APT je jen další buzzword
Přetrvávající pokročilé hrozby (Advanced Persistent Threat, zkr. APT) nejsou nic jiného než přesně cílené útoky proti konkrétní osobě nebo organizaci.
Je zřejmé, že útočník je v takovém případě nejen vysoce motivován, ale disponuje i potřebnými zdroji a má schopnosti takový útok realizovat. Rozdíl mezi běžnými a pokročilými útoky se na svém webu pokusil popsat i Bruce Schneier, který v podstatě říká, že jestliže u tradičních útoků je útočníkovi jedno, kdo se stane jeho obětí, tak u pokročilých útoků je cílem útočníka konkrétní osoba nebo firma. Je tomu skutečně tak, a APT není nic jiného než cílený útok. Proč však advanced a persistent?
Advanced techniques
Advanced především proto, že útočník je schopen použít celou škálu pokročilých technik k tomu, aby pronikl do systému. K dosažení cíle je připraven strávit nějaký čas hledáním zero-day zranitelnosti v daném systému, a poté napsat funkční exploit, začlenit ho třeba do polymorfního malwaru, vytipovat si konkrétní osobu v dané organizaci a za použití technik sociálního inženýrství dosáhnout toho, aby daná osoba tento malware spustila. Např. tak, že jí zašle mail s přílohou, která bude tento škodlivý kód obsahovat. Dále se může jednat o falešný access point či úmyslně pohozené médium v prostorách společnosti nebo zaslané poštou konkrétní osobě, kompromitaci partnera, který je důvěryhodný a má přístup do systému. Možností je spousta.
Poznámka: Škodlivý kód může být začleněn i do zcela nevinně vyhlížejícího pdf dokumentu, powerpointové prezentace nebo spreadsheetu. A může se jednat i o HTML stránky obsahující flashovou animaci, JAVA applet nebo Active X komponentu.
Persistent access
Nyní už jen zbývá vysvětlit, proč persistent neboli přetrvávající. Cílem útočníka je zajistit si trvalý přístup do systému dané organizace, neboť primárním cílem APT útoků je zpravidla získat citlivé informace, které se v dané organizaci nachází. Útočník však neví, kde přesně, a kromě toho je mnohdy požadováno, aby tyto informace byly sbírány dlouhodobě. Vzhledem k tomu, že cílem útoku jsou pouze informace, které na původním místě zůstanou, snižuje se tak šance, že bude průnik do dané organizace odhalen. Útočník tak může operovat v prostředí organizace poměrně dlouhou dobu a zcela bez povšimnutí.
Poznámka: Tím, že útočník může nepozorovaně operovat v prostředí dané organizace poměrně dlouhou dobu, může kompromitovat i další systémy a zajistit si tak trvalý přístup do organizace i poté, co organizace pojme podezření a přijme určitá bezpečnostní opatření.
APT není FUD
APT je cílený útok (targeted attack), který nejenže využívá pokročilých technik, ale také skutečnosti, že mnohé organizace neimplementovaly základní bezpečnostní opatření nebo je jejich zaměstnanci nedodržují. Proč tomu tak je? Především proto, že malé společnosti zpravidla bezpečnost příliš neřeší a velké zase nejsou schopny efektivně vyhodnocovat účinnost zavedených opatření. A jak trefně poznamenal jeden z diskutujících na Schneierově webu, APT by se mělo spíš překládat jako „Apathetic People Threat“. Nicméně není pravda, že v okamžiku, kdy budete implementovat a dodržovat všechna bezpečnostní opatření, tak nebudete vůči APT zranitelní. Budete, a o tom jak se APT bránit, si řekneme v příštím díle.
Závěr: Když se zamyslíme nad tím, jaké techniky jsou v rámci APT vlastně používány, tak zjistíme, že se nejedná o nic nového, že jsou to dokonce ty samé techniky, jaké hackeři používali už na samém počátku internetu, a že se k nim nyní zase vracejí. Z tohoto pohledu jsou APT jen letité osvědčené techniky (Aged Proven Techniques nebo chcete-li ještě poetičtěji Ancient Proven Techniques, zkr. APT;-).
Štítky: APT, buzzword, malware
K článku “APT je jen další buzzword” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.