Mục lục:
- APT là gì?
- APT khác nhau như thế nào?
- Một số ví dụ về APT
- APT là của ai?
- Các mối đe dọa an ninh của thế kỷ 21
Một cuộc tấn công vào mạng máy tính không còn là tin tức hàng đầu nữa, nhưng có một kiểu tấn công khác đưa mối quan tâm về an ninh mạng lên cấp độ tiếp theo. Những cuộc tấn công này được gọi là các mối đe dọa dai dẳng (APT). Tìm hiểu xem chúng khác với các mối đe dọa hàng ngày như thế nào và tại sao chúng có thể gây ra thiệt hại lớn như vậy trong đánh giá của chúng tôi về một số trường hợp cao cấp đã xảy ra trong vài năm qua. (Để đọc nền, hãy xem 5 mối đe dọa đáng sợ nhất trong công nghệ.)
APT là gì?
Thuật ngữ mối đe dọa dai dẳng (APT) có thể đề cập đến một kẻ tấn công với các phương tiện, tổ chức và động lực đáng kể để thực hiện một cuộc tấn công mạng được duy trì chống lại một mục tiêu.
Một APT, không đáng ngạc nhiên, là tiên tiến, dai dẳng và đe dọa. Nó tiên tiến vì nó sử dụng các phương thức tấn công lén lút và nhiều phương thức tấn công để thỏa hiệp mục tiêu, thường là nguồn lực của công ty hoặc chính phủ có giá trị cao. Kiểu tấn công này cũng khó phát hiện, loại bỏ và thuộc tính cho một kẻ tấn công cụ thể. Tệ hơn nữa, một khi mục tiêu bị phá vỡ, các cửa hậu thường được tạo ra để cung cấp cho kẻ tấn công quyền truy cập liên tục vào hệ thống bị xâm nhập.
APT được coi là dai dẳng theo nghĩa kẻ tấn công có thể mất hàng tháng để thu thập thông tin tình báo về mục tiêu và sử dụng trí thông minh đó để khởi động nhiều cuộc tấn công trong một khoảng thời gian dài. Nó đang đe dọa vì thủ phạm thường theo thông tin rất nhạy cảm, chẳng hạn như bố trí các nhà máy điện hạt nhân hoặc mã để đột nhập vào các nhà thầu quốc phòng Mỹ.
Một cuộc tấn công APT thường có ba mục tiêu chính:
- Trộm cắp thông tin nhạy cảm từ mục tiêu
- Giám sát mục tiêu
- Phá hoại mục tiêu
Thủ phạm của APT thường sử dụng các kết nối đáng tin cậy để có quyền truy cập vào mạng và hệ thống. Những kết nối này có thể được tìm thấy, ví dụ, thông qua một người trong cuộc thông cảm hoặc nhân viên vô tình trở thành con mồi của một cuộc tấn công lừa đảo giáo.
APT khác nhau như thế nào?
APT khác với các cuộc tấn công mạng khác theo một số cách. Đầu tiên, APT thường sử dụng các công cụ tùy chỉnh và kỹ thuật xâm nhập - chẳng hạn như khai thác lỗ hổng, virus, sâu và rootkit - được thiết kế đặc biệt để thâm nhập vào tổ chức mục tiêu. Ngoài ra, các APT thường khởi động nhiều cuộc tấn công đồng thời để vi phạm mục tiêu của họ và đảm bảo quyền truy cập liên tục vào các hệ thống được nhắm mục tiêu, đôi khi bao gồm cả một mồi nhử để lừa mục tiêu nghĩ rằng cuộc tấn công đã bị đẩy lùi thành công.
Thứ hai, các cuộc tấn công APT xảy ra trong thời gian dài, trong đó những kẻ tấn công di chuyển chậm và lặng lẽ để tránh bị phát hiện. Trái ngược với chiến thuật nhanh chóng của nhiều cuộc tấn công do tội phạm mạng điển hình đưa ra, mục tiêu của APT là không bị phát hiện bằng cách di chuyển "thấp và chậm" bằng cách theo dõi và tương tác liên tục cho đến khi những kẻ tấn công đạt được mục tiêu đã xác định.
Thứ ba, APT được thiết kế để đáp ứng các yêu cầu của gián điệp và / hoặc phá hoại, thường liên quan đến các chủ thể nhà nước bí mật. Mục tiêu của APT bao gồm thu thập thông tin tình báo quân sự, chính trị hoặc kinh tế, dữ liệu bí mật hoặc mối đe dọa bí mật thương mại, gián đoạn hoạt động hoặc thậm chí phá hủy thiết bị.
Thứ tư, APT nhắm đến một loạt các mục tiêu có giá trị cao. Các cuộc tấn công APT đã được phát động chống lại các cơ quan chính phủ và các cơ sở, nhà thầu quốc phòng và nhà sản xuất các sản phẩm công nghệ cao. Các tổ chức và công ty duy trì và vận hành cơ sở hạ tầng quốc gia cũng có khả năng là mục tiêu.
Một số ví dụ về APT
Chiến dịch Aurora là một trong những APT được công bố rộng rãi đầu tiên; một loạt các cuộc tấn công chống lại các công ty Mỹ là tinh vi, nhắm mục tiêu, tàng hình và được thiết kế để thao túng các mục tiêu.Các cuộc tấn công, được thực hiện vào giữa năm 2009, đã khai thác lỗ hổng trong trình duyệt Internet Explorer, cho phép kẻ tấn công truy cập vào hệ thống máy tính và tải phần mềm độc hại vào các hệ thống đó. Các hệ thống máy tính được kết nối với một máy chủ từ xa và tài sản trí tuệ đã bị đánh cắp từ các công ty, bao gồm Google, Northrop Grumman và Dow Chemical. (Đọc về các cuộc tấn công gây thiệt hại khác trong Phần mềm độc hại: Worms, Trojans và Bots, Oh My!)
Stuxnet là APT đầu tiên sử dụng một cuộc tấn công mạng để phá vỡ cơ sở hạ tầng vật lý. Được cho là do Hoa Kỳ và Israel phát triển, loài sâu Stuxnet nhắm vào các hệ thống kiểm soát công nghiệp của một nhà máy điện hạt nhân Iran.
Mặc dù Stuxnet dường như đã được phát triển để tấn công các cơ sở hạt nhân của Iran, nhưng nó đã lan xa hơn mục tiêu dự định của mình và cũng có thể được sử dụng để chống lại các cơ sở công nghiệp ở các nước phương Tây, bao gồm cả Hoa Kỳ.
Một trong những ví dụ nổi bật nhất về APT là vi phạm RSA, một công ty bảo mật máy tính và mạng. Vào tháng 3 năm 2011, RSA đã phát hiện một vụ rò rỉ khi nó bị xâm nhập bởi một cuộc tấn công lừa đảo giáo đã móc nối một nhân viên của mình và dẫn đến một vụ bắt rất lớn cho những kẻ tấn công mạng.
Trong một bức thư ngỏ gửi RSA được khách hàng đăng lên trang web của công ty vào tháng 3 năm 2011, Chủ tịch điều hành Art Coviello nói rằng một cuộc tấn công APT tinh vi đã trích xuất thông tin có giá trị liên quan đến sản phẩm xác thực hai yếu tố SecurID được sử dụng bởi nhân viên từ xa để truy cập an toàn vào mạng của công ty họ .
"Mặc dù tại thời điểm này, chúng tôi tin tưởng rằng thông tin được trích xuất không cho phép tấn công trực tiếp thành công vào bất kỳ khách hàng RSA SecurID nào của chúng tôi, thông tin này có thể được sử dụng để giảm hiệu quả của việc triển khai xác thực hai yếu tố hiện tại như là một phần của phạm vi rộng hơn tấn công, "Coviello nói.
Nhưng Coviello, hóa ra, đã sai về điều đó, vì nhiều khách hàng mã thông báo RSA SecurID, bao gồm cả người khổng lồ quốc phòng Mỹ Lockheed Martin, đã báo cáo các cuộc tấn công do vi phạm RSA. Trong nỗ lực hạn chế thiệt hại, RSA đã đồng ý thay thế các mã thông báo cho các khách hàng quan trọng của mình.
APT là của ai?
Một điều chắc chắn: APT sẽ tiếp tục. Miễn là có thông tin nhạy cảm để đánh cắp, các nhóm có tổ chức sẽ theo đuổi nó. Và miễn là các quốc gia tồn tại, sẽ có gián điệp và phá hoại - vật chất hoặc mạng.
Đã có một phần tiếp theo của sâu Stuxnet, được đặt tên là Duqu, được phát hiện vào mùa thu năm 2011. Giống như một đặc vụ ngủ, Duqu nhanh chóng nhúng mình vào các hệ thống công nghiệp quan trọng và thu thập thông tin tình báo và chờ đợi thời gian. Hãy yên tâm rằng nó đang nghiên cứu các tài liệu thiết kế để tìm ra điểm yếu cho các cuộc tấn công trong tương lai.
Các mối đe dọa an ninh của thế kỷ 21
Chắc chắn, Stuxnet, Duqu và những người thừa kế của họ sẽ ngày càng làm khổ chính phủ, các nhà điều hành cơ sở hạ tầng quan trọng và các chuyên gia bảo mật thông tin. Đã đến lúc phải thực hiện những mối đe dọa này nghiêm trọng như những vấn đề an ninh thông tin trần tục trong cuộc sống hàng ngày trong thế kỷ 21.
