В 2006 году Военно-воздушные силы США ввели термин APT для описания нового типа атак. Тогда впервые была проанализирована атака, которая послужила основой для выводов и разработки стратегии борьбы с угрозой. APT не является эксплойтом или трояном. Это парадигма атаки.
Основная цель атакующих — получить доступ к ценным
данным и сохранить его как можно дольше.
(Под ценными данными понимается интеллектуальная собственность компании)
Основные характеристики APT:
Основные этапы ATP:
12 января 2010 года Google сообщила о первой открытой APT атаке, названной Aurora. Небольшая группа сотрудников смогла взломать компанию, получив письма от заслуживающих доверия адресатов, содержащие ссылку на сайт с Java-сценарием, который использовал уязвимость. Таким образом, на компьютер пользователя был установлен бэкдор, который полностью контролировал систему. Затем операторы постепенно получили контроль над другими внутренними ресурсами сети, используя также метод проникновения (pivoting), чтобы достичь своих целей.
Для достижения своих целей атакующие использовали системы конфигурационного управления, содержащие множество уязвимостей, что позволяло им скрыть свое присутствие на долгое время и при закреплении своих полномочий в сети жертвы. SCM-серверы оказались более стабильными, чем отдельные рабочие станции, и потому более подходящими для управления системой. Набор уязвимостей, содержащийся в системах конфигурационного управления, был достаточным для подчинения всей системы.
«NightDragon»
В ноябре 2009 года была обнаружена APT, нацеленная на нефтегазовую отрасль. Сначала была использована тактика внедрения SQL-кода для захвата внешних веб-серверов компаний и доступа к паролям пользователей.
Позже тактика атаки была изменена: были использованы утилиты gsecdump и Cain & Abel для взлома паролей и доступа к интрасети. Чтобы снизить риск обнаружения, была создана уникальная утилита zwShell на Delphi для генерации трояна, специально разработанного для этой кампании. Как обычно, управление жертвой осуществлялось посредством RAT.
APT, продолжавшаяся более пяти лет с 2006 года, была названа специалистами McAfee «Shady RAT». В 2009 году исследователи из Университета Торонто обнаружили две крупные сети кибершпионажа, названные GhostNet и ShadowNet, которые использовали троян Enfal. Удивительно, что Enfal был известен еще с 2002 года и был причастен к нескольким атакам. В то время, как McAfee детектировал их как Generic Downloader.x и Generic BackDoor.t, лишь 11 антивирусов из 34 могли обнаружить Enfal к 2008 году.
RAT продолжал эволюционировать, переставая оставлять следы при установке. Троянские следы удалялись, и обычное ПО для удаленного управления устанавливалось, не вызывая реакцию антивирусов.
Необходимо обратить внимание на следующие аспекты защиты: