Τι είναι οι επιθέσεις Advanced Persistent Threat (APT)?

Εάν υπάρχει ένα πράγμα που κρατά τους ειδικούς της ασφάλειας στον κυβερνοχώρο ξύπνιους όλη τη νύχτα, είναι η σκέψη μιας επίθεσης που χρησιμοποιεί μια σειρά από προηγμένες τεχνικές που έχουν σχεδιαστεί για να κλέψουν τις πολύτιμες πληροφορίες της εταιρείας.

Όπως υποδηλώνει και η λέξη “προηγμένο (advanced)”, μια προηγμένη επίμονη επίθεση (APT) χρησιμοποιεί συνεχείς, κρυφές και εξελιγμένες τεχνικές εισβολής για να αποκτήσει πρόσβαση σε ένα σύστημα και να παραμείνει “μέσα” για όσο χρόνο χρειαστεί με δυνητικά καταστροφικές συνέπειες.

Οι πρωταρχικοί στόχοι των προηγμένων μόνιμων απειλών

Λόγω του επιπέδου της προσπάθειας που απαιτείται για τη διεξαγωγή μιας τέτοιας επίθεσης, οι APT επιθέσεις συνήθως στοχεύουν σε κρατικούς οργανισμούς και μεγάλες εταιρείες, στόχους υψηλής αξίας, με απώτερο στόχο την κλοπή πληροφοριών για μεγάλο χρονικό διάστημα, και όχι απλώς μία επέμβαση του τύπου “ψεκάστε, σκουπίστε, τελειώσατε” όπως κάνουν πολλοί black hat χάκερ κατά τη διάρκεια επιθέσεων στον κυβερνοχώρο.

Για να πιάσεις το μεγάλο ψάρι, πρέπει πρώτα να πιάσεις το μικρό, έτσι και σε αυτού του είδους την επίθεση οι επιτήδειοι στοχεύουν κυρίως μικρότερες εταιρείες, που είναι συνήθως και πιο ευάλωτες, για να αποκτήσουν πρόσβαση σε μεγαλύτερες εταιρείες ή και οργανισμούς, τις χρησιμοποιούν δηλαδή ως σκαλοπάτια!

Ποια είναι λοιπόν τα πέντε στάδια μιας εξελισσόμενης προηγμένης επίμονης επίθεσης APT

Ολόκληρος ο σκοπός μιας επίθεσης APT είναι να αποκτήσει συνεχή πρόσβαση στο σύστημα και να αντλεί πληροφορίες. Οι χάκερ το επιτυγχάνουν αυτό ακολουθώντας συνήθως μια σειρά πέντε σταδίων.

Πρώτο στάδιο: Απόκτηση πρόσβασης
Δεύτερο Στάδιο: Καθιέρωση ενός προτύπου
Τρίτο στάδιο: Εμβαθύνετε την πρόσβαση
Τέταρτο στάδιο: Μεθοδευμένη μετακίνηση
Πέμπτο στάδιο: Κοιτάξτε, μάθετε και μείνετε

Πρώτο στάδιο: Απόκτηση πρόσβασης

Όπως ένας διαρρήκτης που ανοίγει μια πόρτα με ένα λοστό, έτσι και οι εγκληματίες του κυβερνοχώρου αποκτούν συνήθως είσοδο μέσω ενός δικτύου, ενός μολυσμένου αρχείου, μίας ανεπιθύμητης αλληλογραφίας ή μιας ευπάθειας μιας εφαρμογής για να μπορέσουν να εισάγουν το κακόβουλο λογισμικό σε ένα δίκτυο που έχουν στοχεύσει.

Δεύτερο Στάδιο: Καθιέρωση ενός προτύπου

Οι εγκληματίες του κυβερνοχώρου εμφυτεύουν κακόβουλο λογισμικό που επιτρέπει τη δημιουργία ενός δικτύου backdoor που χρησιμοποιούν για την μεταφορά των αρχείων και όλων των κακόβουλων προγραμμάτων μέσα στο υποσύστημα του τρέχοντος δικτύου έτσι ώστε να μην εντοπίζεται. Το κακόβουλο λογισμικό χρησιμοποιεί συχνά τεχνικές όπως η επανεγγραφή κώδικα για να βοηθήσει τους χάκερ να καλύψουν τα ίχνη τους. Είναι κάτι σαν τις υπόγειες σήραγγες που σκάβουν οι κρατούμενοι κάτω από τις φυλακές για να αποδράσουν.

Τρίτο στάδιο: Εμβαθύνετε την πρόσβαση

Μόλις εισέλθουν στο σύστημα οι χάκερ χρησιμοποιούν τεχνικές όπως το cracking password για να αποκτήσουν πρόσβαση σε δικαιώματα διαχειριστή, ώστε να μπορούν να ελέγχουν περισσότερο το σύστημα και να έχουν ακόμη μεγαλύτερα επίπεδα πρόσβασης.

Στάδιο 4: Μεθοδευμένη μετακίνηση

Όταν πλέον αποκτήσουν δικαιώματα διαχειριστή, οι χάκερ μπορούν να μετακινούνται κατά βούληση. Μπορούν επίσης να προσπαθήσουν να αποκτήσουν πρόσβαση σε άλλους διακομιστές και σε άλλα ασφαλή μέρη του δικτύου.

Στάδιο πέμπτο: Κοιτάξτε, μάθετε και μείνετε

Από το εσωτερικό του συστήματος, οι χάκερ αποκτούν πλήρη κατανόηση του τρόπου λειτουργίας του δικτύου και των ευπαθειών του, επιτρέποντάς τους να συλλέγουν τις πληροφορίες που θέλουν κατά βούληση.

Οι χάκερ μπορούν μπορούν να συνεχίσουν αυτήν τη διαδικασία – πιθανώς επ ‘αόριστον – ή να αποσυρθούν όταν επιτύχουν έναν συγκεκριμένο στόχο. Όταν αποχωρήσουν αφήνουν συχνά μια backdoor ανοιχτή για να έχουν πρόσβαση στο σύστημα ξανά στο μέλλον.

Ο ανθρώπινος παράγοντας του APT

Επειδή συνήθως η προστασία που έχουν μεγάλες εταιρείες είναι πιο εξελιγμένη από αυτή που έχουν οι απλοί χρήστες, τέτοιου είδους επιθέσεις συνήθως συχνά απαιτούν κάποιες ενέργειες “εκ των έσω” δηλαδή την ενεργή συμμετοχή κάποιου υπαλλήλου ο οποίος θα ενεργήσει γι αυτούς και να μπορέσουν να αποκτήσουν πρόσβαση. Αυτό δεν σημαίνει, βέβαια, ότι θα το κάνει με τη θέληση του μπορεί απλώς με σύγχρονες τεχνικές εξαπάτησης όπως κοινωνική μηχανική, phishing, κακόβουλα emails κ.λ.π. να επιτύχουν το σκοπό τους!

Μια παραμένουσα προχωρημένη επίμονη απειλή

Ο κύριος όμως κίνδυνος των επιθέσεων APT είναι ότι ακόμη και όταν ανακαλυφθεί μία τέτοιου είδους επίθεση, οι χάκερ συνήθως μπορεί να έχουν αφήσει ανοιχτά πολλά backdoors που τους επιτρέπουν να επιστρέψουν όταν το επιλέξουν. Επιπλέον, πολλές παραδοσιακές κυβερνοάμυνας, όπως το antivirus και τα τείχη προστασίας, δεν μπορούν πάντοτε να προστατεύσουν από αυτούς τους τύπους επιθέσεων.

Τέτοιου είδους επιθέσεις όπως προείπαμε στοχεύουν συνήθως “στόχους υψηλής αξίας” και για να προστατευτεί κάποιος από αυτές απαιτείται εκπαιδευμένο προσωπικό που γνωρίζει από ασφάλεια στον κυβερνοχώρο και χρησιμοποιεί τον κατάλληλο εξοπλισμό.

Μπορείτε να δείτε περισσότερα στο Kaspersky Enterprise Security

[via]

About The Author

George S. Metallidis

Όλα ξεκίνησαν το 1988 όταν μπήκε στο σπίτι το πρώτο PC ένας 32bit 80386 με 4mb ram, CGA γραφικά σε 16colours monitor….και φυσικά λιώσιμο με το DOS game Grand Prix Circuit της Accolade

See author's posts