進階持續性威脅(英語:advanced persistent threat,縮寫:APT),又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出於商業或政治動機,針對特定組織或國家,並要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用複雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,並從其獲取數據。威脅則指人為參與策劃的攻擊。[1]
APT發起方,如政府,通常具備持久而有效地針對特定主體的能力及意圖。此術語一般指網絡威脅,尤其是指使用眾多情報收集技術來獲取敏感信息的網絡間諜活動,[2]但也適用於傳統的間諜活動之類的威脅。[3]其他攻擊面包括受感染的媒介、入侵供應鏈、社會工程學。個人,如個人黑客,通常不被稱作APT,因為即使個人有意攻擊特定目標,他們也通常不具備高級和長期這兩個條件。[4]
歷史
2005年時,英國及美國的一些計算機應急響應組織發佈報告,提醒人們注意某些針對性的釣魚電子郵件會釋放木馬,外泄敏感信息,但「APT」一詞還未被使用。[5]普遍認為「高級長期威脅」這個術語是在2006年由美國空軍創造,[6]而格雷格·拉特雷上校一般被認為是該術語的發明人。[7]
震網蠕蟲是APT的一個例子,此蠕蟲專門針對伊朗核設施的電腦硬件。此事件中,伊朗政府可能就把震網蠕蟲的創造者視為一個高級長期威脅。
在計算機安全社群及媒體中,此術語常指針對政府、公司、政治活躍分子的長期而複雜的黑客攻擊,也指發起這些攻擊幕後團體的活動特徵。日趨頻繁的高級長期威脅(APT)可能會逐漸只用於指代計算機黑客入侵。據《PC World》雜誌統計,從2010年到2011年,針對性的高級電腦黑客攻擊增長了81%。[8]
對於APT的一個常見誤解[誰?]是,APT僅僅針對西方政府。雖然針對西方政府的APT事件在西方廣為流傳,但許多國家的黑客也會通過網絡空間收集個人或一群個人的情報。[9][10][11]美國網戰司令部負責協調美國軍方對網絡攻擊作出的響應。
有說法稱一些APT團體直屬於或受僱於民族國家。[12][13][14] 掌握大量可辨識的個人身份信息的行業極有可能遭受高級長期威脅,如:[2]
- 高等教育[15]
- 金融機構
術語
- 高級:威脅的幕後操縱者對情報收集技術有着全面的掌控能力。其中可包括電腦入侵技術和傳統情報收集技術(如電話監聽技術、衛星成像技術)。攻擊中使用的各個組件本身可能並不能算特別「高級」(例如,利用公開的惡意軟件生成工具生成的惡意軟件,或是一些容易獲得的漏洞利用材料),但是操縱者往往可以按需開發出更高級的工具。他們一般會使用多種針對方式、工具和技術以入侵目標,並保持訪問權限。操縱者也可能會特別注意行動中的安全,這一點和「不那麼高級」的威脅有所不同。
- 長期:操縱者注重一個特定的任務,而不是盲目搜尋信息。這一區別暗示攻擊者受到外部力量指示。為了達到預定目的,攻擊者會持續監控目標,並做出反應。這並不表示攻擊者會經常發動攻擊、頻繁更新惡意軟件。事實上,「放長線」的方法會更為成功。如果操縱者失去了對目標的訪問權,他們一般會重新嘗試入侵,也往往會成功。操縱者的目的之一就是對目標保有長期的訪問權,而不是一次性的訪問權。
- 威脅:APT之所以成為威脅,是因為發起方既有此能力,又有此意圖。APT攻擊是由一群有組織的人發起的。操縱者有特定的目標,且技術精湛、資金雄厚。
特點
Bodmer、Kilger、Carpenter和Jones的研究將APT的標準定義如下:[17]
- 目標 – 威脅的最終目標,即你的對手
- 時間 – 調查、入侵所花的時間
- 資源 – 所涉及的知識面及工具(技能和方法也有所影響)
- 風險承受能力 – 威脅能在多大程度上不被發覺
- 技能與方法 – 所使用的工具及技術
- 行動 – 威脅中採取的具體行動
- 攻擊源頭 – 攻擊來源的數量
- 牽涉數量 – 牽涉到多少內部或外部系統,多少人的系統具有不同重要性
- 信息來源 – 是否能通過收集在線信息識別出某個威脅
趨勢科技定義 APT 基本要素與特點如下:
生命周期
APT的幕後黑手會對組織團體的金融財產、知識產權及名譽造成持續變化的威脅,[21]其過程如下:
- 因一個目標開始盯上特定組織團體
- 試圖入侵到其環境中(如發送釣魚郵件)
- 利用入侵的系統來訪問目標網絡
- 部署實現攻擊目標所用的相關工具
- 隱藏蹤跡以便將來訪問
2013年,美國網絡安全公司麥迪安(Mandiant)發佈了關於2004至2013年間疑似來源於中國的APT攻擊的研究結果,[22]其中的生命周期與上述相似:
- 初始入侵 – 使用社會工程學、釣魚式攻擊、零日攻擊,通過郵件進行。在受害者常去的網站上植入惡意軟件(掛馬)也是一種常用的方法。
- 站穩腳跟 – 在受害者的網絡中植入遠程訪問工具,打開網絡後門,實現隱蔽訪問。
- 提升特權 – 通過利用漏洞及破解密碼,獲取受害者電腦的管理員特權,並可能試圖獲取Windows域管理員特權。
- 內部勘查 – 收集周遭設施、安全信任關係、域結構的信息。
- 橫向發展 – 將控制權擴展到其他工作站、伺服器及設施,收集數據。
- 保持現狀 – 確保繼續掌控之前獲取到的訪問權限和憑據。
- 任務完成 – 從受害者的網絡中傳出竊取到的數據。
麥迪安所分析的這起入侵事件中,攻擊者對受害者的網絡保有控制權的平均時間為一年,最長時間為五年。[22] 此次滲透攻擊據稱是位於上海的中國人民解放軍61398部隊所為。中國官方否認參與了這些攻擊。[23]
緩解策略
惡意軟件的變種數以千萬計,因此要保護組織團體免於APT攻擊極為困難。雖然APT活動十分隱蔽,但與APT相關的命令與控制網絡流量卻可以在網絡層由精密的方法檢測。深入的日誌分析和比對有助於檢測APT活動。儘管要從正常流量中分離出異常流量有一定難度,但這一工作可以藉助完善的日誌分析工具來完成,以便安全專家調查異常流量。[1]
- 不隨意開啟未知來源的郵件附加檔案
- 安裝已知品牌軟件,定期系統更新,安裝掃描病毒軟件並定期掃毒
- 建立監控軟件,尋找是否有可疑終端電腦或裝置
- 使用多層次資安防禦軟件,加強防護縱深
- 訂立企業內部敏感資訊的監控與存取政策
- 教育員工關於社交工程的資訊安全意識[19]
相關組織
自 2012 年習近平出任中共中央總書記以來,中國國家安全部在網絡間諜活動方面承擔了比中國人民解放軍更大的責任,目前負責監管各種 APT 組織。[24] 安全研究員蒂莫·斯蒂芬斯 (Timo Steffens) 表示:「中國的網絡威脅格局採用『全國性』的方式,利用了大學、個人以及私營和公共部門等的技術。」 [25]
- APT1 是中國人民解放軍61398部隊。
- APT2 是中國人民解放軍61486部隊。
- APT3 (又名Boyusec) 是中國國家安全部廣東省國家安全廳。[26]
- APT10 (又名Red Apollo), 是中國國家安全部天津市國家安全局。
- APT12 (又名Numbered Panda) 是解放軍所屬身份不明組織。
- APT17 (又名DeputyDog) 是中國政府所屬身份不明單位。[27]
- APT18 (又名Dynamite Panda或Scandium) 是解放軍海軍所屬部隊之一。[28]
- APT19 (又名Deep Panda或C0d0so0 Team) 是中國政府所屬身份不明單位。
- APT20 (又名Violin Panda或Wocao) 是中國政府所屬身份不明單位。[29][30]
- APT22 (又名Suckfly) 是中國政府所屬身份不明單位。
- APT26 (又名Turbine Panda) 是中國國家安全部江蘇省國家安全廳。
- APT27 (又名Emissary Panda) 是中國政府所屬身份不明單位。[31]
- APT30 (又名Naikon) 是中國人民解放軍78020部隊。
- APT31 (又名Zirconium或Hurricane Panda) 是中國國家安全部湖北省國家安全廳[32][33][34][35]
- APT40 是中國國家安全部海南省國家安全廳。
- APT41 (又名Double Dragon、Winnti Group或Barium) 是中國國家安全部所屬單位之一,位於中國成都。[39][40][41][42][28]
- LightBasin[43][44] (又名UNC1945)
- Dragonbridge[45]
- Tropic Trooper[46][47]
- Volt Typhoon[48]
- Flax Typhoon[49]
- Charcoal Typhoon (又名CHROMIUM)[50][51]
- Salmon Typhoon (又名SODIUM)[50][51]
- 鹽颱風(Salt Typhoon,又名GhostEmperor或FamousSparrow)[52][53]
- Kimsuky
- Lazarus 組織 (又名 APT38)
- Ricochet Chollima (又名 APT37)
- StrongPity (又名 APT-C-41 或 PROMETHIUM)[61]
注
參考文獻
延伸閱讀
參見
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.