Розвинена стала загроза

Розвинена стала загроза або постійна загроза підвищеної складності (англ. advanced persistent threat) — різновид складних кібератак з метою отримання несанкційованого доступу до інформаційних систем жертви та встановлення прихованого доступу до неї з метою використання або контролю в майбутньому^[1].

Одне з визначень тлумачить поняття розвиненої сталої загрози так:^[2][3]

• розвинена (англ. advanced) — здатна обійти наявні системи захисту (мережеві екрани, антивіруси, різні фільтри, тощо); зловмисник здатен знаходити нові вразливості або створювати нові зразки шкідливого ПЗ.
• стала (англ. persistent) — здатна залишатись непоміченою для систем виявлення загроз (антивіруси, системи виявлення вторгнень, тощо); зловмисник націлений на досягнення мети, може мати відповідний наказ від замовника.
• загроза (англ. threat) — здатна завдати певну шкоду; зловмисник добре організований, має необхідні засоби, мотивацію.

Низка дослідників визначають APT як угрупування (а не власне саму кібератаку чи різновид шкідливого ПЗ) висококваліфікованих, добре оснащених хакерів, які проникають в інформаційні системи з метою саботажу або викрадення інформації^[4][5].

Найчастіше джерелами APT є установи, що фінансуються з державних бюджетів та мають цілі, що виходять далеко за межі звичайної кіберзлочинності:^[6]

• військова розвідка;
• економічний саботаж;
• промислове шпигунство;
• фінансові махінації;
• політичні маніпуляції.

Інженер фірми TrendMicro Раймонд Дженес вважає, що розвиненими сталими загрозами слід називати лише кібератаки, здійснені державами (відповідними спеціальними підрозділами)^[7].

Низка дослідників вважають, що поняття «розвиненої сталої загрози» було вперше запропоноване в 2006 році інженерами ВПС США заради можливості обговорення зазначеної проблеми комп'ютерної безпеки з особами без доступу до державної таємниці^[8][3].

Характерні риси

Зазвичай атаки типу розвинених сталих загроз відбуваються за декілька етапів:^[6]

1. Розвідка (англ. data gathering, reconnaissance) — виявлення слабких місць у захисті організації (DNS-запити до домену організації, сканування портів та вразливостей сервісів);
2. Початкове втручання (англ. initial entry) — виявлені вразливості експлуатуються для закріплення в мережі, для чого використовуються складні техніки (spear-fishing, соціальна інженерія);
3. Розширення повноважень (англ. escalation of privileges) — подальша експлуатація, хакери працюють над отриманням якомога більшого контролю над системами та над додатковими системами, встановлюють «бекдори» (англ. backdoor), які спрощують повторний доступ в систему
4. Подальша експлуатація (англ. continuous exploitation) — нападники отримують можливість постійного та безперешкодної ідентифікації, компрометації та використання конфіденційних даних.

При цьому, слід зазначити, що:^[6]

• об'єкти атак APT — це чітко визначені організації, телекомунікаційна інфраструктура, технічні рішення тощо. Таким чином, атаки APT мають невеликий розголос та рідко викликають суспільний резонанс. Часто об'єкти атак бояться розголосу того, що вони стали жертвами APT незалежно від того, державний, приватний чи комерційний сектор вони представляють;
• суб'єктами атак APT використовуються найновітніші хакерські техніки та технології, ціна яких зазвичай — велика для більшості звичайних комп'ютерних зловмисників. Атакуюча сторона не зупиняється при здійсненні APT, зіткнувшись з ситуацією, коли об'єкт атаки має досить надійний захист (це зазвичай робиться у разі «рядових» комп'ютерних злочинів);
• типові пристрої та технології захисту, що використовуються у телекомунікаціях, можуть лише затримати час проведення етапу 2, проте не ефективні на етапах 3 та 4.
• для захисту від APT ефективні проактивні та комплексні методики захисту, які дозволяють виявляти та попереджувати етап 2 та подальші етапи. APT може змінювати характеристики, дозволяючи обходити навіть дуже надійні мережеві пристрої захисту.

Сценарій типової атаки

Знімок екрану відкритого документу, зараженого трояном BlackEnergy. Він намагається ввести користувача в оману та переконати дозволити виконання сценаріїв Visual Basic що, в свою чергу, дозволить вразити операційну систему.

Зазвичай атака від угрупування типу APT починається зі зламу комп'ютера жертви через поширене програмне забезпечення, наприклад, веббраузер, переглядач документів, переглядач мультимедіа. Також зустрічаються випадки використання методів соціальної інженерії, аби переконати жертву відкрити інфіковані файли (це може бути файл формату .chm/.hlp або .scr/.exe/.pif з вдало підібраною назвою, запакований в архів zip/rar/7-zip). Вкладення до електронних листів та маніпуляція URL належать до найпоширеніших напрямів атаки, хоча відомі випадки використання цільової реклами для поширення вірусу, атаки на загальнодоступні сервери (вебсервери, сервери баз даних) та навіть фізичне втручання в роботу системи^[5].

Групи типу розвиненої сталої загрози схильні не використовувати екзотичні або унікальні вразливості інформаційних систем. Натомість вони віддають перевагу вже відомим, навіть інколи з випущеними латками виправлення, вразливостям, в сподіванні на людський чинник та відмінну від нуля ймовірність вдалого зараження інформаційної системи жертви. Унікальні, невідомі широкому загалу вразливості типу Zero-day використовують лише у надзвичайних випадках, наприклад, коли здійснити атаку на жертву слід дуже терміново^[5].

Незалежно від способу проникнення в інформаційну систему, в ній з'являється екземпляр шкідливого ПЗ, яке зв'язується з сервером управління, з якого вже отримує додаткові модулі, команди, та куди може передавати викрадену інформацію^[5].

Приклади

Див. також: Перелік кібератак

Відомі приклади

Різні дослідники зараховують такі відомі кібератаки до класу розвинених сталих атак:

• Операція «Shady RAT», яка тривала декілька років та жертвами якої стали понад 70 підприємств, державних та недержавних установ, міжнародних організацій.
• Операція «Аврора» — кібератака проти інформаційних систем низки компаній із технологічно-безпекового сектору розпочалась в середині 2009 року та завершилась в грудні 2009 року. Зловмисники атакували системи управління конфігураціями програмного забезпечення, які містили інформацію Google, Adobe, та низки компаній зі списку Fortune 100 за останні кілька місяців^[3].
• В березні 2011 року RSA визнала, що її інформаційні системи були успішно атаковані. В результаті фішингової атаки з інфікованими вкладеннями електронних таблиць, зловмисники змогли встановити на вражені комп'ютери системи віддаленого доступу Poison Ivy (PI-RAT)^[3].
• Злам у 18 березня 2011 року систем RSA SecurID, які використовували двофакторну автентифікацію та за допомогою токенів, включаючи дані, які використовувались компанією для генерації одноразових паролів^[6].
• Операція «Аврора» 2011 року, в рамках якої було вкрадено сенситивну інформацію, таку як інтелектуальна власність (програмні коди власності Google, Adobe та інших широковідомих компаній). Під час цього використовувались техніки високої складності та доброї скоординованості^[6].
• У 2014 році CERT-UA зафіксовано 2 атаки на органи державної влади України, які мають усі ознаки APT^[6].
• В березні 2015 року фахівці компанії ESET виявили зразки шкідливої програми «Win32/Potao» на деяких стратегічних об'єктах України, включно з урядом, військовими структурами та великим інформаційним агентством^[9].
• В 2015 році сталась перша відома вдала атака на енергосистему («Прикарпаттяобленерго») з виведенням її з ладу.
• Злам інформаційних систем Європейської комісії напередодні важливого саміту^[10][11].
• Злам інформаційних систем уряду Франції напередодні зустрічі G20 в 2011 році^[10][12].
• Інформаційні системи щонайменше 10 норвезьких енергетичних та оборонних компаній були зламані в 2011 році під час важливих переговорів^[10][13].
• Інформаційні системи Міжнародного валютного фонду були зламані в 2011 році^[10][14].

Інструменти

Різні дослідники відносять деякі види шкідливого програмного забезпечення до інструментарію розвинених сталих загроз. Зокрема, в доповіді CERT-PL за 2015 рік були названі^[15]:

• Duqu 2.0
• CozyDuke
• Uroborus
• SYNful Knock

Також до інструментарію APT відносять:

• BlackEnergy

Угрупування

Росія

 Росія: В першому бюлетені 2016 року німецька служба контррозвідки — Федеральна служба захисту конституції Німеччини (нім. BfV), надала високу оцінку здібностям російської розвідки а також представила широкий перелік відомих жертв російських кібератак^[16].

Серед відомих угрупувань типу розвинена стала загроза, які пов'язують з Росією або російськими підрозділами спеціального призначення, називають:^[17]:

• Energetic Bear/Dragonfly/Havex Crouching Yeti/Koala Team
• Uroburos/Epic Turla/Snake/SnakeNet
• APT 28/Sofacy Group/Sednit Group/Tsar Team/Fancy Bear/Operation Pawnstorm
• PinchDuke
• GeminiDuke
• CosmicDuke/Tinybaron/BotgenStudios/NemesisGemina
• MiniDuke
• OnionDuke
• APT29/Hammertoss/HammerDuke
• CozyDuke/CozyCar/CozyBear/Office Monkeys/Cozer/EuroAPT
• SeaDuke/SeaDaddy/SeaDask
• CloudDuke/MiniDionis/CloudLook
• Sandworm/Quedagh/BlackEnergy
• Carbanak

Служба зовнішньої розвідки Естонії вважає, що угрупування APT28 (Sofacy/Fancy Bear) працює в інтересах ГРУ ГШ РФ, угрупування SNAKE (Turla) працює в інтересах ФСБ РФ, а угрупування APT29 (Cozy Bear/The Dukes) працює в інтересах ФСБ та Служби зовнішньої розвідки РФ^[18].

Сполучені Штати Америки

 США: Серед відомих угрупувань типу розвинена стала загроза, які пов'язують зі Сполученими Штатами Америки або американськими підрозділами спеціального призначення, називають:^[17]

• Butterfly Group/Morpho,
• Regin/Prax/WarriorPride,
• Flame/Flamer/Skywiper,
• Tailored Access Operations (TAO),
• Equation Group (Лабораторія Касперського пов'язує дане угрупування з АНБ).

За галуззю

Німецька контррозвідка у щорічному звіті за 2017 рік навела такий огляд відомих угрупувань типу розвинена стала загроза за їхніми основними галузями інтересу:^[19]

Урядові установи

APT6/1.php, APT12/NumberedP, APT28/Sofacy, APT29/CozyBear, APT32/OceanLotus, Cadelle/Chafer, Callisto/DancingSal, CharmingKitten, Danti, DarkHotel, Dropping-Elephant, EmissaryPanda, Gamaredon, GazaCybergang, GothicPanda, Greenbug, Groundbait, HammerPanda, Infy, KeyBoy, Longhorn, LotusPanda, Machete, Mofang, Naikon/OverrideP, NanHaiShu, OilRig, Operation-Cleaver, Remsec/ProjectSauron, ScarletMimic, Shamoon, Snake, Suckfly, TidePool/Ke3chang, Transparent-Tribe, TropicTrooper/PirateP, ViceroyTiger

Оборонно-промисловий комплекс

APT28/Sofacy, AridViper, Callisto/DancingSal, CharmingKitten, C-Major/PureStrike, Dropping-Elephant, Gamaredon, Gaza­Cybergang, GothicPanda, HammerPanda, LotusPanda, Machete, Mofang, Naikon/OverrideP, OilRig, Operation-Cleaver, Remsec/ProjectSauron, Snake

Енергетика

APT10, APT18/Wekby, APT29/CozyBear, CharmingKitten, ElectricPowder, EmissaryPanda, Greenbug, Kraken/Laziok, Longhorn, Machete, OnionDog, OperationCleaver, Sandworm, Shamoon, TropicTrooper/PirateP.

Опозиційні рухи

Ahtapot, APT32/OceanLotus, Bookworm, FlyingDragon, Groundbait, Group5, Infy, Neodymium, Operation-Cleaver, Operation Manul, Promethium, ScarletMimic, Sima, StealthFalcon

Засоби масової інформації

APT28/Sofacy, APT32/OceanLotus, BugDrop, Callisto/DancingSal, DarkHotel, GazaCybergang, Groundbait, Infy, Operation Manul, Sandworm, ShroudedCrossbow, StealthFalcon, Tick

Фанансовий сектор

APT18/Wekby, APT29/CozyBear, EmissaryPanda, EquationGroup, GazaCybergang, HammerPanda, Longhorn, OilRig, Sandworm, Suckfly

Телекомунікації

APT18/Wekby, Codoso, EmissaryPanda, HammerPanda, Longhorn, Machete, OilRig, Remsec/ProjectSauron

Неурядові організації

APT29/CozyBear, Callisto/DancingSal, CharmingKitten, HammerPanda, Infy, NilePhish, Operation-Cleaver, RocketKitten

Університети

APT10/menuPass, BugDrop, Codoso, Greenbug, DarkHotel, Longhorn, RocketKitten

Високі технології

APT18/Wekby, CharmingKitten, Codoso, LEAD/Winnti, Tick

Транспорт і логістика

Cadelle/Chafer, OilRig, OnionDog, Remsec/ProjectSauron, Shamoon

Авіабудування, авіація, космонавтика

APT28, EmissaryPanda, HammerPanda, Greenbug, Longhorn

Охорона здоров'я

APT10/menuPass, LEAD/Winnti, Suckfly

Різні офіси, керівництво підприємств

APT29/CozyBear, Codoso, DeepPanda, NanHaiShu

Примітки

1. MK Daly (Nov 2009). Advanced persistent threat (PDF). USENIX. Архів оригіналу (PDF) за 17 вересня 2012. Процитовано 6 травня 2016.
2. John Pescatore (August 2011). Strategies for Dealing With Advanced Targeted Threat. Gartner. {{cite web}}: Пропущений або порожній |url= (довідка)
3. Assessing Outbound Traffic to Uncover Advanced Persistent Threat (PDF). SANS Technology Institute. Архів оригіналу (PDF) за 28 березня 2016. Процитовано 19 травня 2016.
4. Nikos Virvilis, Prof. Dimitris Gritzalis. Advanced Persistent Threats: The Empire Strikes Back! (PDF).^{[недоступне посилання з жовтня 2019]}
5. Alex Lanstein (23 жовтня 2012). Defining Advanced Malware is as Difficult as Preventing It (Part 1 of 2). Threat Research Blog. FireEye. Архів оригіналу за 10 червня 2016. Процитовано 19 травня 2016.
6. Рекомендації CERT-UA щодо протидії APT (Advanced Persistent Threats). CERT-UA. 2014.^{[недоступне посилання з липня 2019]}
7. Raimund Genes (Chief Technology Officer) (16 вересня 2015). TrendLabs Security Intelligence BlogTargeted Attacks versus APTs: What's The Difference?. TrendLabs Security Intelligence Blog. Архів оригіналу за 29 травня 2016. Процитовано 24 травня 2016.
8. Assessing Outbound Traffic to Uncover Advanced Persistent Threat (PDF). SANS Technology Institute. Архів оригіналу (PDF) за 24 лютого 2013. Процитовано 14 квітня 2013.
9. Кібершпигун атакує спецслужби України. ESET. 30 Липня 2015. Архів оригіналу за 6 вересня 2017. Процитовано 6 травня 2016.
10. Kenneth Geers (2015). Coder, Hacker, Soldier, Spy. Cyber security: analytics, technology and automation. Intelligent Systems, Control and Automation: Science and Engineering. Т. 78. Martti Lehto, Pekka Neittaanmäki (eds.). New York, NY: Springer. ISBN 978-3-319-18301-5.
11. 'Serious' cyber attack on EU bodies before summit. BBC. 23 березня 2011. Архів оригіналу за 2 грудня 2015. Процитовано 6 травня 2016.
12. Charette. ‘Spectacular’ cyber attack gains access to France’s G20 files. IEEE Spectrum. Архів оригіналу за 17 квітня 2016. Процитовано 6 травня 2016.
13. Albanesius (2011). Norway cyber attack targets country’s oil gas systems. PCMag. Архів оригіналу за 11 липня 2015. Процитовано 6 травня 2016.
14. Sanger D, Markoff J (2011). I.M.F. reports cyberattack led to ‘very major breach’. New York Times. Архів оригіналу за 6 вересня 2015. Процитовано 6 травня 2016.
15. Krajobraz bezpieczeństwa polskiego internetu 2015 (PDF). CERT-PL. Raport roczny z działalności CERT Polska. 2015. ISSN 2084-9079. Архів оригіналу (PDF) за 31 травня 2016. Процитовано 19 травня 2016.
16. BfV-Newsletter 01/2016. Bundesamt für Verfassungsschutz. квітень 2016. Архів оригіналу за 23 червня 2016. Процитовано 26 липня 2016.
17. James Scott, Drew Spaniel (february 2016). Know Your Enemies 2.0 (PDF). ICIT Report. Institute for Critical Infrastructure Technology. Архів оригіналу (PDF) за 25 вересня 2016. Процитовано 12 липня 2016.
18. International Security and Estonia 2018 (PDF) (Звіт). Välisluureametist/Estonian Foreign Intelligence Service. Feb 2018. с. 53. Архів оригіналу (PDF) за 26 жовтня 2020. Процитовано 9 лютого 2018.
19. Die Lage der IT-Sicherheit in Deutschland 2017 (Звіт). Bundesamt für Sicherheit in der Informationstechnik. Архів оригіналу за 28 січня 2018. Процитовано 3 березня 2018.

Див. також

• Ланцюг ураження цілі
• Інформаційна безпека
• Комп'ютерна безпека
• Кібервійна та Російсько-українська кібервійна

Посилання

• Рекомендації CERT-UA щодо протидії APT
• (пол.) APT jakie jest każdy widzi [Архівовано 21 травня 2016 у Wayback Machine.] аналіз стану APT та прогнози подальшого розвитку
• Roth, Florian (26 грудня 2015). APT Groups and Operations. Google Docs. Архів оригіналу за 30 травня 2020. Процитовано 22 квітня 2016.