Term: Zaawansowane trwałe zagrożenie [APT]

Do ataków wykorzystywane są zaawansowane i wyrafinowane środki techniczne, służące do forsowania zabezpieczeń. Często opierają się o socjotechniki, które pozwalają na atak wynikający z niewiedzy lub nieświadomości.

Jest on działaniem zaplanowanym oraz wycelowanym w konkretną organizację, co różni go zasadniczo od tradycyjnych ataków z zastosowaniem wirusów. Typowe dla hakerów metody, takie jak atak phishingowy są w przypadku APT znacznie bardziej wyrafinowane. W przypadku APT nie wykorzystuje się metod podobnych do przesyłania spamu, natomiast dążenie do zdobycia zaufania pracowników realizowane jest poprzez podszywanie się pod współpracowników, przełożonych, czy też znajomych ofiary.

Ataki APT są przeprowadzane do skutku – a więc do momentu znalezienia słabego punktu, przez który uda się przestępcom wniknąć do atakowanego systemu. Następnie prowadzone są działania mające na celu otwarcie jak największej liczby furtek, luk systemowych. Za atakami APT mogą stać bardzo mocno zmotywowane instytucje, takie jak organizacje terrorystyczne lub wrogie państwa, wykorzystujące najnowocześniejszą technikę do prowadzenia cybernetycznej wojny. Ataki typu APT są często przygotowywane latami, bardzo dokładnie zaplanowane, o dużej różnorodności działań zmierzających do zdobycia dostępu do sieci, czego efektem jest ciche i utajnione wykradanie danych.

APT to atak, którego zasadę opisują składowe jego nazwy: 

• Advanced (cecha zaawansowania ataku) – hakerzy dysponują zaawansowaną techniką pozwalającą na zbieranie informacji na temat firmy lub organizacji, która jest celem ataku. Mogą one obejmować komercyjne i dostępne środki oraz metody hakerskie, ale mogą również obejmować aparat wywiadowczy służb państwowych. Poszczególnych elementów ataku nie można uznać za szczególnie „zaawansowane” (np. komponenty złośliwego oprogramowania generowane z powszechnie dostępnych zestawów do samodzielnego tworzenia szkodliwego oprogramowania lub wykorzystanie łatwo dostępnych materiałów wykorzystujących tzw. „exploity”). Natomiast poza nimi, hakerzy mają zazwyczaj dostęp do bardziej zaawansowanych narzędzi adekwatnych do atakowanego celu. Często łączą wiele metod, narzędzi i technik hakerskich, aby dotrzeć do celu, utrzymać do niego dostęp a następnie wyrządzić określone szkody.  
• Persistent (cecha trwałości ataku) – hakerzy mają określone cele, nie szukają przypadkowych informacji w celu uzyskania korzyści z ataku. To rozróżnienie oznacza, że ​​napastnicy kierują się najczęściej wytycznymi pochodzącymi od podmiotów zewnętrznych (np. organizacji przestępczych, zorganizowanych grup, wywiadów państw). Tego typu atak nie oznacza ciągłych ataków i aktualizacji złośliwego oprogramowania. Atak odbywa się natomiast poprzez ciągłe monitorowanie namierzonej organizacji i zwykle zakonspirowane działania w celu osiągnięcia określonych celów, wśród których można wymienić powolne, ale systematyczne pozyskanie informacji, monitorowanie sieci, rekonesans. Takie podejście jest zwykle bardziej skuteczne. Jeśli operator straci dostęp do celu, zwykle będzie próbował ponownie uzyskać dostęp i najczęściej z powodzeniem. Jednym z głównych celów hakerów jest utrzymanie długoterminowego dostępu do celu. 

Ataki typu APT są poważnym zagrożeniem zwłaszcza dla przemysłu, ponieważ hakerzy je przeprowadzający mają duże możliwości techniczne oraz konkretne zamiary. Ataki APT są przeprowadzane najczęściej raczej przez skoordynowane grupy hakerskie, a nie zautomatyzowane oprogramowanie generujące i dystrybuujące złośliwy kod. Hakerzy mają zwykle jasno określony cel, są wykwalifikowani, dobrze zorganizowani i finansowani.

« Wróć do Słownika