Fortinet - ataki APT

Przeczytaj także: Ataki hakerskie: Cybernetyczna Wojna Światowa

Zaawansowane ataki typu APT to ataki ukierunkowane, często organizowane przez rządy państw, mające na celu uszkodzenie lub kradzież poufnych danych. Jedną z cech szczególnych tych ataków jest fakt, że są one trudne do zidentyfikowania i mogą pozostać przez lata niezauważone. Dla przykładu Information Week podał w maju 2013 informacje o trwającym kilka lat ataku APT na rząd Pakistanu i przedsiębiorstwa zajmujące się globalnym wyszukiwaniem informacji, a także na branżę motoryzacyjną, budowlaną i wojsko. Zasugerowano, że atak rozpoczął się w 2010 roku (lub wcześniej). Zagrożone organizacje nie były w stanie zmierzyć się z tego typu wyrafinowanymi atakami przy użyciu tradycyjnych stosowanych przez nie informatycznych systemów ochrony bezpieczeństwa.

W jaki sposób hakerzy przystępują do rozpoczęcia ataku APT?

Wprawdzie każdy atak APT jest dostosowany do celu, jednak zwykle można wyróżnić następujące etapy przygotowania ataku: wybór celu, analiza dotycząca organizacji – jej pracowników, polityki, aplikacji i systemów, których używa - oraz budowanie jej profilu ze szczegółową listą potencjalnych osób na celu wewnątrz organizacji.

Osoba atakująca przystępuje do wyszukiwania odpowiednich metod, np. stosuje inżynierię społeczną lub rozsyła swoje narzędzia do przejęcia stacji ofiary poprzez specjalnie przygotowane e-maile mające na celu wprowadzenie złośliwego oprogramowania z dostępem zdalnym na jednym z komputerów docelowych.

Gdy atakujący dostanie się do sieci swojego celu, próbuje wykorzystać luki w komputerach wewnętrznych. Dzięki dostępowi do sieci dane mogą być łatwo filtrowane. Hasła, pliki, bazy danych, konta e-mail i inne potencjalnie cenne dane mogą być przechwytywane przez osobę atakującą.
Co więcej, nawet po dokonaniu kradzieży danych, osoba atakująca może pozostać obecna w sieci swojej ofiary i nadal obserwować jej zasoby.

Jakich narzędzi może użyć atakujący w celu dokonania ataku APT?

Kombinacja narzędzi i technik, które atakujący stosują do tworzenia zaawansowanych trwałych zagrożeń jest często taka sama jak w przypadku codziennych zmasowanych cyberataków, np.:

• Złośliwe oprogramowanie: niektórzy hakerzy stosują specjalnie opracowane złośliwe oprogramowanie, aby wykorzystać komputer ofiary, podczas gdy inni używają „masowych" narzędzi, które są łatwo dostępne w Internecie.
• Inżynieria społeczna: zazwyczaj atakujący tworzy specjalne wiadomości e-mail na potrzeby ataków spear phishing z pozornie nieszkodliwymi załącznikami, które adresaci prawdopodobnie otworzą.
• Ataki zero-day exploit i inne działania: zero-day exploit polega na wykorzystaniu luki w oprogramowaniu, która pozwala atakującemu na wykonanie polecenia niezamierzonego kodu lub przejęcie kontroli nad komputerem docelowym. Są one zwykle prowadzone w ramach ataków typu spear phishing i watering hole.
• Insiderzy i rekruci: czasami osoba atakująca rekrutuje insidera, który pomoże jej w rozpoczęciu ataku - często jest to jedyny sposób, aby dotrzeć do komputera docelowego, który nie jest połączony z Internetem.
• Sfałszowane lub nieprawdziwe certyfikaty: osoba atakująca próbuje fałszować lub tworzy nieprawdziwy certyfikat SSL, aby nakłonić ofiarę do odwiedzenia strony pochodzącej rzekomo z bezpiecznej witryny.