajās sistēmās ļaunprātīgu programmatūru. Datorsistēmas tika savienotas ar attālo serveri, un intelektuālais īpašums tika nozagts no uzņēmumiem, kuru skaitā bija Google, Northrop Grumman un Dow Chemical. (Lasiet par citiem ļaunprātīgas programmatūras postošajiem uzbrukumiem: tārpi, Trojas zirgi un boti, Oh My!)
Stuxnet bija pirmais APT, kas izmantoja kiberuzbrukumu, lai izjauktu fizisko infrastruktūru. Tiek uzskatīts, ka Stuxnet tārps ir izstrādāts Amerikas Savienotajās Valstīs un Izraēlā, un tas bija paredzēts Irānas atomelektrostacijas rūpnieciskās kontroles sistēmām.
Lai arī šķiet, ka Stuxnet ir izstrādāts, lai uzbruktu Irānas kodoliekārtām, tas ir tālu pārsniedzis paredzēto mērķi, un to varētu izmantot arī pret rūpniecības objektiem Rietumvalstīs, tostarp ASV.
Viens no spilgtākajiem APT piemēriem bija RSA, datoru un tīkla drošības uzņēmuma pārkāpums. 2011. gada martā RSA izraisīja noplūdi, kad to iekļāva šķēpu pikšķerēšanas uzbrukums, kura rezultātā tika piesaistīts viens no tā darbiniekiem, un tas izraisīja milzīgu nozveju kiberuzbrukumu veicējiem.
Atklātā vēstulē RSA, ko klienti 2011. gada martā nosūtīja uzņēmuma tīmekļa vietnei, izpilddirektors Art Coviello sacīja, ka izsmalcinātais APT uzbrukums ir ieguvis vērtīgu informāciju, kas saistīta ar tā SecurID divu faktoru autentifikācijas produktu, ko attālināti darbinieki izmanto, lai droši piekļūtu sava uzņēmuma tīklam. .
"Lai arī šobrīd mēs esam pārliecināti, ka iegūtā informācija neļauj sekmīgi veikt tiešu uzbrukumu nevienam no mūsu RSA SecurID klientiem, šo informāciju potenciāli varētu izmantot, lai samazinātu pašreizējās divu faktoru autentifikācijas ieviešanas efektivitāti kā daļu no plašākas informācijas uzbrukums, "sacīja Koviello.
Bet izrādījās, ka Koviello šajā jautājumā ir kļūdījies, jo daudzi RSA SecurID marķieru klienti, tostarp ASV aizsardzības gigants Lockheed Martin, ziņoja par uzbrukumiem, kas radušies RSA pārkāpuma rezultātā. Cenšoties ierobežot zaudējumus, RSA piekrita nomainīt žetonus galvenajiem klientiem.
Kur APT?
Viens ir skaidrs: APT turpinās darboties. Kamēr ir slepena informācija, ko nozagt, organizētās grupas iet pēc tās. Un kamēr pastāvēs tautas, būs arī spiegošana un sabotāža - fiziska vai kibernoziegums.
Jau ir veikti turpinājumi saistībā ar tārpu Stuxnet, sauktu par Duqu, kurš tika atklāts 2011. gada rudenī. Tāpat kā gulētājs aģents, Duqu ātri iekļāvās galvenajās rūpniecības sistēmās un vāc izlūkdatus un liek savu laiku. Varat būt drošs, ka studē dizaina dokumentus, lai atrastu vājās vietas turpmākiem uzbrukumiem.
21. gadsimta drošības draudi
Protams, Stuxnet, Duqu un viņu mantinieki arvien vairāk plosīs valdības, kritiskās infrastruktūras operatorus un informācijas drošības profesionāļus. Ir pienācis laiks šos draudus uztvert tikpat nopietni kā ikdienišķās informācijas drošības problēmas ikdienas dzīvē 21. gadsimtā.
