Na czym polega atak APT? Jak się obronić?

Przeczytaj także: Lazarus atakuje pracowników z polskiej branży zbrojeniowej

Niestabilny klimat polityczny szczególnie sprzyja działaniom hakerów sponsorowanym przez państwo lub inne podmioty o motywacjach politycznych. Grupy te często stoją za atakami typu APT (Advanced Persistent Threat), których celem zazwyczaj jest infiltracja sieci, kradzież lub zniszczenie danych, a także unieruchomienie infrastruktury krytycznej.

Jednym z najbardziej obrazowych przykładów ataków APT są skoordynowane działania grup rosyjskich wymierzone przeciwko ukraińskim instytucjom, organizacjom rządowym i wojskowym. Trwająca od lutego 2022 roku wojna rozgrywa się również w cyberprzestrzeni. Rosyjscy hakerzy permanentnie atakują sektor energetyczny. Do tego dochodzą ataki na media, a ostatnimi czasy zintensyfikowane działania dążące do przejęcia cyfrowych dowodów zbrodni wojennych popełnianych przez Rosjan na Ukrainie.

Niestety, również polskie organizacje oraz instytucje znalazły się na celowniku rosyjskich grup hakerskich, prawdopodobnie działających w porozumieniu z GRU. Odnotowano groźne incydenty, za którymi stali Rosjanie, w sierpniu, wrześniu oraz listopadzie ubiegłego roku.

Oczywiście, nie tylko jedna nacja specjalizuje się w atakach APT. Dużą aktywnością wykazują się również na tym polu grupy z Korei Północnej, Iranu czy Chin. Z kolei Amerykanie są autorami jednego z najgłośniejszych ataków APT – Stuxnet zaatakował system komputerowy reaktora atomowego Bushehr, a jego zadaniem było zatrzymanie prac Iranu nad wzbogacaniem uranu.

Na czym polega APT?

APT jest wyrafinowanym, trwałym atakiem, podczas którego napastnik pozostaje niewykryty przez długi czas w środowisku informatycznym firmy lub instytucji. Długi okres może oznaczać miesiące, zaś w ekstremalnych przypadkach nawet lata. Napastnicy bardzo starannie planują i projektują atak, aby móc jak najdłużej pozostawać w sieci ofiary.

Przeprowadzenie ataku typu APT wymaga znacznie większego stopnia dostosowania i wyrafinowania niż w przypadku zwykłych incydentów. Wysokie wymagania idą w parze z wysokimi kosztami, ponieważ do wykonania tego zadania konieczne jest zatrudnienie specjalistów posiadających bogate doświadczenie w badaniu oraz identyfikacji luk występujących w zabezpieczeniach systemów IT. - tłumaczy Robert Dziemianko, Marketing Manager w G DATA.

Najczęstsze cele ataków APT to: cyberszpiegostwo (w tym kradzież wartości intelektualnych, ważnych dokumentów lub tajemnic państwowych), zysk finansowy, haktywizm oraz destrukcja danych, sprzętu IT lub infrastruktury krytycznej.

W jaki sposób przebiega atak?

Wykrycie i zapobieganie atakom APT wymaga rozpoznania ich charakterystycznych cech. Jedną z nich jest niecodzienna aktywność na kontach użytkowników, takich jak na przykład wzrost logowań w nocy. Inne niepokojące symptomy obejmują niespodziewane przepływy informacji, w tym anomalie danych wychodzących, nietypowy wzrost operacji bazodanowych oraz obecność trojanów backdoor.

Sam atak zazwyczaj składa się z trzech etapów: infiltracji sieci, rozszerzenia dostępu oraz osiągnięcia celu.

W pierwszej fazie napastnicy uzyskują dostęp do sieci poprzez wykorzystanie technik socjotechnicznych, najczęściej za pomocą wiadomości phishingowych. E-maile są wysyłane do określonych osób, często dyrektorów finansowych, głównych księgowych lub członków zarządu. Jeśli ofiara się złapie, napastnicy instalują złośliwe oprogramowanie, a następnie przechodzą do drugiej fazy, czyli mapowania sieci i zbierania poświadczeń, takich jak nazwy kont, loginy, hasła. Po uzyskaniu tych danych zdobywają dostęp do krytycznych informacji biznesowych. Eksfiltracja stanowi trzecią część ataku APT. Cyberprzestępcy przechowują skradzione informacje w bezpiecznym miejscu w sieci, dopóki nie zostanie zebrana wystarczająca ilość danych. Następnie wydobywają lub "eksfiltrują" informacje, pozostając cały czas niewykrytymi przez ofiarę. Czasami używają taktyk mających na celu zmylenie przeciwnika i odwrócenie uwagi działu bezpieczeństwa IT od właściwego problemu, przeprowadzając atak typu DoS (Denial of Service). Co istotne, napastnicy mogą powtarzać ten proces przez bardzo długi czas, dopóki nie zostaną wykryci lub nie utworzą backdoora, aby móc później ponownie uzyskać dostęp do systemu.

Obrona przed trwałymi zaawansowanymi zagrożeniami

Firmy oraz instytucje, które zamierzają skutecznie przeciwstawić się grupom APT, muszą połączyć wiele warstw kontroli, takich jak ochrona sieci i punktów końcowych za pomocą firewalli, oprogramowania antywirusowego oraz narzędzi do szyfrowania danych. Dodatkowo należy podzielić sieć na strefy o różnych poziomach dostępu i uprawnieniach, wdrożyć narzędzia do monitorowania bezpieczeństwa sieci, wprowadzić silne zasady uwierzytelniania i autoryzacji. Bardzo ważna jest również edukacja pracowników w zakresie rozpoznawania cyberzagrożeń.