Šta su Advanced Persistent Threats - APT [what-is]
Koje su karakteristike APT-a? Kako se izvode APT napadi? Kako se zaštititi?
Sajber-napadi današnjice su sofisticiraniji, ozbiljniji i ostavljaju dalekosežnije posledice. Pre desetak godina počeli su masovni napadi krađe identiteta, kao i krađe podataka u kompanijama i državnim institucijama. Poslednjih godina došlo je do promene u IT infrastrukturi kompanija – u poslovne svrhe se koriste pametni mobilni uređaji, a pojava clouda i virtuelizacije stvorila je okruženje koje je raj za hakere, jer im obezbeđuje ogroman broj meta.
Najznačajnija promena je pojava naprednih upornih pretnji (Advanced Persistent Threats – APTs). APT nisu jednokratni napadi. To su dugoročne kampanje u kojima se pažljivo bira i targetira žrtva i gde se, često uz blagoslov nekih državnih službi, vrši internacionalna špijunaža i sabotaža.
Karakteristike APT napada
Šta je tačno APT i na koji način se APT napadi dešavaju? APT je uvek ciljani napad, ali nije svaki ciljani napad APT. Njegove osnovne karakteristike su sledeće:
- APT su skrojeni po meri žrtve. U njima se koriste visoko kastomizovani alati i tehnike napada razvijene za konkretnu žrtvu. U pitanju su alati za eksploatisanje zero-day ranjivosti, virusi, crvi i rootkiti. Napadi se često izvode tako što se lansira više pretnji istovremeno kako bi se osigurao neprekinut pristup sistemu mete napada. Koristi se i taktika žrtvovanja kako bi meta pomislila da je napad uspešno odbijen.
- Dugotrajni su i idu “ispod radara” – APT napadi se odvijaju tokom jednog dužeg vremenskog perioda, a da bi napadači ostvarili svoje ciljeve, neophodno je da ostanu neprimećeni.
- Imaju visoko postavljene ciljeve – Za razliku od raznoraznih prevara koje su osmišljene zbog brze zarade, APT kampanje služe za međunarodnu špijunažu i sabotažu, a u njima često tajno učestvuju i ljudi iz državnih službi. Cilj napada može biti skupljanje vojnih i političkih informacija, industrijska špijunaža, sabotaža poslovnih operacija ili uništavanje opreme.
- Imaju tačno određenu metu - Česte mete su državne agencije i postrojenja, kompanije iz vojne industrije i proizvođači proizvoda koji su visoko konkurentni na globalnom tržištu. Ponekad su dodatne mete vendori ili partnerske firme koje blisko sarađuju sa primarnom metom. Pored kompanija i proizvođača koji sarađuju sa državom, meta mogu biti i obične kompanije koje poseduju vrednu tehnologiju ili intelektualnu svojinu. Najčešća meta APT napada su kompanije iz industrije minerala i energije, zatim slede kompanije iz oblasti transporta, komunalnih usluga, telekomunikacija i inženjerstva.
Nije svaka kompanija meta APT napada, međutim, poznavanje materije može koristiti svim kompanijama. Zašto? Zato što ni ostali sajber-kriminalci ne spavaju i budite sigurni da će usvojiti i primeniti tehnike i alate koji se koriste u APT kampanjama.
Kako se izvode APT napadi?
Napadi se detaljno planiraju i sprovode. Obično postoje 4 faze napada: upad, otkrivanje, sakupljanje i izvlačenje informacija. U svakoj od faza mogu se kombinovati razne tehnike.
1. Upad (Incursion) – Obično se za upad u sistem mete koriste iste one tehnike koje se koriste u ciljanim napadima: socijalni inženjering, eksploatacija zero-day ranjivosti, SQL injections, ciljani malver i sl. Razlika između korišćenja ovih tehnika u APT napadima u odnosu na uobičajene ciljane napade je što je kod Advanced Persistent Threats napada namera da se u sistemu mete sagradi skrivena „tvrđava” odakle će se vršiti tajne operacije tokom dužeg vremenskog perioda. Kao deo ove faze obavljaju se i sledeće aktivnosti:
- Istraživanje – veliki broj ljudi obavlja istraživanje mete, nekad i više meseci. Istraživanje obuhvata upoznavanje sa sistemom, procesima i ljudima, uključujući i vendore i partnere.
- Socijalni inženjering
- Zero day ranjivosti
- Manuelne operacije – za razliku od phishinga kome je cilj što veći obuhat, ovde se obavljaju tačno izabrane operacije za tačno izabranu metu, odnosno cilj.
2. Otkrivanje (Discovery) – Kada uđu u sistem, napadači vrše automatsko skeniranje kako bi pronašli poverljiva dokumenta ili u nekim slučajevima operativna uputstva i uputstva za funkcionisanje. U ovoj fazi se mogu pronaći nezaštićeni fajlovi i mreže, ranjivosti u softveru i hardveru, kredencijali itd.
- Više pravaca napada – kao i kod prethodne faze, i ovde se koristi veći broj tehnika, a po potrebi se downloaduju dodatni alati za eksploatisanje ranjivosti u mreži, softveru i hardveru.
- Tiho i duboko – Primarni cilj ove faze je ostati neopažen kako bi se u tajnosti prikupljali podaci tokom dužeg vremenskog perioda. Koriste se različite metode i tehnike (npr. Hydraq, odnosno napad poznat pod nazivima Aurora i Google napadi).
- Istraživanje i analiza.
Kada se APT napad otkrije, uvek se javi pitanje: Kada se desio početak napada? Za razliku od drugih, tipičnih hakerskih napada gde se različitim tehnikama i metodama može ustanoviti kad se napad desio i šta je ukradeno, kod APT napada to je često nemoguće utvrditi. Žrtva mora da pročešlja po logovima, a ponekad i da se reši kompromitovane opreme zbog toga što su napadači odlično maskirali faze upada i istraživanja. Ponekad se APT “kill-chain” lako otkriva, ali to može biti diverzija da bi se ostvarili pravi ciljevi.
3. Sakupljanje informacija (Capture) – U ovoj fazi se pristupa prikupljenim podacima. Takođe, često se instalira novi malver (rootkit) u sistem ili pristupnu tačku kako bi se prikupili podaci i instrukcije koje međusobno šalju zaposleni u organizaciji. U nekim slučajevima, kao što je Duqu (preteča današnjih napada koji liče na Stuxnet napade) cilj malvera je bio prikupljanje informacija koje služe da napadači u budućnosti unaprede svoje metode i tehnike.
- Dugačak vremenski period – Imamo poznati primer velike špijunske operacije GhostNet, otkrivene marta 2009. godine, u kome je izvršeno infiltriranje u računarske sisteme u 103 zemlje, uključujući ambasade, ministarstva spoljnih poslova i druge vladine kancelarije, kao i Dalaj Lamine izbegličke centre u Indiji, Londonu i Njujorku. GhostNet operacija je započela 22.maja 2007. godine i trajala je najmanje do 12. marta 2009. Najmanje prosečno vreme u kome je sistem bio zaražen je 145 dana, a najduže čak 660 dana!
- Kontrola - U nekim slučajevima, sa udaljene lokacije vršeno je uključivanje ili isključivanje automatizovanog softverskog i hardverskog sistema. U slučaju Stuxnet operacije, cilj nije bila samo krađa podataka, cilj je bio da se reprogramiraju industrijski kontrolni sistemi – računarski programi koji upravljaju industrijskim okruženjem poput nuklearnih elektrana, rafinerija nafte i gasnih mreža. Uprošćeno, cilj je bio da se sistem reprogramira tako da izvršava ono što mu napadači zadaju.
4. Izvlačenje informacija (Exfiltration):
- Prenos podataka – Skupljeni podaci se po dobijanju komande od C&C centra šalju u bazu napadača. Metod slanja može biti preko emaila, a podaci se mogu poslati i na drugačiji način u formi kriptovanih paketa i zipovanih foldera zaštićenih lozinkom. Hydraq je koristio više novih tehnika za slanje ukradenih informacija. Jedna od njih je korišenje porta 443 kao primarnog kanala za upload ukradenih podataka. Takođe, korišćeno je uspostavljanje veza koje liči na SSL sigurni kanal. Korišćene su i privatne lozinke za kriptovanje sadržaja dok su napadači završavali operaciju i napuštali žrtvu.
- Kontinuirana analiza – Za razliku od ciljanih napada gde se ukradene informacije sa kreditne kartice brzo pripremaju za prodaju na crnom tržištu, kod APT napada prikupljene informacije se ponekad dugo analiziraju kako bi se pronašle šanse od strateškog značaja.
Šta uraditi?
APT napadi su posebna vrsta kampanje u okviru mnogo šire kategorije napada, a to su napadi koji ciljaju tačno određene organizacije. Može se opravdano pretpostaviti da će se ATP napadi i dalje dešavati i da će ostali sajber-kriminalci kopirati njihove tehnike i metode napada. Najbolji način za odbranu od APT napada je biti pripremljen za odbranu od generalno bilo kakvog ciljanog napada. Dok su šanse da će baš vaša organizacija biti meta APT napada relativno male, šanse da ćete biti meta neke druge vrste ciljanog napada su, nažalost, prilično velike. Ono od čega svakako treba početi jeste sveobuhvatna i višeslojna procena bezbednosnih rizika:
Procena rizika od ciljanih napada
- Da li ste zabrinuti da će vaši ključni zaposleni i top menadžment biti meta krađe IP-a?
- Pitate li se da li je neki od ključnih sistema kompromitovan malverom?
Procena malicioznih aktivnosti
- Da li vas brinu skrivene infekcije?
- Šta činite da se zaštitite od infekcija?
- Da li želite da poboljšate efikasnost postojećeg monitoring sistema?
Procena rizika gubitka podataka
- Da li ste sigurni da vaši osetljivi podaci ne napuštaju mrežu preko poslovnih i ličnih email naloga?
- Želite li da znate koji osetljivi podaci su posebno ranjivi jer svi imaju pristup njima?
- Imate li neki protokol koji garantuje zaštitu osetljivih ličnih podataka i platnih kartica?
Procena ranjivosti
- Znate li koje su baze podataka, serveri i mrežni uređaji ranjivi u kontekstu hakerskih napada?
- Znate li koji uređaji nisu pod kontrolom te stoga predstavljaju bezbednosni rizik za kritične sisteme?
- Znate li koje ranjivosti treba prioritetno zakrpiti?