Sfetcu, Nicolae (2024), Amenințările Persistente Avansate în securitatea cibernetică, IT & C, 3:1, 65-74, DOI: 10.58679/IT35506, https://www.internetmobile.ro/amenintarile-persistente-avansate-in-securitatea-cibernetica/

Advanced Persistent Threats in Cyber Security

Abstract

Advanced persistent threats are a class of cyber threats that pose a significant challenge to organizations and nations around the world. They are known for their advanced tactics, techniques, and procedures, as well as their ability to infiltrate and operate persistently on target systems for long periods of time. Advanced persistent threats are characterized by persistence (remaining undetected in a target environment for long periods, sometimes even years), pinpoint targeting (selective, tailoring their attacks to the vulnerabilities or weaknesses of targets), and sophistication (advanced and cutting-edge techniques generation, some even innovative, often using zero-day exploits, social engineering and other sophisticated methods).

Keywords: Advanced Persistent Threats, cyber security, cyber threats, cyber warfare, multi-stage attacks

Rezumat

Amenințările persistente avansate sunt o clasă de amenințări cibernetice care reprezintă o provocare semnificativă pentru organizații și națiuni din întreaga lume. Ele sunt cunoscute pentru tacticile, tehnicile și procedurile lor avansate, precum și pentru capacitatea lor de a se infiltra și de a opera în mod persistent în sistemele țintă pentru perioade îndelungate. Amenințările persistente avansate se remarcă prin persistenţă (rămân nedetectate într-un mediu țintă pentru perioade lungi, uneori chiar ani), țintire punctuală (selective, personalizându-și atacurile pentru vulnerabilitățile sau punctele slabe ale țintelor), și rafinament (tehnici avansate și de ultimă generație, unele chiar inovative, utilizând adesea exploatări zero-day, inginerie socială și alte metode sofisticate).

Cuvinte cheie: Amenințări Persistente Avansate, securitatea cibernetică, amenințări cibernetice, război cibernetic, multi-stage attacks

IT & C, Volumul 3, Numărul 1, Martie 2024, pp. 65-74
ISSN 2821 – 8469, ISSN – L 2821 – 8469, DOI: 10.58679/IT35506
URL: https://www.internetmobile.ro/amenintarile-persistente-avansate-in-securitatea-cibernetica/
© 2024 Nicolae Sfetcu. Responsabilitatea conținutului, interpretărilor și opiniilor exprimate revine exclusiv autorilor.

Amenințările Persistente Avansate în securitatea cibernetică

Ing. fiz. Nicolae SFETCU[1], MPhil

nicolae@sfetcu.com

[1] Cercetător – Academia Română – Comitetul Român de Istoria și Filosofia Științei și Tehnicii (CRIFST), Divizia de Istoria Științei (DIS), ORCID: 0000-0002-0162-9973

Introducere

Amenințările persistente avansate (APT) sunt o clasă de amenințări cibernetice care reprezintă o provocare semnificativă pentru organizații și națiuni din întreaga lume. Ele sunt cunoscute pentru tacticile, tehnicile și procedurile lor avansate, precum și pentru capacitatea lor de a se infiltra și de a opera în mod persistent în sistemele țintă pentru perioade îndelungate.

APT sunt coordonate de obicei de un stat sau un grup sponsorizat de stat [1][2]. Motivațiile acestor actori de amenințare sunt de obicei de spionaj militar, geopolitice sau economice[3]. Aceste sectoare vizate includ guvernul, apărarea, serviciile financiare, serviciile juridice, industria, telecomunicațiile, bunurile de larg consum și multe altele[4].

„Timpul de contact” mediu, în care un atac APT trece nedetectat, a fost în medie în 2018 de 71 de zile în America de Nord, 177 de zile în EMEA, și 204 zile în APAC[5].

Amenințările persistente avansate combină o varietate de forme diferite de atac, de la inginerie socială la exploatări tehnice. În general în APT se folosesc vectori tradiționali de spionaj[6], inclusiv ingineria socială, inteligența umană și infiltrarea, pentru atacurile în rețea, instalând programe malware personalizate (software rău intenționat)[7]. Diversitatea și discreția APT le transformă într-o problemă centrală a securității sistemelor cibernetice, datorită caracterului asimetric al atacurilor, apelându-se adesea la teoria jocurilor pentru modelarea conflictului folosind jocuri matrice ca instrument de atenuare a riscurilor. Modelele APT teoretice ale jocurilor pot fi derivate direct din analiza vulnerabilității topologice, împreună cu evaluările riscurilor, în conformitate cu standardele comune de management al riscului, cum ar fi familia ISO 31000[8].

Creșterea eterogenității, conectivității și deschiderii sistemelor informaționale permit accesul într-un sistem prin multiple căi diferite. Pentru a asigura securitatea, se folosesc instrumente și tehnici semi-automatizate pentru a detecta și a atenua vulnerabilitățile, dar astfel de atacuri se adaptează rapid la aceste . configurații, astfel încât să rămână „sub radar”. Contramăsurile au o latență mai mare, fiind ineficiente pentru schimbări bruște ale strategiilor de atac ale unui adversar invizibil[9].

Amenințările persistente avansate au apărut ca o versiune nouă și complexă a atacurilor în mai multe etape (multi-stage attacks, MSA)[10], în condițiile în care sistemele actuale de detectare a APT se concentrează mai degrabă pe apariția alertelor de detectare, decât pe prezicerea amenințărilor[11]. Prognoza etapelor APT nu numai că dezvăluie ciclul de viață APT în stadiile sale incipiente, dar ajută și la înțelegerea strategiilor și obiectivelor atacatorului. În plus, Internetul obiectelor (IoT) face ca dispozitivele conectate la internet să devină ținte ușoare pentru atacurile cibernetice[12]. Costul global al criminalității cibernetice a atins 600 de miliarde de dolari în 2018, conform unui raport McAfee[13].

Pentru a contracara atacurile cibernetice, analiștii folosesc de obicei sisteme de detectare a intruziunilor (Intrusion Detection Systems, IDS) prin potrivirea tiparelor de atacuri cunoscute (bazate pe semnături, prin compararea datelor cu o bază de date care conține o listă de semnături de atac cunoscute) sau observarea anomaliilor (abaterea de la un profil de referință)[14].Obiectivul vizat al APT este spionajul și exfiltrarea datelor. Atacul poate dura săptămâni sau ani, cu perioade foarte lungi între etapele atacului. făcând dificilă detectarea acestuia prin corelarea mai multor alerte în timpul ciclului de viață a APT[15]. Metodele tradiționale de potrivire a modelelor sunt ineficiente în cazul APT, întrucât nu există un tipar al ordinei și frecvențelor dintre etape, din cauza limitărilor tehnice ale mecanismelor statice ale instituției atacate sau a utilizării de către atacator a unor tehnici noi și dinamice. Un APT se desfășoară în mai multe etape, cu privilegii, informații și resurse cumulate ale atacatorului la fiecare etapă.

În 76% din organizațiile afectate de APT, software-ul antivirus și sistemele de detectare a amenințărilor au fost ineficiente. În cadrul conferinței Infosecurity Europe 2011, APT au fost incluse printre cele mai mari amenințări cibernetice ale lumii moderne[16]. Conform unui raport Deloitte[17], factorii cheie în combaterea APT sunt: evaluarea constantă a riscurilor, o securitate ofensivă, și instruirea personalului[18].

Definiții

Un atac cibernetic obișnuit vizează exploatarea vulnerabilităților pentru a sustrage datele unor firme[19], determinând daune ne-critice. Un APT dispune de mult mai multe resurse și se concentrează asupra organizațiilor mari și instituțiilor guvernamentale, provocând daune grave, chiar critice.

Mulți consideră că termenul de APT este supraîncărcat, deoarece diferiți oameni se referă la el ca fiind lucruri diferite. Definiția dată de Institutul Național de Standarde și Tehnologie din SUA (NIST) afirmă că o APT este[20]:

„Un adversar care posedă niveluri sofisticate de expertiză și resurse semnificative care îi permit să creeze oportunități de a-și atinge obiectivele prin folosirea de mulți vectori de atac (de exemplu, cibernetic, fizic și înșelăciune). Aceste obiective includ, de obicei, stabilirea și extinderea punctelor de sprijin în cadrul infrastructurii tehnologiei informaționale a organizațiilor vizate în scopul extragerii de informații, subminarea sau împiedicarea aspectelor critice ale unei misiuni, program sau organizație; sau poziționându-se pentru a îndeplini aceste obiective în viitor. Amenințarea persistentă avansată: (i) își urmărește obiectivele în mod repetat pe o perioadă lungă de timp; (ii) se adaptează la eforturile apărătorilor de a-i rezista; și (iii) este decisă să mențină nivelul de interacțiune necesar pentru a-și îndeplini obiectivele”.

Principalele trăsături ale unei APT rezultă chiar din numele său:

• Amenințare – APT au atât capacitate, cât și intenție, fiind executate prin acțiuni coordonate, cu personal calificat, motivat, organizat și bine finanțat[21][22].
• Persistență – Atacatorii folosesc o abordare „scăzută și lentă” în cadrul unei strategii coerente; dacă pierd accesul la ținta lor, vor încerca din nou să îl obțină. Obiectivele lor sunt de a menține accesul pe termen lung[23][24].
• Avansată – Atacatorii dispun de un spectru larg de tehnici și instrumente de ultimă generație, unele chiar inovative, putând include și componente disponibile în mod obișnuit. Ei încearcă de obicei să stabilească mai multe puncte de intrare în rețelele vizate, și combină mai multe metode, instrumente și tehnici pentru a-și atinge obiectivele, a menține accesul și a compromite ținta[25][26].

Specificitatea APT le permite să păstreze accesul chiar dacă activitatea rău intenționată este descoperită și este declanșat un răspuns la incident permițând apărătorilor securității cibernetice să închidă un compromis.

Istoria

Atacuri asupra securității cibernetice prin mesaje email direcționate, combinate cu ingineria socială și folosind troieni pentru a exfiltra informații, au fost folosite încă la începutul anilor 1990, fiind făcute cunoscute de CERT din Marea Britanie și SUA în 2005. Termenul „amenințare persistentă avansată” (Advanced Persistent Threat, APT) a fost folosit pentru prima dată în Forțele Aeriene ale Statelor Unite în 2006[27], de către colonelul Greg Rattray[28].

Prin proiectul Stuxnet, SUA a vizat hardware-ul computerului programului nuclear al Iranului, este un exemplu de atac APT[29].

PC World a raportat o creștere a APT cu 81% din 2010 până în 2011. Mai multe țări au folosit spațiul cibernetic pentru a colecta informații prin APT[30], prin grupuri afiliate sau agenți ai guvernelor statelor suverane[31].

Un studiu Bell Canada a descoperit prezența pe scară largă a APT în guvernul canadian și în infrastructura critică, atacurile fiind atribuite actorilor chinezi și ruși[32].

Google, Adobe Systems, Juniper Networks și Symantec au fost victime ale unui atac APT numit Operațiunea Aurora[33].

O serie de atacuri în sectoarele militar, financiar, energetic, nuclear, educație, aerospațial, telecomunicații, chimie și guvern au fost raportate în 2011[34]. Dintre atacurile APT cele mai mediatizate fac parte Stuxnet, Breșa RAS, Operațiunea Aurora, Duqu, Operațiunea Ke3chang, Flame, Snow Man, Red October și Mini duke, cu atacuri mai recente malware Ratankba, ActiveX etc.[35]. Obiectivele obișnuite ale acestora sunt spionajul cibernetic cu interese în securitate națională și sabotarea infrastructurilor strategice.Atacurile folosesc dispozitive hardware și instrumente software, cu o abordare sistematică care se bazează adesea pe ingineria socială ca principal mecanism de obținere a accesului și exploatări zero-day[36].

Industroyer, un cadru de malware care a fost descoperit în 2016, a vizat rețeaua electrică din capitala Ucrainei, determinând o întrerupere a curentului pe termen scurt în acea zonă[37].

Caracteristici

Amenințările persistente avansate se remarcă prin persistenţă (rămân nedetectate într-un mediu țintă pentru perioade lungi, uneori chiar ani), țintire punctuală (selective, personalizându-și atacurile pentru vulnerabilitățile sau punctele slabe ale țintelor), și rafinament (tehnici avansate și de ultimă generație, unele chiar inovative, utilizând adesea exploatări zero-day, inginerie socială și alte metode sofisticate).

Caracteristicile distinctive ale APT sunt[38]:

Ținte specifice și obiective clare. Țintele atacurilor APT sunt punctuale, de obicei guverne, organizații sau armatele unor țări, limitându-și raza de atac. Scopul lor este, în mare parte, beneficii strategice în securitatea națională și obținerea de informații secrete.

Atacatori experți, organizați și cu resurse mari. Atacatorii sunt de obicei hackeri pricepuți, lucrând coordonat, angajați într-o unitate cibernetică guvernamentală/militară[39] sau mercenari cibernetici, pregătiți să activeze pe perioade lungi de timp și să exploateze vulnerabilități zero-day. Uneori pot opera chiar cu sprijinul serviciilor de informații militare sau de stat.

Atacuri pe termen lung și, dacă e cazul, cu încercări repetate. Campaniile APT rămâne nedetectate timp de câteva luni sau ani. Actorii APT își adaptează permanent eforturile la condițiile în schimbare sau pentru a depăși o anumită dificultate.

Tehnici ascunse și evazive. Atacurile APT au capacitatea de a rămâne nedetectate, ascunzându-se în traficul din rețea și interacționând minimal, doar pentru a atinge obiectivele definite. Pot folosi exploit zero-day pentru a evita detectarea bazată pe semnătură, și criptarea pentru a induce în eroare traficului de rețea.

Tabelul 1: Comparația atacurilor tradiționale și APT. Sursa[40]

Concluzie

Într-o eră în care amenințările cibernetice evoluează continuu, înțelegerea și apărarea împotriva APT este crucială pentru organizații și națiuni. APT reprezintă o provocare persistentă și formidabilă, dar este posibilă îmbunătățirea securității cibernetice și reducerea riscului de incidente legate de APT.

Monitorizarea și eliminarea amenințărilor persistente avansate necesită o abordare cu mai multe fațete care combină soluții tehnologice, conștientizarea angajaților și colaborarea internațională. Pe măsură ce aceste amenințări continuă să evolueze, organizațiile trebuie să rămână vigilente, să își adapteze strategiile de securitate cibernetică și să investească în tehnologii inovatoare pentru a se proteja împotriva naturii persistente și sofisticate a APT.

Bibliografie

• Adelaiye, Oluwasegun, Aminat Ajibola, și Faki Silas. 2019. „Evaluating Advanced Persistent Threats Mitigation Effects: A Review”, februarie.
• Arntz, Pieter. 2016. „Explained: Advanced Persistent Threat (APT) | Malwarebytes Labs”. Malwarebytes. 25 iulie 2016. https://www.malwarebytes.com/blog/news/2016/07/explained-advanced-persistent-threat-apt/.
• Chen, Ping, Lieven Desmet, și Christophe Huygens. 2014. „A Study on Advanced Persistent Threats”. În Communications and Multimedia Security, ediție de Bart De Decker și André Zúquete, 63–72. Lecture Notes in Computer Science. Berlin, Heidelberg: Springer. https://doi.org/10.1007/978-3-662-44885-4_5.
• Cisco. 2023. „What Is an Advanced Persistent Threat (APT)?” Cisco. 2023. https://www.cisco.com/c/en/us/products/security/advanced-persistent-threat.html.
• Cole, Eric. 2013. Advanced Persistent Threat: Understanding the Danger and How to Protect Your Organization. Syngress.
• Daly, Michael K. 2009. „The Advanced Persistent Threat (or Informa5onized Force Opera5ons)”. https://www.usenix.org/legacy/event/lisa09/tech/slides/daly.pdf.
• Deloitte. 2016. „Cyber Espionage – The harsh reality of advanced security threats”. https://indianstrategicknowledgeonline.com/web/us_aers_cyber_espionage_07292011.pdf.
• FireEye. 2019. „Cyber Threats to the Financial Services and Insurance Industries”. https://web.archive.org/web/20190811091624/https://www.fireeye.com/content/dam/fireeye-www/solutions/pdfs/ib-finance.pdf.
• Ghafir, Ibrahim, Konstantinos Kyriakopoulos, Francisco Aparicio-Navarro, S. Lambotharan, Basil AsSadhan, și Hamad BinSalleeh. 2018. „A Basic Probability Assignment Methodology for Unsupervised Wireless Intrusion Detection”. IEEE Access PP (iulie): 40008–23. https://doi.org/10.1109/ACCESS.2018.2855078.
• Ghafir, Ibrahim, Konstantinos G. Kyriakopoulos, Sangarapillai Lambotharan, Francisco J. Aparicio-Navarro, Basil Assadhan, Hamad Binsalleeh, și Diab M. Diab. 2019. „Hidden Markov Models and Alert Correlations for the Prediction of Advanced Persistent Threats”. IEEE Access 7: 99508–20. https://doi.org/10.1109/ACCESS.2019.2930200.
• Ghafir, Ibrahim, și Vaclav Prenosil. 2014. „Advanced Persistent Threat Attack Detection: An Overview”. International Journal Of Advances In Computer Networks And Its Security, decembrie, 154.
• Grow, Brian, Keith Epstein, și Chi-Chu Tschang. 2008. „The New E-spionage Threat”. BusinessWeek. https://web.archive.org/web/20110418080952/http://www.businessweek.com/magazine/content/08_16/b4080032218430.htm.
• Holland, Rick. 2013. „Introducing Forrester’s Cyber Threat Intelligence Research”. 2013. https://web.archive.org/web/20140415054512/http://blogs.forrester.com/rick_holland/13-02-14-introducing_forresters_cyber_threat_intelligence_research.
• IT Governance. 2023. „Advanced Persistent Threats (APTs)”. 2023. https://itgovernance.co.uk/advanced-persistent-threats-apt.
• Kaspersky. 2023. „What Is an Advanced Persistent Threat (APT)?” www.kaspersky.com. 19 aprilie 2023. https://www.kaspersky.com/resource-center/definitions/advanced-persistent-threats.
• Kyriakopoulos, Kostas, Francisco J. Aparicio-Navarro, Ibrahim Ghafir, Sangarapillai Lambotharan, și Jonathon Chambers. 2018. Multi-stage attack detection using contextual information. Loughborough University. https://doi.org/10.1109/MILCOM.2018.8599708′].
• Maloney, Sarah. 2018. „What Is an Advanced Persistent Threat (APT)?” 2018. https://www.cybereason.com/blog/advanced-persistent-threat-apt.
• Mandiant. 2013. „APT1 | Exposing One of China’s Cyber Espionage Units”. Mandiant. 2013. https://www.mandiant.com/resources/reports/apt1-exposing-one-chinas-cyber-espionage-units.
• ———. 2021. „Today’s Top Cyber Trends & Attacks Insights | M-Trends 2021”. Mandiant. 2021. https://www.mandiant.com/resources/reports/m-trends-2021.
• Matthews, Tim. 2019. „Operation Aurora – 2010’s Major Breach by Chinese Hackers”. Exabeam. 8 ianuarie 2019. https://www.exabeam.com/information-security/operation-aurora/.
• McAfee. 2018. „The Economic Impact of Cybercrime No Slowing Down.” https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/economic-impact-cybercrime.pdf.
• McMahon, Dave, și Rafal Rohozinski. 2013. „The Dark Space Project: Defence R&D Canada – Centre for Security Science Contractor Report DRDC CSS CR 2013-007”.
• NIST, Initiative Joint Task Force Transformation. 2011. „Managing Information Security Risk: Organization, Mission, and Information System View”. NIST Special Publication (SP) 800-39. National Institute of Standards and Technology. https://doi.org/10.6028/NIST.SP.800-39.
• Rass, Stefan, Sandra König, și Stefan Schauer. 2017. „Defending Against Advanced Persistent Threats Using Game-Theory”. PLOS ONE 12 (1): e0168675. https://doi.org/10.1371/journal.pone.0168675.
• Rot, Artur. 2009. „Enterprise Information Technology Security: Risk Management Perspective”. Lecture Notes in Engineering and Computer Science 2179 (octombrie).
• Rot, Artur, și Bogusław Olszewski. 2017. Advanced Persistent Threats Attacks in Cyberspace. Threats, Vulnerabilities, Methods of Protection. https://doi.org/10.15439/2017F488.
• SANS. 2013. „Assessing Outbound Traffic to Uncover Advanced Persistent Threat”. SANS Technology Institute.
• Santoro, Diego, Gines Escudero-Andreu, Kostas Kyriakopoulos, Francisco J. Aparicio-Navarro, David J. Parish, și M. Vadursi. 2017. „A hybrid intrusion detection system for virtual jamming attacks on wireless networks”, ianuarie, 79–87. https://doi.org/10.1016/j.measurement.2017.05.034′].
• Symantec. 2018. „Advanced Persistent Threats: A Symantec Perspective”. https://web.archive.org/web/20180508161501/https://www.symantec.com/content/en/us/enterprise/white_papers/b-advanced_persistent_threats_WP_21215957.en-us.pdf.
• Tollefson, Rodika. 2020. „ICS/SCADA Malware Threats | Infosec”. 2020. https://resources.infosecinstitute.com/topics/scada-ics-security/ics-scada-malware-threats/.
• Virvilis, Nikos, și Dimitris Gritzalis. 2013. „The Big Four – What We Did Wrong in Advanced Persistent Threat Detection?” În 2013 International Conference on Availability, Reliability and Security, 248–54. https://doi.org/10.1109/ARES.2013.32.
• Wang, Yuan, Yongjun Wang, Jing Liu, Zhijian Huang, și Peidai Xie. 2016. A Survey of Game Theoretic Methods for Cyber Security. https://doi.org/10.1109/DSC.2016.90.
• Xu, Lei, Chunxiao Jiang, Jian Wang, Yong Ren, Jian Yuan, și Mohsen Guizani. 2015. „Game theoretic data privacy preservation: Equilibrium and pricing”. În 2015 IEEE International Conference on Communications (ICC), 7071–76. https://doi.org/10.1109/ICC.2015.7249454.

Note

[1] (Kaspersky 2023)

[2] (Cisco 2023)

[3] (Cole 2013)

[4] (FireEye 2019)

[5] (Mandiant 2021)

[6] (Ghafir și Prenosil 2014)

[7] (Symantec 2018)

[8] (Rass, König, și Schauer 2017)

[9] (Rass, König, și Schauer 2017)

[10] (Kyriakopoulos et al. 2018)

[11] (Ghafir et al. 2019)

[12] (Ghafir et al. 2018)

[13] (McAfee 2018)

[14] (Santoro et al. 2017)

[15] (Mandiant 2013)

[16] (Rot și Olszewski 2017)

[17] (Deloitte 2016)

[18] (Rot 2009)

[19] (Chen, Desmet, și Huygens 2014)

[20] (NIST 2011)

[21] (Maloney 2018)

[22] (IT Governance 2023)

[23] (IT Governance 2023)

[24] (Arntz 2016)

[25] (Maloney 2018)

[26] (Arntz 2016)

[27] (SANS 2013)

[28] (Holland 2013)

[29] (Virvilis și Gritzalis 2013)

[30] (Grow, Epstein, și Tschang 2008)

[31] (Daly 2009)

[32] (McMahon și Rohozinski 2013)

[33] (Matthews 2019)

[34] (Wang et al. 2016)

[35] (Xu et al. 2015)

[36] (Adelaiye, Ajibola, și Silas 2019)

[37] (Tollefson 2020)

[38] (Chen, Desmet, și Huygens 2014)

[39] (Mandiant 2013)

[40] (Chen, Desmet, și Huygens 2014)

Articol cu Acces Deschis (Open Access) distribuit în conformitate cu termenii licenței de atribuire Creative Commons CC BY SA 4.0 (https://creativecommons.org/licenses/by-sa/4.0/).