Inhoudsopgave:
- Wat is een APT?
- Hoe verschillen APT's?
- Enkele voorbeelden van APT's
- Welke APT's?
- Veiligheidsbedreigingen van de 21ste eeuw
Een aanval op een computernetwerk is geen nieuws meer, maar er is een ander type aanval dat zorgen over cybersecurity naar een hoger niveau brengt. Deze aanvallen worden geavanceerde persistente bedreigingen (APT) genoemd. Ontdek hoe ze verschillen van dagelijkse bedreigingen en waarom ze zoveel schade kunnen toebrengen in onze beoordeling van enkele spraakmakende zaken die zich de afgelopen jaren hebben voorgedaan. (Lees de 5 engste bedreigingen in technologie voor achtergrondinformatie.)
Wat is een APT?
De term geavanceerde persistente dreiging (APT) kan verwijzen naar een aanvaller met substantiële middelen, organisatie en motivatie om een aanhoudende cyberaanval tegen een doelwit uit te voeren.
Het is niet verrassend dat een APT geavanceerd, aanhoudend en bedreigend is. Het is geavanceerd omdat het stealth en meerdere aanvalsmethoden gebruikt om een doelwit, vaak een waardevolle bedrijfs- of overheidsbron, in gevaar te brengen. Dit type aanval is ook moeilijk te detecteren, te verwijderen en toe te wijzen aan een bepaalde aanvaller. Erger nog, als een doel eenmaal is geschonden, worden achterdeuren vaak gemaakt om de aanvaller continue toegang tot het gecompromitteerde systeem te bieden.
APT's worden als persistent beschouwd in de zin dat de aanvaller maanden kan besteden aan het verzamelen van informatie over het doel en die informatie kan gebruiken om meerdere aanvallen over een langere periode te starten. Het is bedreigend omdat daders vaak achter zeer gevoelige informatie aankomen, zoals de lay-out van kerncentrales of codes om in te breken bij Amerikaanse defensiecontractanten.
Een APT-aanval heeft over het algemeen drie primaire doelen:
- Diefstal van gevoelige informatie van het doelwit
- Bewaking van het doelwit
- Sabotage van het doelwit
Daders van APT's gebruiken vaak vertrouwde verbindingen om toegang te krijgen tot netwerken en systemen. Deze verbindingen kunnen bijvoorbeeld worden gevonden via een sympathieke insider of een onwetende medewerker die ten prooi valt aan een spear phishing-aanval.
Hoe verschillen APT's?
APT's verschillen op een aantal manieren van andere cyberaanvallen. Ten eerste maken APT's vaak gebruik van aangepaste tools en inbraaktechnieken - zoals exploits voor kwetsbaarheden, virussen, wormen en rootkits - die specifiek zijn ontworpen om de doelorganisatie binnen te dringen. Bovendien lanceren APT's vaak meerdere aanvallen tegelijkertijd om hun doelen te overtreden en zorgen voor voortdurende toegang tot gerichte systemen, soms inclusief een lokvogel om het doel te misleiden door te denken dat de aanval met succes is afgeweerd.
Ten tweede vinden APT-aanvallen plaats gedurende lange perioden waarin de aanvallers langzaam en stil bewegen om detectie te voorkomen. In tegenstelling tot de snelle tactiek van veel aanvallen die worden uitgevoerd door typische cybercriminelen, is het doel van de APT om onopgemerkt te blijven door "laag en langzaam" te gaan met continue monitoring en interactie totdat de aanvallers hun gedefinieerde doelstellingen bereiken.
Ten derde zijn APT's ontworpen om te voldoen aan de vereisten van spionage en / of sabotage, meestal met geheime statelijke actoren. Het doel van een APT omvat het verzamelen van militaire, politieke of economische inlichtingen, vertrouwelijke gegevens of bedreigingen van handelsgeheimen, verstoring van operaties of zelfs vernietiging van apparatuur.
Ten vierde zijn APT's gericht op een beperkt aantal zeer waardevolle doelen. APT-aanvallen zijn gestart tegen overheidsinstanties en -faciliteiten, defensiebedrijven en fabrikanten van hightech-producten. Organisaties en bedrijven die nationale infrastructuur onderhouden en exploiteren, zijn waarschijnlijk ook doelen.
Enkele voorbeelden van APT's
Operatie Aurora was een van de eerste veel gepubliceerde APT's; de reeks aanvallen op Amerikaanse bedrijven was verfijnd, doelgericht, sluipend en ontworpen om doelen te manipuleren.De aanvallen, uitgevoerd medio 2009, misbruikten een kwetsbaarheid in de Internet Explorer-browser, waardoor de aanvallers toegang konden krijgen tot computersystemen en malware naar die systemen konden downloaden. De computersystemen waren verbonden met een externe server en intellectueel eigendom werd gestolen van de bedrijven, waaronder Google, Northrop Grumman en Dow Chemical. (Lees meer over andere schadelijke aanvallen in schadelijke software: wormen, trojaanse paarden en bots, oh mijn!)
Stuxnet was de eerste APT die een cyberaanval gebruikte om de fysieke infrastructuur te verstoren. Aangenomen te zijn ontwikkeld door de Verenigde Staten en Israël, richtte de worm Stuxnet zich op de industriële controlesystemen van een Iraanse kerncentrale.
Hoewel Stuxnet lijkt te zijn ontwikkeld om Iraanse nucleaire installaties aan te vallen, heeft het zich ver buiten het beoogde doel verspreid en kan het ook worden gebruikt tegen industriële installaties in westerse landen, waaronder de Verenigde Staten.
Een van de meest prominente voorbeelden van een APT was de inbreuk op RSA, een computer- en netwerkbeveiligingsbedrijf. In maart 2011 brak RSA een lek uit toen het werd binnengedrongen door een speer-phishing-aanval waarbij een van zijn medewerkers werd verslaafd en resulteerde in een enorme vangst voor cyberaanvallen.
In een open brief aan klanten die door klanten op de website van het bedrijf in maart 2011 werd geplaatst, zei uitvoerend voorzitter Art Coviello dat een geavanceerde APT-aanval waardevolle informatie had opgehaald met betrekking tot zijn SecurID tweefactorauthenticatieproduct dat door externe werknemers werd gebruikt om veilig toegang te krijgen tot hun bedrijfsnetwerk .
"Hoewel we er op dit moment zeker van zijn dat de geëxtraheerde informatie geen succesvolle directe aanval op een van onze RSA SecurID-klanten mogelijk maakt, kan deze informatie mogelijk worden gebruikt om de effectiviteit van een huidige tweefactorauthenticatie-implementatie te verminderen als onderdeel van een bredere aanval, "zei Coviello.
Maar het bleek dat Coviello daar ongelijk in had, aangezien talloze RSA SecurID-tokenklanten, waaronder de Amerikaanse defensiegigant Lockheed Martin, aanvallen als gevolg van de RSA-inbreuk meldden. In een poging schade te beperken, stemde RSA ermee in om de tokens voor zijn belangrijkste klanten te vervangen.
Welke APT's?
Eén ding is zeker: APT's zullen doorgaan. Zolang er gevoelige informatie is om te stelen, zullen georganiseerde groepen er achteraan gaan. En zolang er landen zijn, zal er spionage en sabotage zijn - fysiek of cyber.
Er is al een vervolg op de Stuxnet-worm, Duqu genaamd, die in de herfst van 2011 werd ontdekt. Net als een slaper, heeft Duqu zich snel ingebed in belangrijke industriële systemen en verzamelt het informatie en wacht het zijn tijd af. U kunt er zeker van zijn dat het ontwerpdocumenten bestudeert om zwakke plekken voor toekomstige aanvallen te vinden.
Veiligheidsbedreigingen van de 21ste eeuw
Stuxnet, Duqu en hun erfgenamen zullen zeker overheden, kritieke infrastructuurbeheerders en professionals op het gebied van informatiebeveiliging in toenemende mate pesten. Het is tijd om deze bedreigingen even serieus te nemen als de alledaagse problemen met informatiebeveiliging van het dagelijks leven in de 21e eeuw.
