Mga advanced na paulit-ulit na pagbabanta: unang salvo sa darating na cyberwar?

Ang isang pag-atake sa isang network ng computer ay hindi pang balita sa balita ngayon, ngunit mayroong isang iba't ibang uri ng pag-atake na tumatagal ng mga alalahanin sa cybersecurity sa susunod na antas. Ang mga pag-atake na ito ay tinatawag na advanced na patuloy na pagbabanta (APT). Alamin kung paano naiiba ang mga ito mula sa pang-araw-araw na pagbabanta at kung bakit nagawa nilang masaktan ang labis na pinsala sa aming pagsusuri sa ilang mga kaso na may mataas na profile na naganap sa nakaraang ilang taon. (Para sa pagbabasa ng background, tingnan ang 5 Mga Nakakatawang Banta sa Tech.)

Ano ang isang APT?

Ang salitang advanced na patuloy na pagbabanta (APT) ay maaaring sumangguni sa isang umaatake na may malaking paraan, samahan at pagganyak upang magsagawa ng isang matagal na cyberattack laban sa isang target.

Ang isang APT, hindi nakakagulat, ay advanced, paulit-ulit at nagbabanta. Ito ay advanced dahil gumagamit ito ng stealth at maramihang mga paraan ng pag-atake upang ikompromiso ang isang target, madalas na isang mapagkukunan na may mataas na halaga ng korporasyon o pamahalaan. Ang ganitong uri ng pag-atake ay mahirap din na makita, alisin at katangian sa isang partikular na mang-aatake. Mas masahol pa, kapag nasira ang isang target, ang likuran sa bahay ay madalas na nilikha upang maibigay ang umaatake sa patuloy na pag-access sa nakompromiso na sistema.

Ang mga APT ay itinuturing na paulit-ulit sa kamalayan na ang mananalakay ay maaaring gumugol ng mga buwan na nagtitipon ng intelihensiya tungkol sa target at gagamitin ang katalinuhang iyon upang maglunsad ng maraming pag-atake sa loob ng isang napakahabang panahon. Nagbabanta ito dahil ang mga perpetrator ay madalas pagkatapos ng lubos na sensitibong impormasyon, tulad ng layout ng mga nuclear power plant o code upang masira sa mga kontratista sa pagtatanggol ng US.

Ang pag-atake sa APT sa pangkalahatan ay may tatlong pangunahing layunin:

• Pagnanakaw ng sensitibong impormasyon mula sa target
• Pagsubaybay ng target
• Sabotage ng target

Umaasa ang umaatake na makamit ang mga layunin nito habang nananatiling hindi natukoy.

Ang mga peretretrator ng APT ay madalas na gumagamit ng mga pinagkakatiwalaang koneksyon upang makakuha ng pag-access sa mga network at system. Ang mga koneksyon na ito ay maaaring matagpuan, halimbawa, sa pamamagitan ng isang nakikiramay na tagaloob o hindi pumayag na empleyado na nabiktima ng isang atake sa phishing.

Paano Magkaiba ang mga APT?

Ang mga APT ay naiiba sa iba pang mga cyberattacks sa maraming mga paraan. Una, ang mga APT ay madalas na gumagamit ng mga pasadyang mga tool at pamamaraan ng panghihimasok - tulad ng pagsasamantala sa kahinaan, mga virus, bulate, at mga rootkits - na sadyang idinisenyo upang maarok ang target na samahan. Bilang karagdagan, ang mga APT ay madalas na naglulunsad ng maraming pag-atake nang sabay-sabay upang masira ang kanilang mga target at matiyak ang patuloy na pag-access sa mga target na system, kung minsan kasama ang isang decoy upang linlangin ang target sa pag-iisip na ang pag-atake ay matagumpay na naalis.

Pangalawa, ang mga pag-atake sa APT ay nagaganap sa mahabang panahon kung saan ang mga umaatake ay gumagalaw nang dahan-dahan at tahimik upang maiwasan ang pagtuklas. Kabaligtaran sa mabilis na mga taktika ng maraming mga pag-atake na inilunsad ng karaniwang mga cybercriminals, ang layunin ng APT ay upang manatiling undetected sa pamamagitan ng paglipat ng "mababa at mabagal" na may patuloy na pagsubaybay at pakikipag-ugnay hanggang makamit ng mga umaatake ang kanilang tinukoy na mga layunin.

Pangatlo, ang mga APT ay idinisenyo upang masiyahan ang mga kinakailangan ng espionage at / o sabotahe, na karaniwang kinasasangkutan ng mga covert state actors. Ang layunin ng isang APT ay kinabibilangan ng militar, pampulitika, o pang-ekonomiyang pangangalap ng pagtitipon, kumpidensyal na data o banta sa lihim na banta, pagkagambala sa mga operasyon, o kahit na pagkawasak ng mga kagamitan.

Pang-apat, ang mga APT ay naglalayong sa isang limitadong hanay ng mga lubos na mahalagang target. Ang paglusob ng APT ay inilunsad laban sa mga ahensya at pasilidad ng gobyerno, mga kontratista sa pagtatanggol, at mga tagagawa ng mga produktong high-tech. Ang mga samahan at kumpanya na nagpapanatili at nagpapatakbo ng pambansang imprastraktura ay malamang din na mga target.

Ilang Halimbawa ng mga APT

Ang operasyon Ang Aurora ay isa sa unang malawak na na-publish ng mga APT; ang serye ng mga pag-atake laban sa mga kumpanya ng US ay sopistikado, target, stealthy at idinisenyo upang manipulahin ang mga target.

Ang mga pag-atake, na isinagawa noong kalagitnaan ng 2009, pinagsamantalahan ang isang kahinaan sa browser ng Internet Explorer, na nagpapahintulot sa mga umaatake na makakuha ng access sa mga system ng computer at mag-download ng mga malware sa mga sistemang iyon. Ang mga computer system ay konektado sa isang malayong server at intelektuwal na pag-aari ay ninakaw mula sa mga kumpanya, na kasama ang Google, Northrop Grumman at Dow Chemical. (Basahin ang tungkol sa iba pang mga nakasisirang pag-atake sa Malicious Software: Worm, Trojans at Bots, Oh My!)

Si Stuxnet ay ang unang APT na gumagamit ng isang cyberattack upang matakpan ang pisikal na imprastraktura. Naniniwala na binuo ng Estados Unidos at Israel, ang Stuxnet worm ay nag-target sa mga kontrol ng pang-industriya na sistema ng isang planta ng nuclear power ng Iran.

Bagaman ang Stuxnet ay lilitaw na binuo upang salakayin ang mga pasilidad sa nuklear ng Iran, kumalat ito nang higit pa sa inilaan nitong target, at maaari ring magamit laban sa mga pasilidad ng industriya sa mga bansa sa Kanluran, kasama ang Estados Unidos.

Ang isa sa mga kilalang halimbawa ng isang APT ay ang paglabag sa RSA, isang kumpanya ng seguridad ng computer at network. Noong Marso 2011, ang RSA ay bumubuo ng isang tagas kapag ito ay natagpuang sa pamamagitan ng isang pag-atake ng sibat na tumatama sa isang kawani nito at nagresulta sa isang malaking catch para sa mga cyberattacker.

Sa isang bukas na liham sa RSA na nai-post ng mga customer sa website ng kumpanya noong Marso 2011, sinabi ni Executive Chairman Art Coviello na ang isang sopistikadong pag-atake sa APT ay nakuha ang mahalagang impormasyon na may kaugnayan sa SecurID two-factor na pagpapatunay na produkto na ginagamit ng mga malayuang manggagawa upang ligtas na ma-access ang network ng kanilang kumpanya .

"Habang sa oras na ito kami ay tiwala na ang impormasyon na nakuha ay hindi nagpapagana ng isang matagumpay na direktang pag-atake sa alinman sa aming mga customer ng RSA SecurID, ang impormasyong ito ay maaaring magamit upang mabawasan ang pagiging epektibo ng isang kasalukuyang pagpapatupad ng pagpapatunay ng dalawang-salik bilang bahagi ng isang mas malawak na atake, "sabi ni Coviello.

Ngunit si Coviello, mali, ay mali tungkol dito, dahil maraming mga customer ng token ng RSA SecurID, kasama ang higanteng depensa ng US na si Lockheed Martin, ang nag-ulat ng mga pag-atake na nagreresulta mula sa paglabag sa RSA. Sa pagsisikap na limitahan ang pinsala, pumayag ang RSA na palitan ang mga token para sa mga pangunahing customer.

Saan APTs?

Isang bagay ang tiyak: Ang mga APT ay magpapatuloy. Hangga't mayroong sensitibong impormasyon na magnakaw, ang mga organisadong grupo ay susundan nito. At hangga't umiiral ang mga bansa, magkakaroon ng espionage at sabotage - pisikal o cyber.

Mayroon nang isang pag-follow-up sa Stuxnet worm, na tinawag na Duqu, na natuklasan sa taglagas ng 2011. Tulad ng isang ahente sa pagtulog, si Duqu ay mabilis na na-embed ang sarili sa mga pangunahing sistemang pang-industriya at nagtitipon ng katalinuhan at nagtatakip sa oras nito. Tiniyak na pinag-aaralan nito ang mga dokumento ng disenyo upang makahanap ng mga mahina na lugar para sa pag-atake sa hinaharap.

Mga Banta sa Seguridad ng Ika-21 Siglo

Tiyak, ang Stuxnet, Duqu at ang kanilang mga tagapagmana ay lalong magiging salot sa mga gobyerno, kritikal na mga operator ng imprastraktura at mga propesyonal sa seguridad ng impormasyon. Panahon na upang gampanan ang mga banta na ito bilang seryoso bilang ang pangkabuhayan na mga problema sa seguridad ng impormasyon sa pang-araw-araw na buhay sa ika-21 siglo.