Najemnicy w cyberprzestrzeni

Czym charakteryzują się kampanie APT?

Włamanie do dobrze zaprojektowanej sieci korporacyjnej lub na serwery z prywatną korespondencją polityków to nie zadanie dla amatorów. Często jest to praca na tygodnie a nawet miesiące, która wymaga specjalistycznej wiedzy, zasobów technologicznych i odpowiedniego planu. Celem jest nie tylko wyprowadzenie danych ale też zatarcie śladów, zgubienie tropu, a jeśli to możliwe, pozostanie niewykrytym. W celu wykonania takich „zadań specjalnych”, powstały grupy realizujące zaawansowane długotrwałe ataki (ang. Advanced Persistant Threat, APT). Są to kampanie nakierowane na infiltracje wybranych, stricte określonych firm, instytucji lub osób. W skład grup APT wchodzą nie tylko osoby łamiące zabezpieczenia systemów komputerowych – tzw. Crackerzy, ale też np. psychologowie, odpowiedzialni za projektowanie działań z wykorzystaniem inżynierii społecznej.

Kampanie APT charakteryzują się trzema podstawowymi cechami:

1. Złożonością procesu – cykl realizacji ataku zakłada szereg następujących po sobie działań, modyfikowanych zgodnie z informacjami uzyskiwanymi w miarę realizacji kampanii.
2. Wielo-poziomowością – w ramach kampanii, w komplementarny sposób wykorzystywane są różnorodne techniki oraz płaszczyzny ataku – od złośliwego oprogramowania, przez ataki na hasła lub klucze kryptograficzne, po socjotechniki.
3. Długotrwałym charakterem – kampanie APT mogą być rozłożone na miesiące a nawet lata.

Część grup APT oferuje swoje usługi komercyjnie, np. firmom zainteresowanym szpiegostwem przemysłowym lub chęcią kompromitacji konkurencji. W ostatnich latach coraz więcej analiz wskazuje także na państwowe powiązania niektórych grup realizujących zaawansowane długotrwałe ataki. I tak nazwą APT1 określa się jednostkę Chińskiej Armii Ludowo-Wyzwoleńczej nr. 61398. Grupa APT28, zwana także Fancy Bear, powiązana jest z rosyjskim wywiadem wojskowym GRU, a APT29, inaczej Cozy Bear, z rosyjską Federalną Służba Bezpieczeństwa FSB. Przykładami ich aktywności były m.in. włamania do systemów Coca-Coli oraz Lockheed Martin (APT1), niemieckiego Bundestag i francuskiej telewizji TV5Monde (APT28), czy głośna sprawa e-maili wykradzionych z serwerów Krajowego Komitetu Partii Demokratycznej w USA (APT29 oraz APT28). Polscy użytkownicy sieci także padali ofiarami grup APT. Przykładem była ujawniona na początku 2017 roku kampania nakierowana na polski sektor finansowy, którą przypisuje się prawdopodobnie północnokoreańskiej Grupie Lazarus (tej samej która podejrzewana jest o zhakowanie wytwórni Sony Pictures w roku 2014).

Współcześni hackerzy to nie zapaleńcy, siedzący nocą w kapturze nad klawiaturą. Grupy APT to dobrze opłacani profesjonaliści pracujący dla rządów, firm i właściwie każdego kto jest w stanie zaoferować wysoką cenę za skrojone na miarę cyfrowe usługi przestępcze. W skrócie, są to najemnicy działający w cyberprzestrzeni. Jak się przed nimi ochronić? Nie ma na to jednej uniwersalnej recepty. Punktem wyjścia może być do znudzenia powtarzana triada: ludzie, technologie, procedury. Każdy z tych elementów powinien być przystosowany do specyfiki i skali funkcjonowania instytucji czy firmy. Jednocześnie zastosowanie kilku standardowych elementów wyliczanki dotyczącej cyberbezpieczeństwa na pewno nie zaszkodzi: aktualizuj wykorzystywane systemy i oprogramowanie, zadbaj o odpowiednią architekturę sieci w firmie lub instytucji, stwórz kategoryzację zasobów i danych ze względu na ich wagę a następnie zarządzaj odpowiednio dostępem, edukuj siebie i innych pracowników w zakresie podstawowej higieny pracy w sieci. Po prostu, nie ułatwiaj życia cyberprzestępcom.