5 trendów APT, których można oczekiwać w 2016 roku

bezpieczeństwo

duke_cover_image_transparent

Grupy APT zwykle potrzebowały wsparcia państw albo innych potężnych grup ze względu na złożoność i inwestycje wymagane do długotrwałego prowadzenia tego rodzaju ataków. Wydaje się jednak, że to się zmienia.

Zaawansowane uporczywe zagrożenia (Advance Persistent Threats, APT) zaistniały w powszechnej świadomości w 2015 roku, głównie dzięki dyskusjom nad włamaniem do Sony Pictures ujawnionym pod koniec 2014 roku.

„Koncern rozrywkowy podobno stracił kontrolę nad ponad 100 terabajtami danych, przy czym ani firma, ani jej środki bezpieczeństwa nie wykryły włamania”, donosiła Ars Technica.

Ataki APT — jak wskazuje nazwa — są dość zaawansowane i dotychczas wymagały dostępu do exploitów oraz złośliwego oprogramowania zdolnego do przełamania obrony organizacji, które powinny być chronione przez jedne z najlepszych zabezpieczeń na świecie. Przez lata były wykorzystywane w mrocznej sztuce cyberszpiegostwa.

Grupa znana jako Diukowie przez 7 lat penetrowała systemy „rządów i powiązanych z nimi organizacji, takich jak ministerstwa i agencje rządowe, polityczne think tanki oraz podwykonawcy rządowi”, jak wyjaśnił badacz F-Secure Labs Artturi Lehtiö w raporcie z 2015 roku, o którym było głośno w międzynarodowej prasie.

Laboratoria F-Secure zidentyfikowały rosyjski rząd jako głównego sponsora grupy na podstawie takich dowodów, jak rosyjski komunikat o błędach oraz tendencja do pracy w godzinach zbliżonych do zwykłego moskiewskiego dnia roboczego.

„Rozwój Diuków sugerował stały dopływ zasobów wymierzonych w cele związane z rządami: ambasady, parlamenty i ministerstwa obrony”, napisał Artturi. „Co godne uwagi, grupa nigdy nie atakowała rosyjskiego rządu”.

Grupy APT zwykle potrzebowały wsparcia państw albo innych potężnych grup ze względu na złożoność i inwestycje wymagane do długotrwałego prowadzenia tego rodzaju ataków. Wydaje się jednak, że to się zmienia.

Artturi, z którym rozmawialiśmy o trendach APT w 2016 roku, przewiduje krajobraz, w którym zagrożenia są znacznie powszechniejsze, dynamiczne i jeszcze bardziej zwodnicze.

  1. Więcej ataków
    „Po pierwsze, uważam, że liczba ataków bez państwowego sponsora, ale równie ukierunkowanych i zaawansowanych, będzie rosła wykładniczo”, powiedział nam Artturi. Uważa on to za nieunikniony skutek szybkiego rozwoju „rynku ataków kierunkowanych”, na którym przestępcy sprzedają usługi tym, którzy zapłacą najwięcej, oraz tego, że narzędzia do ataków ukierunkowanych zmieniają się w zwykły towar.
  2. Więcej zaciemnienia
    „Jednocześnie państwa zaczną wykorzystywać na własne potrzeby złośliwe oprogramowanie początkowo napisane i używane przez innych — powiedział Artturi. — Widzieliśmy już, jak grupy powiązane z państwami ewoluują po stronie infrastruktury, aby utrudnić ich znalezienie, wyśledzenie i zbadanie”. Wynajmując lub przejmując czyjąś infrastrukturę, napastnicy wprowadzają „warstwę zaciemnienia” między sobą a swoimi przestępstwami. „Teraz zaczną stosować podobne triki po stronie pakietów narzędziowych. Spodziewam się, że grupy APT zaczną używać złośliwego oprogramowania napisanego przez innych, czy to kupionego, czy wynajętego, czy też skradzionego/»zarekwirowanego«,       żeby trudniej było przypisać im dany atak po prostu na podstawie wybranego pakietu narzędziowego”. Artturi zauważył, że już teraz można wskazać kilka przykładów, takich jak pakiet narzędziowy Black Energy, który był używany przez różne grupy przestępcze, zanim zastosowano go w politycznie zorientowanych atakach na Ukrainę, oraz grupa Sofacy, która „poddaje recyklingowi” złośliwe oprogramowanie z rodziny Carberp oraz platormę Metasploit.
  3. Fałszywe tropy!
    Oprócz traktowanych jak towar pakietów narzędziowych, które pomagają w wiarygodny sposób wyprzeć się udziału w przestępstwie, Artturi oczekuje jeszcze bardziej pomysłowych technik zacierania śladów, mających na celu skierować podejrzenia władz na niewłaściwego napastnika – a nawet na niewłaściwe państwo. „I w tym przypadku można podać kilka przykładów z przeszłości, ale oczekuję, że grupy APT będą coraz częściej próbowały wprowadzić badaczy w błąd, podkładając fałszywe tropy w swoich narzędziach”.
  4. Więcej napastników
    „Ponadto tak zwani haktywiści zaczną częściej stosować ukierunkowane ataki zamiast oportunistycznych działań, które obserwowaliśmy do tej pory”, stwierdził Artturi. Łatwo dostępne narzędzia APT skłonią motywowane politycznie grupy do rezygnacji z blokad usług, które chwilowo paraliżują witrynę lub sieć, na rzecz ataków, które wyrządzają bardziej trwałe szkody.
  5. Więcej szkód
    „Wreszcie państwa, przestępcy oraz haktywiści zaczną przypuszczać ściśle ukierunkowane, destrukcyjne ataki — powiedział Artturi. — Prawdopodobnie będą one obejmować zarówno próby naruszenia integralności danych poprzez ich zmodyfikowanie lub uszkodzenie, jak i w pełni niszczycielskie ataki, w których dane są wymazywane lub szyfrowane w taki sposób, że stają się całkowicie bezużyteczne”.

Przewidywalność może zaprowadzić internetowego przestępcę za kratki, a przynajmniej ukrócić jego działalność. Zawsze więc należy spodziewać się nowych, zaskakujących zagrożeń.

Ale dojrzewający rynek APT przyczynił się do powstania środowiska, w którym nie ma już wątpliwości, że większość firm padła ofiarą włamania – można się tylko zastanawiać, jak poważnego.

Oceń artykuł

0 głosów

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: