State sponsored APT
Каждый интересующийся кибербезом неизбежно сталкивался с аббревиатурой APT, гуглил расшифровку которая выглядела как APT (Advanced Persistent Threat) и яснее не становилось. На русский это переводится как "Постоянная серьезная угроза", стало яснее? Нет.
APT - это высококвалифицированная хакерская группа, финансово мотивированная как и прочий киберкриминал, либо "State sponsored".
State sponsored APT называют группы подконтрольные или даже находящиеся в штате одной из спецслужб какой-либо страны. Это или отделы, или внешние постоянные подрядчики, которые де-юре независимые, де-факто просто вынесенные за периметр службы. Соответственно и операции которые проводятся подобными APT группами - мотивированы интересами государств. Какие-то группы традиционно приписывают определённым странам, иногда с доказательствами, иногда голословно.
Тема атрибуции (определения конечного исполнителя атаки) будет всегда политизирована, доказательства могут быть подтасованы и проверить их через независимые источники крайне сложно.
Красивый не политизированный список APT-групп можно посмотреть на сайте Лаборатории Касперского.
А политизированную версию с атрибуцией, например, на сайте MITRE.
Чем же state sponsored APT отличается от киберкриминала, помимо своих про государственных, диверсионных и/или шпионских целей?
- Уровнем мастерства/подготовки. Участники любых APT это зачастую бОльшие профессионалы.
- Ресурсами. APT группы аккумулируют бОльшее количество уязвимостей нулевого дня, а остальное зависит от финансирования той страны к которой они принадлежат или собственного финансирования.
- Целевыми атаками. Киберкриминал не ставит целью взлом конкретной компании, если не получается им проще перейти к иной цели. State sponsored APT же будут стремиться выполнить задачу любыми способами, они готовы даже ждать удачного момента.
Свежий пример подобной атаки.
SecAtor пишет со ссылкой на британцев, что уже как 2 года назад взломали Избирком Великобритании.
Удачный взлом произошел в августе 2021 года, утекли данные всех избирателей за последние 8 лет. А узнали они об этом только сейчас. Фактически все 2 года абсолютно незаметно неизвестная APT-группа контролировала всю инфраструктуру организации и все ее коммуникации.
Их цель понятна - шпионаж.
Британцы сейчас, конечно же говорят, что ничего страшного не случилось, а угрозы выборам не было. Словом, пытаются замять историю.
Каждый интересующийся кибербезом неизбежно сталкивался с аббревиатурой APT, гуглил расшифровку которая выглядела как APT (Advanced Persistent Threat) и яснее не становилось. На русский это переводится как "Постоянная серьезная угроза", стало яснее? Нет.
APT - это высококвалифицированная хакерская группа, финансово мотивированная как и прочий киберкриминал, либо "State sponsored".
State sponsored APT называют группы подконтрольные или даже находящиеся в штате одной из спецслужб какой-либо страны. Это или отделы, или внешние постоянные подрядчики, которые де-юре независимые, де-факто просто вынесенные за периметр службы. Соответственно и операции которые проводятся подобными APT группами - мотивированы интересами государств. Какие-то группы традиционно приписывают определённым странам, иногда с доказательствами, иногда голословно.
Тема атрибуции (определения конечного исполнителя атаки) будет всегда политизирована, доказательства могут быть подтасованы и проверить их через независимые источники крайне сложно.
Красивый не политизированный список APT-групп можно посмотреть на сайте Лаборатории Касперского.
А политизированную версию с атрибуцией, например, на сайте MITRE.
Чем же state sponsored APT отличается от киберкриминала, помимо своих про государственных, диверсионных и/или шпионских целей?
- Уровнем мастерства/подготовки. Участники любых APT это зачастую бОльшие профессионалы.
- Ресурсами. APT группы аккумулируют бОльшее количество уязвимостей нулевого дня, а остальное зависит от финансирования той страны к которой они принадлежат или собственного финансирования.
- Целевыми атаками. Киберкриминал не ставит целью взлом конкретной компании, если не получается им проще перейти к иной цели. State sponsored APT же будут стремиться выполнить задачу любыми способами, они готовы даже ждать удачного момента.
Свежий пример подобной атаки.
SecAtor пишет со ссылкой на британцев, что уже как 2 года назад взломали Избирком Великобритании.
Удачный взлом произошел в августе 2021 года, утекли данные всех избирателей за последние 8 лет. А узнали они об этом только сейчас. Фактически все 2 года абсолютно незаметно неизвестная APT-группа контролировала всю инфраструктуру организации и все ее коммуникации.
Их цель понятна - шпионаж.
Британцы сейчас, конечно же говорят, что ничего страшного не случилось, а угрозы выборам не было. Словом, пытаются замять историю.