19 июня 2013

Что такое APT?

Угрозы

APT это сокращение от Advanced Persistent Threat, то есть сложная постоянная угроза. Термин известен давно, но стал действительно популярен   после разоблачительного материала в «Нью-Йорк таймс», где рассказывалось об атаке на эту газету, устроенной китайской военной структурой, теперь известной как APT 1. Атака также проводилась на многие корпоративные сети при помощи серии фишинговых посланий и специально написанных вредоносных программ.

Целью APT-атаки является конкретный компьютер

Рассматривать APT можно с двух сторон: это и сама атака, и это люди, стоящие за ней. С одной стороны, сложная постоянная угроза (APT) является высокоточной кибератакой. С другой стороны, APT можно назвать группу, спонсируемую государством либо иным покровителем, оплачивающим целевую атаку.

На самом деле такие угрозы несколько контринтуитивны. Когда речь идет о киберпреступниках и распространителях вредоносных программ, принято считать, что их целью является заражение как можно большего числа компьютеров и хищение оттуда данных либо создание на их основе бот-сети для массовой атаки. Чем шире созданная сеть, тем больше возможностей для кражи денег, мощнее вычислительные ресурсы и серьезнее последствия. APT-атаки же направлены на заражение компьютера всего лишь нескольких конкретных людей.

Вам не нужно быть генеральным директором, чтобы стать потенциальной мишенью для APT-атаки. Любой пользователь, подключившийся к Интернету, уже является потенциальной мишенью.

Конечной целью APT-атаки является машина, на которой есть действительно ценная информация. Для атакующего будет прекрасным результатом, если получится загрузить кейлоггер или установить бэкдор на компьютер исполнительного директора или любого ответственного сотрудника. Однако чаще всего именно их компьютеры имеют наилучшую защиту, поэтому взломать их крайне сложно.

Таким образом, вместо прямой конечной цели в виде руководителя компании APT-группа выбирает целью атаки на компьютер простого копирайтера или дизайнера, где, как правило, нет ценной информации, однако он находится в одной сети с более интересным злоумышленникам компьютером, поэтому может стать ступенью к атаке на более ценный объект. Напомним, зараженные машины рядовых сотрудников использовались для отправки фишинговых писем генеральному директору.

Однако такая тактика тоже не всегда является эффективной, так как компании все чаще применяют серьезную корпоративную защиту и проводят тренинги и курсы безопасности для сотрудников. Поэтому APT-хакеры прибегают к более сложным и изощренным способам добычи информации. Например, ваш дядюшка является большой шишкой в Boeing или вы сами работаете инженером в компании, которая производит какое-то второстепенное оборудование для этого авиационного гиганта. В этом случае вы вполне можете стать отправной точкой для атаки APT-группой, вследствие чего будет украдена ценнейшая информация.

Ситуация такова, что вам не нужно быть генеральным директором, чтобы стать потенциальной мишенью для APT-атаки. Любой пользователь, подключившийся к Интернету, уже является потенциальной мишенью.

В начале июня аналитики «Лаборатории Касперского» рассказали на  Securelist, как обнаружили шпионский APT-инструмент под названием NetTraveler, с помощью которого велась атака на крупнейших и известных военных и дипломатических работников, военных подрядчиков и государственные учреждения в 40 странах мира. Как и многие аналогичные атаки, эта началась с простого фишинг-письма, использовавшего пару известных уязвимостей Microsoft. В конце концов злоумышленники успешно установили на сотнях компьютеров  инструмент, способный управлять клавиатурными шпионами, крадущий информацию из документов Word, Excel и PowerPoint, а также  CorelDraw и AutoCAD-файлы и другие типы файлов, используемые в оборонной промышленности. Эта атака относится к долговременной сложной постоянной угрозе, так как хорошо видно, что целью ее являются конкретные компании и лица, компьютеры которых содержат секретную информацию. Как я уже говорил выше, APT может исходить как от одного хакера, так и от целой группы. В этом случае вышла довольно плодовитая атака. Возможно, не такая эффективная, как пресловутая APT 1, но исследователи «Лаборатории Касперского» утверждают, что тот, кто запустил NetTraveler, может быть ответственен за «Титановый Дождь» и GhostNet.