Определение
Специалисты по информационной безопасности по-разному трактуют термин advanced persistent threat (APT). Среди вариантов: «расширенные постоянные угрозы»; «продвинутые», «развитые», «сложные», «целевые», «целенаправленные» и «таргетированные» угрозы. Эксперты Positive Technologies определяют APT как хорошо организованную, тщательно спланированную кибератаку, направленную на конкретную компанию или целую отрасль. В ходе нее злоумышленник получает несанкционированный доступ к сети, закрепляется в инфраструктуре и надолго остается незамеченным. За такими атаками, как правило, стоят APT-группировки, имеющие значительные финансовые ресурсы и технические возможности.
Чем APT-атаки отличаются от массовых вторжений
Массовые кибератаки направлены на глобальное распространение вредоносных программ, затрагивают в основном частных лиц и не требуют длительной подготовки и серьезных финансовых вложений. При планировании подобных атак злоумышленники не учитывают отраслевую принадлежность и масштабы организаций, не составляют портрет жертвы, а при реализации используют готовые инструменты, более дешевые, нежели для целевых атак.
В свою очередь, целевая атака всегда направлена на конкретную компанию, компьютерную сеть или компьютеры отдельных сотрудников. Такие атаки всегда тщательно продуманы, растянуты во времени и реализуются в несколько этапов. Как показало исследование Verizon, время проникновения злоумышленников в инфраструктуру составляет несколько минут, а на обнаружение атаки уходят недели и даже месяцы.
Объекты целевых атак
Под удар АРТ-группировок попадают как коммерческие компании, так и государственные структуры. По данным Positive Technologies, основные категории жертв целевых атак — это государственные учреждения, промышленные компании, финансовая отрасль и топливно-энергетический комплекс. Большому риску подвержены также космическая отрасль, IT-компании, предприятия военно-оборонительного комплекса, научные учреждения.
Как правило, злоумышленники охотятся за секретными стратегическими разработками, платежной информацией, персональными данными — любой информацией, которую можно выгодно продать, обменять или использовать.
Заказчики и исполнители
Заказчиками атак могут быть конкурирующие компании и спецслужбы. Реализуют атаки обычно APT-группировки — группы профессиональных хакеров, финансируемые заинтересованной стороной. Они создают инструменты для преступления сами или покупают их в даркнете.
Последствия атак
- Прямые финансовые убытки
Наиболее вероятны в случае, если злоумышленники получат данные для доступа к банковским счетам и смогут проводить незаконные транзакции. Это наиболее актуально для финансовых организаций. - Ущерб для репутации
Попадание конфиденциальных данных в руки злоумышленников может негативно отразиться на имидже компании, спровоцировать отток клиентов. - Остановка бизнес-процессов
Часто целевые атаки приводят к нарушению стабильности бизнес-процессов. Компании требуется время для проведения расследования и ресурсы на возобновление штатной работы бизнеса. Иногда саботаж является конечной целью: например, этим отличаются целевые атаки в промышленности и ТЭК, где угроза простоя более опасна, чем утечка данных. - Иные убытки
Помимо прямого ущерба, компании сталкиваются с косвенными убытками, вызванными необходимостью выстроить защиту от целенаправленных атак. Приходится усовершенствовать работу существующей системы информационной безопасности, а для этого нужно закупить новое ПО, пересмотреть бизнес-процессы, привлечь новых специалистов по кибербезопасности, повысить осведомленность сотрудников в вопросах социальной инженерии.
Примеры APT-атак
Олимпийские игры в Пхенчхане. В феврале 2018 года организаторы Олимпийских игр сообщили о кибератаке на серверы во время церемонии открытия игр. Из-за хакерской атаки была нарушена работа цифрового интерактивного телевидения в главном пресс-центре. В атаках на сервер использовалось вредоносное программное обеспечение Olympic Destroyer. Некоторые эксперты полагают, что к операции могла быть причастна APT-группировка Fancy Bear.
Бюро Equifax. В мае-июле 2017 года была произведена атака на крупное бюро кредитных историй Equifax, в результате которой произошла утечка персональных данных 143 млн человек. В ходе атаки злоумышленники получили доступ к файлам, содержавшим имена, номера социального страхования и водительских удостоверений. Кроме того, в руки неизвестных попали номера кредитных карт порядка 209 тыс. американцев, а также документы, содержавшие персональную информацию примерно 180 тыс. клиентов бюро.