Predstava sofistikovaného kybernetického útoku, na ktorom sa podieľajú profesionálni hackeri napojení na zahraničnú vládu, je strašiakom pre mnohé štátne inštitúcie ale aj firmy. Zaujímavým terčom pre útočníkov z radov APT skupín je aj Slovensko či spoločnosti, ktoré sú súčasťou dodávateľského reťazca. Pri nedostatočnej ochrane ani dokonca nemusíte vedieť, že sa vaša organizácia stala obeťou. 8. miesto v rebríčku 10 najväčších hrozieb patrí pokročilým hrozbám.
V článku sa dozviete:
- Aké štáty podporujú profesionálnych hackerov,
- prečo je atraktívnym cieľom aj Slovensko,
- v čom spočíva sofistikovanosť APT skupín
- a ako sa brániť proti pokročilým útokom.
Čo sú to pokročilé pretrvávajúce hrozby?
Názov Advanced Persistent Threat (APT), respektíve pokročilé pretrvávajúce hrozby, označuje skupiny útočníkov, ktoré sú technicky mimoriadne zdatné a schopné využívať sofistikované, často unikátne postupy na dosiahnutie svojich cieľov. Najčastejšie sa zameriavajú na vybrané štátne inštitúcie, firmy, ale aj vysokopostavených jednotlivcov. Cieľom týchto útočníkov je dlhodobo a nepozorovane zbierať citlivé informácie, špehovať či sabotovať ich činnosť.
„Kybernetické operácie zameriavajúce sa na „veľké ryby“ sú mimoriadne náročné z finančného aj organizačného hľadiska. Vyžadujú si totiž vysokú úroveň technických znalostí a často aj kreativity, prebiehajú v dlhých časových rámcoch a na ich vykonanie hackeri často potrebujú špecifický softvér alebo hardvér,“
Ondrej Kubovič, špecialista na digitálnu bezpečnosť, ESET
Niet preto divu, že takéto zázemie dokážu APT skupinám poskytnúť najmä štátne organizácie, ako sú napríklad tajné služby či armáda. APT skupiny môžu byť zložené z niekoľkých vysoko špecializovaných jednotlivcov, ale aj zo stoviek členov s úzko zameranými jednotkami, čo je príklad severokórejskej skupiny Lazarus. A aj keď skratka APT predpokladá pokročilých útočníkov a vyspelé postupy, existujú príklady cielených a vytrvalých útokov, ktoré sa zaraďujú do tejto kategórie, no ich techniky nie sú vôbec také sofistikované.
Štátom riadená sabotáž či špionáž
V hľadáčiku APT skupín sú najmä ciele, ktoré môžu priniesť konkrétnej vláde kľúčové informácie zaručujúce technickú či informačnú prevahu nad inými štátmi či materiály vhodné na diskreditáciu oponentov. APT skupiny môžu byť tiež nasadené v rámci konfliktu na vykonanie kybersabotáže, ukážkou čoho boli opakované útoky na elektrickú sieť na Ukrajine.
Výskumníci spoločnosti ESET sledujú aktivitu APT skupín, ktorú podrobne mapujú vo svojom APT Acitivity Reporte. Kybernetické útoky detegujú najmä od skupín, ktoré sú napojené na Rusko, Čínu, Irán a KĽDR. Zo správy vyplýva, že APT skupiny napojené na Rusko ako napríklad Sandworm, Gamaredon či InvisiMole sú aktívne zapojené aj do konfliktu na Ukrajine.
Rozšíreným fenoménom je aj štátom podporovaná kyberšpionáž zameraná na technológie a unikátne know-how. Získané informácie môžu mať rozhodujúci vplyv na ekonomický rozvoj a geopolitické postavenie krajiny, prípadne môžu viesť k vývoju zbraní, alebo iných oblastí. V tejto súvislosti sa skloňujú najmä operácie APT skupín napojených na Čínu, ktoré kradnú know-how najmä americkým organizáciám.
Kybernetické spôsobilosti má však vo svojom arzenáli takmer každý štát, vrátane tých západných. Jedným z prvých verejne opísaných pokročilých útočných nástrojov bol napríklad Stuxnet. Tento škodlivý počítačový červ spôsobil rozsiahle škody iránskemu jadrovému programu a rozšíril sa aj ďalej do sveta, pričom podľa bezpečnostných expertov ho mali mať na svedomí APT skupiny zo Spojených štátov a Izraela.
Pokročilé hrozby číhajú aj na Slovensko
Hrozba útoku zo strany APT skupín je reálna aj pre Slovensko, čo dokazuje aj výskum spoločnosti ESET. V roku 2019 výskumníci spoločnosti ESET odhalili malvérovú rodinu Okrum z dielne skupiny Ke3chang, ktorá cielila na diplomatické misie, okrem iného aj na Slovensku.
Slovensko je zároveň atraktívnym cieľom pre APT skupiny napojené na zahraničné vlády aj pre jeho členstvo v euroatlantických štruktúrach. Má totiž prístup k rôznym citlivým informáciám a takisto aj vplyv na to, ako sa budú veci v NATO a EÚ vyvíjať. Zvýšené riziko kybernetických operácií nám hrozí aj v súvislosti s vojnou na Ukrajine, keďže Rusko zaradilo Slovensko na zoznam nepriateľských krajín.
Vládne inštitúcie sú zaujímavým cieľom, lebo disponujú obrovskými databázami citlivých informácií nielen o svojich občanoch, ale aj o zamestnancoch či vysokopostavených činiteľoch štátu, akými sú členovia vlády, diplomatický zbor či armáda. Útočníci podporovaní zahraničnými vládami môžu v prípade úspešného útoku postúpiť tieto informácie vlastným tajným službám.
Doposiaľ uverejnené články z rebríčka 10 najväčších hrozieb
8. Pokročilé hrozby
9. Nedostatok bezpečnostných špecialistov
10. Hrozby zvnútra firmy
Finančne motivované útoky
Okrem APT skupín zameraných na dosahovanie geopolitických záujmov existujú aj také, ktoré sa zameriavajú primárne na finančné obohatenie sa. Niektoré skupiny napojené na KĽDR sa napríklad snažia kradnúť kryptomeny, prípadne napádať bankové systémy a získavať veľké obnosy peňazí, ktoré následne slúžia na financovanie režimu.
Pokročilé pretrvávajúce hrozby však nemusia byť financované iba štátmi. Existujú aj skupiny, ktoré pochádzajú z komerčného prostredia. Príkladom sú izraelské spoločnosti NSO so sledovacím softvérom Pegasus a Candiru so softvérom Sherlock, ale aj útočnými službami, taliansky Hacking Team či severomacedónsky Cytrox.
„Takéto spoločnosti poskytujú za milióny dolárov svoj spyvér alebo útočné služby na základe kontraktu bezpečnostným zložkám štátu, oficiálne na boj so zločincami a terorizmom. V mnohých prípadoch sa však ukázalo, že si ich softvér a služby kupujú autoritárske režimy, ale aj demokratické štáty napríklad v Európskej únii, na sledovanie a útoky voči opozícii, novinárom, disidentom či aktivistom,“ vysvetľuje Ondrej Kubovič.
Znepokojivým trendom je možnosť objednania si ofenzívnych služieb na darkwebe. Takýmto spôsobom sa môže k pokročilým útočným nástrojom dostať hocikto, vrátane firiem, ktoré ich môžu použiť v rámci konkurenčného boja. Objednávateľ sa však v takom prípade vystavuje veľkému reputačnému riziku v prípade, že by takáto nekalá praktika vyplávala na povrch.
Útočníci sa nemusia zamerať iba na spoločnosti, na ktoré si robia objednávatelia útoku zálusk. Zaujímavejším cieľom sú častokrát firmy, ktoré sú súčasťou dodávateľského reťazca. Dôvodom je najmä predpoklad, že majú menej financií a ľudských zdrojov na kybernetickú bezpečnosť a tým pádom aj nižšiu úroveň zabezpečenia svojich systémov. Pri úspešnom prieniku sa tak útočníci dostanú k informáciám, ktoré by boli pre nich v databáze koncovej veľkej firmy alebo ministerstva prakticky nedostupné.
Ako prebieha pokročilý útok?
Veľká časť útokov APT skupín začína pomerne jednoducho – phishingom. Môže ísť o mail, správu v chate alebo na sociálnej sieti, ktorá zmanipuluje obeť, aby odovzdala svoje prístupové údaje či iné citlivé informácie. V prípadoch, že je za útokom APT skupina, však môže byť takáto forma sociálneho inžinierstva veľmi cielená. Hackeri majú totiž dostatok času na získanie informácií o svojej obeti. Z verejne dostupných informácií zverejnených napríklad na sociálnych sieťach môžu ušiť sociálne inžinierstvo na mieru danému cieľu. Ak ide o zamestnanca firmy, môžu sa útočníci napríklad vydávať za jeho nadriadeného.
APT skupiny sa vyznačujú okrem cieleného sociálneho inžinierstva aj pokročilými technickými zručnosťami. V niektorých prípadoch môže byť sofistikovaný aj samotný prienik do siete, najmä ak útočníci objavia neznámu zero-day zraniteľnosť, ktorú môžu zneužiť na získanie plného prístupu a kontroly nad zariadením obete. Napríklad spomínaný špionážny softvér Pegasus od spoločnosti NSO dokázal bez akejkoľvek interakcie obete získať plný prístup do jej iPhonu.
10. miesto v rebríčku patrí Hrozbám zvnútra firmy
Firmy investujú nemalé prostriedky do najmodernejších bezpečnostných riešení, ktoré ich chránia aj pred tými najpokročilejšími hrozbami. Často si však neuvedomujú, že nebezpečenstvo môže číhať aj z vlastných radov.
V mnohých prípadoch ale sofistikovaná časť útoku nastupuje až po úspešnom prieniku do siete. Jedným z hlavných cieľov APT skupín je totiž zostať v sieti čo najdlhšie a bez odhalenia, aby mohli čo najdlhšie kradnúť citlivé dokumenty. Útočníci na to využívajú často novovytvorené nástroje určené napríklad na získanie dlhodobého prístupu (backdoory) a nepozorované šírenie v sieti (červy).
Mnohé z týchto technických postupov sú úplne nové a nikto ich predtým nezaznamenal. Môže preto trvať aj roky, kým obeť príde na to, že sa stala terčom takéhoto pokročilého útoku. Šírku a komplexnosť arzenálu APT skupín ukazuje databáza hrozieb ATT&CK Matrix, do ktorej prispieva celá bezpečnostná komunita vrátane výskumníkov ESET-u a pravidelne sa rozrastá o nové položky.
Ako sa brániť proti pokročilým hrozbám?
Keďže ide o pretrvávajúce, prepracované a často unikátne typy útokov, obrana pred nimi je náročná. V prvom kroku je nevyhnutné, aby firmy a organizácie dbali na dodržiavanie základných bezpečnostných pravidiel zamestnancami a poskytovali im pravidelné školenia o nástrahách sociálneho inžinierstva a ostatných digitálnych hrozbách.
Dôležité sú aj aktualizácie všetkých využívaných systémov a softvéru, ale aj dlhodobá údržba a zabezpečenie interne vyvíjaných proprietárnych riešení. Na úspešné odhalenie aktivity APT skupiny je tiež potrebné technicky zdatné IT a bezpečnostné oddelenie alebo kvalitný externý dodávateľ bezpečnostných služieb.
Sofistikovanosti hrozieb je však potrebné prispôsobiť aj bezpečnostné riešenie. Na odvrátenie pokročilých hrozieb je nevyhnutné viacvrstvové zabezpečenie, ktoré okrem základného antivírusu zahŕňa aj pokročilejší nástroj rozšírenej detekcie a reakcie XDR. Táto technológia výrazne zvyšuje prehľad o dianí v systéme a dokáže odhaliť aj anomálie či podozrivé správanie, ktoré by inak nevzbudilo žiadnu pozornosť.
Ochranu pred novovzniknutými hrozbami poskytne cloudový sandbox, ktorý podozrivé vzorky odošle mimo IT systému vašej firmy a podrobí ich hĺbkovej analýze. Nápomocné sú aj špecializované threat intelligence reporty, ktoré obrancom poskytujú najnovšie informácie o útokoch a technikách APT skupín, vďaka čomu ich dokážu detegovať a zabrániť ich ďalšej škodlivej činnosti.
Nemáte špecialistov na obsluhovanie XDR?
Naši experti sa postarajú o všetko – inštaláciu, konfiguráciu, proaktívne vyhľadávanie hrozieb aj správu špičkového bezpečnostného riešenia XDR.