Wszystko o atakach APT – tak wygląda cyberwojna
Google, zakład wzbogacania uranu w Iranie, rząd Pakistanu, amerykański Departament Obrony - nawet największe przedsiębiorstwa jak i rządy krajów padły ofiarą zaawansowanych ataków typu APT w ostatnich dwóch latach.
Zakres tych ataków internetowych jest faktycznie dużo większy niż by się wydawało. Ich celem jest zniszczenie lub kradzież poufnych danych dyplomatycznych czy tajemnic handlowych, zarobek, a nierzadko wszystkie trzy czynniki jednocześnie. W związku z tym, organizacje muszą dysponować środkami szybkiego reagowania na takie ataki.
Zaawansowane ataki typu APT to ataki ukierunkowane, często organizowane przez rządy państw, mające na celu uszkodzenie lub kradzież poufnych danych. Jedną z cech szczególnych tych ataków jest fakt, że są one trudne do zidentyfikowania i mogą pozostać przez lata niezauważone. Dla przykładu Information Week podał w maju 2013 informacje o trwającym kilka lat ataku APT na rząd Pakistanu i przedsiębiorstwa zajmujące się globalnym wyszukiwaniem informacji, a także na branżę motoryzacyjną, budowlaną i wojsko. Zasugerowano, że atak rozpoczął się w 2010 roku (lub wcześniej). Zagrożone organizacje nie były w stanie zmierzyć się z tego typu wyrafinowanymi atakami przy użyciu tradycyjnych stosowanych przez nie informatycznych systemów ochrony bezpieczeństwa.
W jaki sposób hakerzy przystępują do rozpoczęcia ataku APT?
Wprawdzie każdy atak APT jest dostosowany do celu, jednak zwykle można wyróżnić następujące etapy przygotowania ataku: wybór celu, analiza dotycząca organizacji – jej pracowników, polityki, aplikacji i systemów, których używa – oraz budowanie jej profilu ze szczegółową listą potencjalnych osób na celu wewnątrz organizacji.
Osoba atakująca przystępuje do wyszukiwania odpowiednich metod, np. stosuje inżynierię społeczną lub rozsyła swoje narzędzia do przejęcia stacji ofiary poprzez specjalnie przygotowane e-maile mające na celu wprowadzenie złośliwego oprogramowania z dostępem zdalnym na jednym z komputerów docelowych.
Gdy atakujący dostanie się do sieci swojego celu, próbuje wykorzystać luki w komputerach wewnętrznych. Dzięki dostępowi do sieci dane mogą być łatwo filtrowane. Hasła, pliki, bazy danych, konta e-mail i inne potencjalnie cenne dane mogą być przechwytywane przez osobę atakującą.
Co więcej, nawet po dokonaniu kradzieży danych, osoba atakująca może pozostać obecna w sieci swojej ofiary i nadal obserwować jej zasoby.
Jakich narzędzi może użyć atakujący w celu dokonania ataku APT?
Kombinacja narzędzi i technik, które atakujący stosują do tworzenia zaawansowanych trwałych zagrożeń jest często taka sama jak w przypadku codziennych zmasowanych cyberataków, np.:
- Złośliwe oprogramowanie: niektórzy hakerzy stosują specjalnie opracowane złośliwe oprogramowanie, aby wykorzystać komputer ofiary, podczas gdy inni używają „masowych” narzędzi, które są łatwo dostępne w Internecie.
- Inżynieria społeczna: zazwyczaj atakujący tworzy specjalne wiadomości e-mail na potrzeby ataków spear phishing z pozornie nieszkodliwymi załącznikami, które adresaci prawdopodobnie otworzą.
- Ataki zero-day exploit i inne działania: zero-day exploit polega na wykorzystaniu luki w oprogramowaniu, która pozwala atakującemu na wykonanie polecenia niezamierzonego kodu lub przejęcie kontroli nad komputerem docelowym. Są one zwykle prowadzone w ramach ataków typu spear phishing i watering hole.
- Insiderzy i rekruci: czasami osoba atakująca rekrutuje insidera, który pomoże jej w rozpoczęciu ataku – często jest to jedyny sposób, aby dotrzeć do komputera docelowego, który nie jest połączony z Internetem.
- Sfałszowane lub nieprawdziwe certyfikaty: osoba atakująca próbuje fałszować lub tworzy nieprawdziwy certyfikat SSL, aby nakłonić ofiarę do odwiedzenia strony pochodzącej rzekomo z bezpiecznej witryny.
Kto stoi za APT?
Podobnie jak w przypadku wszystkich ataków cybernetycznych, bardzo trudno jest ustalić pochodzenie i autora ataku APT. Na przykład, dane złośliwe oprogramowanie może być opracowane przez obywatela europejskiego przy użyciu chińskich narzędzi deweloperskich, będzie wtedy zawierało odniesienia tekstowe do konkretnych chińskich organizacji wojskowych.
Równocześnie hostowane będzie na rosyjskiej stronie internetowej, a trasa ataku będzie wskazywała na pochodzenie z Chin.
Istnieje na świecie tylko kilka grup, które mają możliwości, umiejętności, fundusze i infrastrukturę do rozpoczęcia ataku APT. Takie grupy zazwyczaj za cel obierają sobie zagraniczne korporacje i rządy w celu poznania tajemnic państwowych jak i handlowych. Celem mogą być również media, co z kolei umożliwia wyśledzenie dysydentów. Na przykład w styczniu 2013 roku New York Times opublikował raport, w którym padło stwierdzenie, że chińscy hakerzy, w przypadku których podejrzewano, iż byli sponsorowani przez państwo, zdołali przeniknąć do sieci dziennika. Atak opracowano w celu wyszukiwania wiadomości e-mail i dokumentów związanych z historią, którą NYT napisał o krewnych premiera Chin.
Rosja również ma możliwości uruchomienia wyrafinowanych ataków, ale jak do tej pory nie ma dowodów na powiązanie rządu rosyjskiego z konkretnymi działaniami. Znając możliwości Rosji w zakresie szkolenia najlepszych na świecie hakerów, można przypuszczać, że Federalna Służba Bezpieczeństwa (FSB) Rosji dysponuje zespołem lub zespołami monitorującymi i infiltrującymi organizacje i państwa.
Z kolei Stany Zjednoczone posiadają obszerną „cyberarmię”. Dla przykładu, jeden z najbardziej znanych ataków o nazwie Stuxnet z powodzeniem został wykorzystany przez USA we współpracy z Izraelem w celu zakłócenia działalności zakładów wzbogacania uranu w Iranie.
Być może inne kraje również stworzyły własne cyberarmie i grupy APT. Niewiele wiadomo na temat możliwości reszty krajów G20 i państw takich jak: Syria, Korea Północna, Iran i innych krajów na Bliskim Wschodzie. Śmiało można powiedzieć, że większość z nich co najmniej zbadała możliwości wykorzystania APT.
W jaki sposób organizacje mogą zmniejszyć ryzyko ataku APT?
Aby chronić się przed atakami APT, organizacje muszą wdrażać strategię obrony opartą na wielopoziomowych zabezpieczeniach. Ważne jest, aby zrozumieć, że żadne rozwiązanie w zakresie zabezpieczenia sieci nie powstrzyma ataku APT.
Istnieją konkretne metody służące zmniejszeniu ryzyka ataku APT. Należą do nich:
- Partnerstwo na rzecz bezpieczeństwa: silne partnerstwo z dostawcą zabezpieczeń zapewnia personelowi IT aktualne informacje i analizy zagrożeń bezpieczeństwa, a także jasno zdefiniowane ścieżki eskalacji po wykryciu zdarzenia.
- Wielopoziomowa obrona: taka obrona wymaga wprowadzenia kluczowych funkcji zabezpieczeń, takich jak filtrowanie Internetu/analiza reputacji IP, białe listy/czarne listy, kontrola aplikacji w oparciu o użytkowników i urządzenia, DLP, IPS/IDS, funkcja sandbox oparta na chmurze obliczeniowej, kontrola urządzenia końcowego lub AV. Wszystkie te funkcje są niezbędne w celu zatrzymania potencjalnie szkodliwych aplikacji, złośliwego oprogramowania, podejrzanych działań i zapobiegania wyciekowi poufnych informacji z sieci.
- Szkolenie użytkowników końcowych: Ważne jest szkolenie pracowników w zakresie cyberzagrożeń i właściwego wykorzystania mediów społecznych. Pracownicy z dostępem do poufnych informacji muszą być specjalnie przeszkoleni, aby wiedzieli, w jaki sposób radzić sobie z danymi. Ponadto ograniczenie dostępu pracownikom do dysków USB w sytuacji, gdy jest to konieczne i uzasadnione, to dobre rozwiązanie umożliwiające ochronę sieci.
- Segregacja sieci: podstawowa segregacja sieci może pomóc w zapobieganiu rozprzestrzeniania się ataku APT wewnątrz infrastruktury. Nie jest konieczne, aby każdy pracownik miał dostęp do poszczególnych zasobów, które mogą zawierać poufne dane. Ograniczając dostęp zawsze, gdy to możliwie, organizacja może uniknąć wielu ataków.
- Aktywne poprawki (patching): Komputer jest tylko wtedy bezpieczny, gdy jego oprogramowanie jest zabezpieczone i aktualne. Istotne dla firm jest niezwłoczne instalowanie poprawek do ich systemów.
- Uwierzytelnianie dwuskładnikowe: poprzez wdrożenie dwuskładnikowego uwierzytelniania dla użytkowników zdalnych lub potrzebujących dostępu do poufnych informacji, organizacja utrudnia atakującemu wykorzystanie utraconych lub skradzionych danych uwierzytelniania.
- Zasady BYOD: istotne jest stosowanie ścisłych zasad BYOD, aby atakujący nie mogli łatwo przejąć laptopa, smartfonu lub tabletu czy wprowadzić złośliwego oprogramowania do sieci firmowej.
Obecnie każda firma lub organizacja rządowa powinna traktować poważnie ryzyko zaawansowanych trwałych zagrożeń. Dzisiejsze ataki są coraz bardziej wyrafinowane i uporczywe. Jak zobaczyliśmy powyżej, nie istnieje panaceum umożliwiające wyeliminowanie ryzyka ataków APT. Jako że stosowane są różne kanały dokonywania ataków, zasadnicze znaczenie ma wykorzystanie wielopoziomowych strategii obrony w celu zapobiegania lub przynajmniej zminimalizowania zagrożenia atakami typu APT.
Robert Dąbrowski,
inżynier systemowy,
Fortinet