Advanced persistent threat

  • Roman Šulc
  • 25.2.2016 13:49

Pokročilá a trvalá hrozba (APT) je typem kybernetického útoku, který se vyznačuje  dlouhodobým a vytrvalým infiltrováním a zneužíváním cílového systému za pomoci pokročilých a adaptivních technik, což jej odlišuje od běžných druhů napadení. Kampaň APT je obvykle zaměřena na vytěžení strategicky hodnotných utajených či neveřejných dat, omezení akceschopnosti cíle, nebo zaujetí pozice, která umožňuje budoucí realizaci zmiňovaného. Uskutečnění akcí, které definici APT naplňují, je spojeno s vysokou úrovní odborných znalostí, značnými finančními zdroji a schopností dlouhodobě se adaptovat na jednání oběti útoku. Charakteru APT tak nabývají především státní aktéři, potažmo jimi řízená a sponzorovaná uskupení, nebo specializované skupiny organizovaného zločinu.

Provedení útoku, jenž je typicky zaměřen na významné státní a soukromé instituce, předchází shromažďování relevantních informací o cíli (identifikace zaměstnanců, technologického zázemí) a technická příprava průniku do jeho systémů spočívající ve volbě vhodných softwarových nástrojů, tvorbě krycích identit, registraci domén atp. Ke vstupu bývá využito metod sociálního inženýrství v kombinaci s instalací malwaru, který umožňuje převzít kontrolu nad některými funkcemi, což dá útočníkům možnost zkoumat vnitřní prostředí, systematicky těžit data a postupně upevňovat svou pozici v napadené infrastruktuře. Popsaná procedura může trvat i několik let a zahrnovat dlouhá období, kdy je aktivita útočníků minimální, přičemž výjimkou není ani vedení velkého počtu obdobných operací proti různým cílům současně.

Nenápadnost a rozpětí útoků, kterými se kampaně APT vyznačují, činí z identifikace jednotlivých aktérů poměrně komplikovanou záležitost. Za účelem určení původu a rozsahu hrozby mohou být incidenty podrobeny analýze, zaměřené na shodné prvky v použitých technologiích, registací domén, postupech a dalších stopách, které útočníci zanechávají. Významnou úlohu zaujímá cíl útoku a charakter odcizených dat, umístění serverů, které s napadenými systémy komunikují, nastavená předvolba jazyka útočníků, specifické detaily používaných souborů a šifrovacích algoritmů, či určitý typ preferovaného malwaru nebo segmentů jeho kódu.

 

O autorovi: Roman Šulc

Partneři

Tento web používá k analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace