Ataki Advanced Persistent Threat (APT)

Czym są ataki APT

Są to wielostopniowe, długotrwałe i złożone działania ukierunkowane przeciwko konkretnej firmie czy osobie. Ataki te są zaawansowane i wysoko finansowane dlatego najczęściej atakującymi są zorganizowane grupy bądź agencje rządowe. Celami ataków są niejednokrotnie tajemnice wojskowe, wrażliwe dane czy cenne informacje takie jak patenty i rozwiązania technologiczne. Atakujący korzystają z zaawansowanych narzędzi i reprezentują wysoki poziom wiedzy w tematyce bezpieczeństwa cybernetycznego. Ponadto łączą wiele metod ataków technik i narzędzi do osiągnięcia celu.

3 podstawowe etapy ataków APT

Przygotowanie

Jest to etap, który ma na celu poznanie ofiary. Rozpoczyna się on od wyszukiwania informacji o atakowanym w Internecie, a następnie przygotowaniem narzędzi ataku. Faza przygotowawcza może trwać kilka godzin, a nawet kilka miesięcy.
Wtargnięcie

Jest to najkrótszy etap, który jest realizowany możliwie najszybciej tak aby nie zostać zauważonym. Obejmuje on dostarczenie i instalację tzw. backdoor (tylnych drzwi) w systemie, aby uzyskać stały dostęp.
Aktywne włamanie

Jest to etap który może trwać kilka miesięcy a nawet lat i obejmuje on kontrolę nad zainfekowanym urządzeniem oraz właściwy atak czyli zbieranie danych i informacji. W tym momencie następuje realizacja celu, jednak dopóki atak nie zostanie wykryty nieustannie powstają nowe cele, a zaatakowana firma jest wciąż szpiegowana.

Ataki APT uznawane są za jedne z najniebezpieczniejszych zagrożeń dużych sieci IT. Jednorazowa kradzież może być dużo mniej szkodliwa niż ataki o długotrwałym charakterze.

Za prekursora ataków APT można uznać botnety, które przez zdalną konsolę wydawały polecenie i infekowały komputery. Obie formy ataków łączy wykonywanie zadań pochodzących z zewnątrz oraz ukrywanie swojej obecności. Jednym z kluczowych elementów technologicznych niezbędnych do przeprowadzenia większości ataków APT są rookity tj. pakiety programowe, które pozwalają ukryć działania przed oprogramowaniem ochronnym np. antywirusem czy antymalware. Rookity są bardzo zróżnicowane pod względem funkcjonalności i wykrywalności np. pakiety działające w trybie jądra (w przeciwieństwie do trybu użytkownika) są w większości niewykrywalne dla komputerowych antywirusów.

Ataki APT poprzez swoje zaawansowane działania są wykorzystywane głównie przez specjalistów i kompetentnych hakerów. Źródłem z którego pozyskiwane są przez cyberprzestępców złośliwe oprogramowania w tym rookity jest Darknet. Do ciemnej sieci można dostać się wyłącznie przy użyciu określonego oprogramowania, autoryzacji lub konfiguracji, dzięki czemu jest trudnodostępna dla laików i niełatwa w wykrywaniu przez służby zwalczające przestępczość w Internecie.

Wciągniki linowe