APT-атака – это целевая атака, в ходе которой профессиональные киберпреступники тайно вторгаются в сеть и остаются незамеченными в течение долгого времени.
Злоумышленники используют целый арсенал современных технологий, которые упрощают принятие решений, помогая им изучать целевую систему и скрытно проникать в инфраструктуру для последующего сбора ценной информации.
Что важно знать:
- APT-атака – это целевая кибератака под управлением человека, которая проводится скрытно и может продолжаться неделями и месяцами. Злоумышленники не заинтересованы в причинении мгновенного ущерба, их цель – прочно закрепиться в сети.
- Для получения доступа к инфраструктуре и закрепления в ней они используют такие тактики, как фишинг, эксплойты нулевого дня, социальная инженерия, а также ИИ-инструменты.
- Большинство их жертв – организации, однако в результате утечки данных или компрометации устройств могут пострадать и отдельные пользователи.
- В ходе масштабных инцидентов в руки злоумышленников нередко попадают персональные данные, которые они продают или используют в своих целях.
- APT-атаки проводятся поэтапно, и, если на каком-то этапе ИБ-специалисты блокируют угрозу, злоумышленники ищут новые пути проникновения, используя технологии искусственного интеллекта.
- Пользователи могут снизить риски подобных атак, регулярно обновляя устройства, следуя правилам кибербезопасности и используя инструменты, способные анализировать поведение систем.
- В последнее время APT-группы все чаще атакуют цепочки поставок и используют более правдоподобные методы социальной инженерии.
APT-угрозы в контексте кибербезопасности
APT-атака – это целевая атака, в ходе которой злоумышленники проникают в систему и надолго закрепляются в ней.
Для этого они используют передовые инструменты и техники. Например, эксплойты нулевого дня, самописные вредоносные программы и системы на базе искусственного интеллекта. Злоумышленники надолго закрепляются в атакованной системе: изучают инфраструктуру, восстанавливают доступ, если ИБ-специалисты блокируют атаку, и при необходимости корректируют свои методы.
Современные APT-атаки проводятся под управлением операторов, которые контролируют каждый этап и адаптируют тактику к развернутым в системе средствам защиты. Искусственный интеллект позволяет злоумышленникам продвигаться быстрее и использовать меньше ресурсов для поддержания присутствия в сети, а также действовать анонимно и избегать обнаружения.
Специалисты по кибербезопасности традиционно выделяют пять этапов APT-атак, но на практике это гибкий, постоянно эволюционирующий процесс. Современные злоумышленники используют средства автоматизации на базе ИИ для закрепления в системе, а адаптивные методы управления атакой позволяют им оставаться в инфраструктуре даже в случае обнаружения некоторых вредоносных процессов.
Роль человеческого фактора
Большинство APT-атак начинаются с обмана. Для получения первоначального доступа к инфраструктуре злоумышленники используют методы социальной инженерии, которые не теряют своей актуальности.
Один неверный шаг пользователя сводит к нулю эффективность даже самых продвинутых систем защиты – для компрометации сети достаточно одного клика по вредоносной ссылке или передачи небольшого фрагмента информации злоумышленникам.
Киберпреступники разрабатывают все более сложные тактики и не стремятся к массовому охвату. Например, в целевых фишинговых атаках используются реальные данные о компании или перехваченные цепочки электронных писем. ИИ-технологии позволяют злоумышленникам создавать максимально правдоподобные письма.
Киберпреступники нередко привлекают внимание пользователя с помощью приманок, например, фейковых страниц для входа в облачные сервисы или важных уведомлений якобы от установленных на устройстве систем. Подобные техники затрудняют распознавание угрозы, особенно когда сообщение не вызывает у пользователя сомнений в подлинности отправителя – коллеги или доверенного партнера.
На начальном этапе APT-атак ключевые решения принимает человек. Отвлекающие приемы или искусно составленные фишинговые сообщения способны открыть киберпреступникам первоначальный доступ к сети.
Механизм APT-атаки
APT-атаки развиваются поэтапно, позволяя злоумышленникам проникнуть в сеть и действовать незаметно. Большинство атак включают следующие этапы.
Этап 1. Получение доступа
Прежде всего, злоумышленникам нужно получить доступ к системам. Для внедрения вредоносных программ в целевую сеть они используют зараженные файлы, спам-сообщения или уязвимости приложений. Современные технологии позволяют полностью автоматизировать этот этап. С их помощью злоумышленники проверяют сразу несколько потенциальных точек входа и корректируют тактику, если инструменты безопасности блокируют попытку проникновения.
Этап 2. Закрепление в системе
Внедряя вредоносное ПО, киберпреступники создают сеть бэкдоров и туннелей, позволяющую им продвигаться по инфраструктуре и избегать обнаружения. Для маскировки своих действий они используют вредоносные программы, которые переписывают собственный код.
Современные программы способны восстанавливаться после попыток удаления и находить новые точки входа в случае обнаружения.
Этап 3. Расширение доступа
Проникнув в сеть, злоумышленники начинают взламывать пароли, чтобы получить права администратора, установить контроль над системами и расширить возможности доступа. Для этого могут использоваться средства автоматизации и скрипты, которые анализируют права доступа и оперативно адаптируются к системам, доступ к которым ограничен или отслеживается. Такие приемы затрудняют обнаружение угрозы.
Этап 4. Перемещение по инфраструктуре
Получив права администратора, злоумышленники могут свободно перемещаться по инфраструктуре. В некоторых случаях они пытаются получить доступ к другим серверам и защищенным участкам сети. Они все чаще автоматизируют этот этап, чтобы получить больший контроль и тщательнее изучить систему.
Этап 5. Наблюдение, изучение, присутствие
Изучая систему изнутри, киберпреступники получают полное представление об используемых механизмах и уязвимостях и незаметно собирают нужную им информацию. Анализируя развернутые средства безопасности, они выбирают наиболее эффективные методы обхода защиты, позволяющие им оставаться в системе как можно дольше.
Защита от APT-атак
APT-угрозы способны долгое время оставаться незамеченными и адаптироваться к меняющимся условиям. Системы защиты на базе поведенческого анализа и ИИ-технологий вовремя обнаруживают подозрительную активность и снижают риски долговременного доступа киберпреступников к инфраструктуре.
Запросить бесплатную оценку APT-рисковПути проникновения и получения контроля над инфраструктурой
Для проникновения в сеть злоумышленникам достаточно найти всего одно слабое звено, например уязвимость в корпоративной системе, личном устройстве или онлайн-сервисе, которыми сотрудники пользуются ежедневно.
Методы злоумышленников становятся все более эффективными. Эксплойты нулевого дня применяются для проникновения в сеть через неисправленную уязвимость и способны поражать как корпоративное, так и пользовательское ПО. В атаках типа watering hole используются зараженные сайты, которые регулярно посещают отдельные группы пользователей. Для атаки на сотрудников компаний и частных пользователей киберпреступники используют все более хитроумные приманки, например поддельные страницы для входа в облачные сервисы или срочные системные сообщения, которые практически неотличимы от настоящих.
Большинство APT-групп атакуют основную цель не сразу. Сначала они взламывают небольшие сторонние сервисы или популярные программные инструменты и используют их, чтобы добраться до корпоративных и частных пользователей этих сервисов, – и эта тактика особенно эффективна, когда одни и те же устройства или учетные записи используются как для работы, так и для личных целей.
Бэкдоры и удаленные терминалы позволяют злоумышленникам закрепиться в системе. Эти инструменты обеспечивают постоянное присутствие в атакуемой системе и блокируют действия, направленные на ограничение доступа. Для продвижения по инфраструктуре злоумышленники задействуют обнаруженные в системе уязвимости и постепенно повышают привилегии, чтобы перехватить контроль над новыми системами.
Продвижение, обход защиты и получение долговременного доступа
Надежно закрепившись в инфраструктуре, злоумышленники начинают скрытно исследовать подключенные системы, учетные записи и каналы связи – корпоративные серверы, облачные сервисы и даже домашние и частные сети, к которым пользователи подключаются с рабочих устройств или через общие учетные записи.
Их цель – понять, как функционирует среда и как достичь своих целей, не привлекая внимания. Таким образом, они получают больше времени для компрометации личной информации, подключенных учетных записей и иных конфиденциальных данных, принадлежащих организации или отдельным пользователям.
Специальные техники позволяют злоумышленникам скрывать следы своего присутствия. Они нередко модифицируют записи в журнале событий или используют сложные бесфайловые вредоносные программы, которые выполняются только в памяти. Некоторые используют зашифрованные каналы связи для передачи данных, маскируя их в потоке легитимного трафика. Для закрепления в инфраструктуре могут использоваться ИИ-технологии, которые меняют свое поведение при срабатывании систем безопасности и восстанавливаются после удаления.
Передовые системы защиты тоже используют искусственный интеллект и машинное обучение для противодействия атакам. Они отслеживают аномальное поведение в учетных записях и сетях и выявляют модели входа в систему или активности, которые отличаются от привычных шаблонов поведения. Это важно, поскольку во многих продвинутых атаках не используется вредоносное ПО, обнаруживаемое традиционными системами защиты, – злоумышленники маскируют свою активность и выжидают удобный момент.
Иными словами, современные системы безопасности ориентированы на своевременное предотвращение угроз, а не просто на устранение последствий атаки. Они могут обнаруживать малейшие признаки угрозы и блокировать доступ до того, как злоумышленники успеют закрепиться на новом участке сети.
Эволюция защиты от APT-атак
Подходы к защите продолжают развиваться. Разрабатываются постквантовые криптографические алгоритмы, способные защитить конфиденциальные данные от угроз будущего, перед которыми современные методы шифрования могут оказаться бессильны. Пользователям не нужно развертывать эти технологии на своих устройствах – алгоритмы уже используются поставщиками цифровых услуг для долгосрочной защиты данных.
Недавние инциденты наглядно показывают, насколько стремительно эволюционируют методы APT-атак, а сами APT-атаки обретают новые признаки по мере развития технологий. В последнее время мы наблюдали атаки с использованием скомпрометированных обновлений ПО и аудиодипфейков. Появились новые техники атаки через доверенные приложения. Каждый из анализируемых инцидентов – яркий пример невероятной гибкости и терпеливости APT-групп.
Нейтрализация APT-атаки не всегда гарантирует устранение угрозы. Злоумышленники часто оставляют скрытые бэкдоры и дополнительные импланты, которые позволят возобновить атаку позже. Полное понимание жизненного цикла APT-атаки позволяет организациям и пользователям точнее оценить характер угрозы.
Кто стоит за APT-атаками?
Как правило, APT-атаки проводят не хакеры-одиночки, а крупные группы, обладающие внушительными ресурсами.
Многие участвуют в государственных программах, предусматривающих финансирование киберопераций с целью сбора разведданных или получения стратегических преимуществ.
Некоторые группы действуют как гибридные структуры, совмещая государственные задачи с преступной деятельностью. Некоторые организованные киберпреступные группы дополняют свои операции по извлечению данных или вымогательству тактиками, характерными для APT-атак.
Чаще всего их мишенями становятся отрасли, поддерживающие критически важные инфраструктуры, или компании, аккумулирующие огромные объемы конфиденциальных данных.
Цели APT-кампаний
APT-группы не похожи друг на друга – они преследуют разные цели.
Некоторые занимаются шпионажем и длительным наблюдением ради достижения политических целей. Другие хотят быстро получить финансовую выгоду. Но у них есть и общие черты – это терпеливость и умение планировать свои действия. Они не стремятся к быстрой наживе, а тщательно продумывают атаки, которые принесут выгоду в долгосрочной перспективе.
Последствия APT-атак для обычных пользователей
Последствия масштабных APT-атак часто затрагивают и обычных пользователей. Кроме того, злоумышленники могут атаковать людей, взаимодействующих с интересующими их организациями.
Косвенные последствия атак для пользователей
Взламывая корпоративную сеть или публичную службу, злоумышленники нередко получают доступ к большим объемам персональных данных. Даже если пользователь не был основной целью преступников, его данные все равно могут оказаться скомпрометированными. Это важно
Атаки через личные устройства
Личные и рабочие устройства часто используются в качестве точек входа для атаки. Доступ к корпоративным системам с зараженного ноутбука или через скомпрометированную домашнюю сеть позволяет злоумышленникам проникнуть в более широкую инфраструктуру компании. Чем больше подключенных устройств используется в быту, тем выше риски атаки на устройства умного дома, частные сети и связанные учетные записи через уязвимости в пользовательских системах безопасности.
На какие признаки стоит обратить внимание обычным пользователям
APT-атаки проводятся скрытно, но и у них есть свои признаки: например, подозрительные оповещения о входе в систему, нетипичная активность учетной записи или замедление работы устройства. Также следует обратить внимание на повторяющиеся попытки фишинговых атак, которые кажутся излишне персонализированными.
Игнорируя эти очевидные признаки, вы даете злоумышленникам возможность дольше использовать вашу учетную запись и извлекать дополнительные данные.
Отличие APT-угроз от обычного вредоносного ПО
APT-группы не стремятся к быстрым результатам и широкому охвату. Они действуют методично, оставаясь незамеченными в течение долгого времени.
Обычное вредоносное ПО, как правило, используется для массовых атак и быстрой наживы, в то время как APT-группы выбирают конкретную жертву и тщательно прорабатывают механизмы обхода защиты. Это два совершенно противоположных подхода.
В отдельных APT-операциях злоумышленники используют программы-вымогатели для шифрования файлов пользователей и требуют выкуп за восстановление доступа, который должен быть уплачен в течение нескольких часов. APT-группы предпочитают действовать незаметно: они проникают в систему, изучают ее в течение нескольких недель или месяцев и собирают нужные им данные. Комбинация собственного суждения и инструментов, способных динамически менять поведение при обнаружении атаки, позволяет достигать максимальных результатов. Именно такой подход к управлению атакой отличает APT-угрозы от обычного, заранее запрограммированного вредоносного ПО.
Как обнаружить APT-атаку
Выявление APT-угроз осложняется тем, что активность злоумышленников практически неотличима от легитимного поведения систем. Однако это не значит, что обнаружить их невозможно – существует немало признаков, которые предупреждают о развивающейся атаке. Прежде всего, важно отслеживать подозрительное поведение систем.
- Доступ к файлам в нетипичное время
- Неожиданная или нетипичная передача данных
- Вход в учетные записи из новых географических точек
- Снижение производительности устройств
- Повышение сетевой активности
- Произвольное изменение параметров
Важно проверять устройство на наличие незнакомых приложений и фоновых процессов, которые вы не запускали. Мониторинг важных файлов и параметров позволит вовремя заметить небольшие изменения и предотвратить распространение угрозы.
Традиционные антивирусные программы и сетевые экраны обнаруживали угрозы, опираясь на базу известных сигнатур вредоносного ПО. Наши средства безопасности ориентируются не столько на поиск известных угроз, сколько на анализ поведения систем и выявление аномалий с помощью ИИ.
Эксперты «Лаборатории Касперского» помогут пользователям обнаружить угрозы, найти и удалить вирусы, которые проникли на их устройства в обход защитных механизмов.
Оповещения системы безопасности и мониторинг учетных записей
Включите оповещения о входе для ключевых учетных записей, чтобы мгновенно узнавать о попытках несанкционированного доступа. Проверяйте журналы активности всех учетных записей и используемых инструментов – там должны быть записи только о ваших действиях. Записи о действиях, которые вы не совершали, означают, что кто-то пытается воспользоваться украденными учетными данными.
Полезные инструменты для обнаружения угроз
Используйте комплексное защитное ПО, которое отслеживает подозрительное поведение, а не только известные сигнатуры вредоносных программ. Средства поведенческого анализа и инструменты на базе ИИ оперативно обнаруживают аномалии и блокируют попытки продвижения злоумышленников вглубь инфраструктуры.
Включите автоматические обновления, чтобы ваше устройство всегда было защищено от новейших APT-атак. Решения «Лаборатории Касперского» защитят от поддельных сайтов и фишинговых сообщений, с помощью которых злоумышленники пытаются похитить данные и деньги.
Защита от APT-атак для пользователей
Регулярное обновление программного обеспечения, многофакторная аутентификация, надежные пароли и умение распознавать фишинговые атаки существенно сокращают количество потенциальных точек входа для злоумышленников.
Даже одна заблокированная попытка доступа способна остановить продвижение преступников вглубь инфраструктуры. APT-группы обычно атакуют крупные организации, но при этом они нередко полагаются на привычки пользователей. Всесторонняя защита должна обеспечиваться на всех уровнях. Слабыми звеньями в системе защиты нередко выступают домашние устройства, личные учетные записи электронной почты и повторно используемые пароли, которые злоумышленники эксплуатируют для получения доступа к корпоративной инфраструктуре.
Современное защитное ПО снижает эти риски. Передовые инструменты не ограничиваются отслеживанием известных вредоносных программ – они блокируют подозрительное поведение и предотвращают несанкционированные изменения в системе. Этот метод позволяет нейтрализовать угрозы превентивно – до того, как они причинят вред.
Благодаря технологическому прогрессу появляются новые подходы к защите. Некоторые платформы предотвращают изменение журналов системной активности и модификации файлов с помощью блокчейн-технологии, лишая злоумышленников возможности скрыть изменения или переписать историю действий после проникновения в систему. В таких системах практически невозможно незаметно изменить файлы или скрыть следы вредоносной активности.
Как действовать при подозрении на компрометацию
Если вы считаете, что ваше устройство или учетная запись скомпрометированы, действуйте быстро.
Прежде всего, отключите устройство от сети. Войдите в учетную запись с безопасного устройства, измените пароли и проверьте, нет ли в журналах активности записей о подозрительных входах или изменении параметров. Запустите полную проверку устройства с помощью ПО, способного выявлять аномальное поведение и активные современные угрозы.
В случае повторения проблемы или компрометации конфиденциальных учетных записей учитывайте, что опытные злоумышленники нередко оставляют скрытые бэкдоры. С их помощью они смогут восстановить доступ, даже если атака кажется заблокированной.
Если признаки компрометации появляются снова, самым эффективным способом устранить угрозу может быть полная очистка устройства и установка системы с нуля. Так вы удалите все скрытые инструменты, которые обходят механизмы безопасности и ослабляют вашу защиту.
Всегда следуйте основным правилам кибербезопасности. Включите многофакторную аутентификацию там, где есть такая возможность. Проверяйте журналы активности учетных записей на предмет подозрительных подключений и изменения параметров восстановления доступа.
Последние инциденты, демонстрирующие механизм APT-атак
Это не абстрактная угроза. Недавние инциденты служат ярким примером поразительной скрытности APT-атак.
Крупнейшие инциденты с 2020 года
Solar Winds
Одной из самых нашумевших стала атака на SolarWinds Orion: в 2020 году злоумышленникам удалось внедрить вредоносный код в обновление продукта и перехватить права администратора на зараженных устройствах.
Устанавливая модифицированное обновление, пользователи, сами того не зная, открывали преступникам удаленный доступ к корпоративным сетям. Злоумышленники выбирали среди атакованных устройств наиболее приоритетные и развертывали дополнительные инструменты для продвижения и закрепления в инфраструктуре.
MOVEit
В 2023 году утечка данных из MOVEit вскрыла уязвимости MFT-систем. Эксплуатируя уязвимость нулевого дня в ПО MOVEit, группа вымогателей развернула веб-шеллы на скомпрометированных серверах и успела извлечь данные тысяч организаций до того, как об уязвимости стало известно.
Чему учат эти инциденты
Они показывают, что злоумышленники не всегда атакуют пользователей напрямую. Компрометация доверенного ПО или сервиса открывает им доступ сразу к нескольким организациям.
Эти инциденты наглядно демонстрируют практическую реализацию многоэтапной стратегии закрепления. В рассмотренных примерах злоумышленники устанавливали бэкдоры или использовали скрытые веб-шеллы и перемещались по инфраструктуре в поисках ценной информации.
Вывод прост: безопасность пользователей зависит не только от их собственных систем. Соблюдая правила кибербезопасности и мгновенно реагируя на оповещения об угрозах, вы сможете значительно укрепить защиту своих данных.
Вопросы и ответы
Как долго APT-группы остаются в системе?
APT-группы могут оставаться в системе в течение нескольких недель и даже лет. Их цель – собирать нужные данные и анализировать работу компании, не привлекая к себе внимания как можно дольше.
Почему так сложно обнаружить APT-атаки?
Подобные атаки сложно обнаружить, поскольку злоумышленники используют самописные инструменты и маскируют свои действия под обычные системные процессы или сетевую активность.
Связаны ли APT-группы с конкретными странами?
Считается, что существуют APT-группы, связанные с конкретными государствами или получают от них поддержку, а некоторые действуют за пределами территориальных границ. В открытых отчетах часто используют кодовые имена, не называя страны напрямую.
Как APT-группы выбирают жертв?
Их жертвами, как правило, становятся не отдельные пользователи, а государственные организации и крупные компании, обладающие важной информацией или доступом к ключевым системам. В некоторых случаях атака на крупные инфраструктуры начинается с компрометации систем небольших компаний.
Другие продукты
- Выявление рисков и устранение сомнений
Если вы считаете, что могли стать жертвой APT-атаки, или хотите получить независимую оценку защищенности вашей компании, воспользуйтесь решением Kaspersky Compromise Assessment – оно поможет обнаружить прошлые и текущие атаки, а также приоритизировать действия по восстановлению с учетом обнаруженных улик и аналитических данных об угрозах. - Быстрое реагирование на инцидент.
Если вы считаете, что ваша инфраструктура атакована, или уже подтвердили инцидент, эксперты Kaspersky Incident Response помогут провести расследование, сдержать угрозу, выполнить криминалистический анализ и восстановить рабочие процессы. Для непрерывной защиты используйте Kaspersky Managed Detection and Response (MDR) – наши специалисты будут круглосуточно следить за безопасностью вашей инфраструктуры, выполнять активный поиск угроз и дадут пошаговые рекомендации по реагированию в случае их обнаружения. - Повышение эффективности обнаружения APT-атак и реагирования на них
Масштабируйте возможности оперативного обнаружения угроз с технологиями классов EDR и XDR. Если вы хотите развернуть специализированную защиту от APT-угроз и повысить прозрачность инфраструктуры, используйте платформу Kaspersky Anti Targeted Attack (KATA), которая предлагает возможности обнаружения сетевых атак, анализа подозрительных объектов в изолированной среде, активного поиска угроз и реагирования на них. - Обнаружение угроз на ранних этапах и обогащение данных
Платформа Kaspersky Threat Intelligence предоставит вашим ИБ-специалистам данные, необходимые для обнаружения новейших угроз на ранних этапах атаки, и дополнительный контекст, повышающий эффективность расследования (в том числе отчеты об APT-атаках и машиночитаемые потоки данных об угрозах, которые можно интегрировать с используемыми средствами безопасности). - Сокращение поверхности атаки (защита от атак через электронную почту и BEC-атак)
Kaspersky Security для Microsoft Office 365 повысит безопасность электронной почты и защитит от фишинга, программ-вымогателей, атак с помощью вредоносных вложений и BEC-атак.
