APT-атака — это длительная, целенаправленная и скрытая кибератака, при которой злоумышленники получают доступ к информационным системам и остаются незамеченными, чтобы собрать конфиденциальные данные или нанести другой ущерб.
Одна лишь мысль об атаке с использованием целого комплекса изощренных технологий для похищения ценной информации компании не дает спокойно спать специалистам по корпоративной кибербезопасности.
Повышенная сложность APT-атак заключается в том, что злоумышленники используют изощренные технологии взлома, действующие незаметно и длительно, чтобы проникнуть в систему и оставаться в ней продолжительное время с разрушительными целями.
На кого нацелены APT-атаки?
Организация APT-атак требует значительных усилий, поэтому они обычно направлены на наиболее значимые объекты, например на крупные корпорации или правительство страны. Главной задачей таких атак является возможность похищать информацию в течение длительного времени, что отличает их от кибератак более низкого уровня, когда «черные» хакеры быстро проникают в систему и так же быстро покидают ее.
APT – это угроза, которую мировой бизнес должен отслеживать непрерывно. Однако это не значит, что малые и средние предприятия могут игнорировать эту угрозу.
Чтобы добраться до главной цели – крупного предприятия, организаторы APT-атак все чаще используют более мелкие компании, которые входят в его цепочку поставок. Хакеры используют эти обычно хуже защищенные компании, как ступеньки лестницы.
Пять этапов развития APT-атаки
Главная цель APT-атаки – обеспечить долговременный доступ к системе жертвы. Хакеры достигают этой цели в пять этапов.
- Первый этап – получение доступа
- Второй этап – закрепление в системе
- Третий этап – продвижение вглубь
- Четвертый этап – распространение вширь
- Пятый этап – наблюдение, изучение и долговременное присутствие
Первый этап – получение доступа
Подобно грабителям, которые используют лом, чтобы вскрыть дверь квартиры, киберпреступники используют зараженный файл, почтовый спам или уязвимость в приложении, чтобы доставить вредоносное ПО в сеть жертвы.
Второй этап – закрепление в системе
Вредоносное ПО позволяет создать сеть бэкдоров и туннелей, по которым киберпреступники могут передвигаться внутри системы без риска быть обнаруженными. Часто такое ПО использует такой метод, как изменение кода, чтобы дать возможность хакерам замести следы.
Третий этап – продвижение вглубь
Оказавшись внутри системы, хакеры используют метод взлома паролей, чтобы получить права администратора. Это дает им больший контроль над системой и возможность получить более высокие права доступа.
Четвертый этап – распространение вширь
Проникнув глубже в систему с помощью прав администратора, хакеры начинают свободно перемещаться внутри нее. Они могут попытаться получить доступ к другим серверам и защищенным частям сети.
Пятый этап – наблюдение, изучение и долговременное присутствие
Находясь внутри системы, хакеры получают полное представление о ее уязвимостях и о том, как она работает. Это позволяет им легко собрать всю нужную информацию.
Злоумышленники могут продолжать этот процесс практически бесконечно, а могут выйти из системы после того, как достигнут поставленной цели. При этом они часто оставляют открытым черный ход в систему, чтобы в будущем снова получить доступ к ней.
APT и человеческий фактор
Поскольку защита отдельных пользователей, как правило, гораздо менее эффективна, чем корпоративная киберзащита, хакеры могут активно вовлекать в свои атаки сотрудников компании, используя их в качестве столь необходимого «лома». Это не значит, что сотрудник компании сознательно принимает участие в атаке. Как правило, организаторы атаки используют широкий набор методов социальной инженерии, таких как уэйлинг или целевой фишинг.
Сохраняющаяся APT-угроза
Главная опасность APT-атак состоит в том, что даже когда они обнаружены и непосредственная угроза, казалось бы, устранена, хакеры могут оставить открытыми многочисленные черные ходы, которые позволят им вернуться в будущем. Вдобавок многие традиционные средства киберзащиты, такие как антивирусы и файерволы, не всегда могут защитить от этого вида атак.
Для постоянной эффективной защиты необходим целый комплекс мер: от установки продвинутых решений по кибербезопасности, таких как Kaspersky Enterprise Security, до обучения персонала и повышения уровня его осведомленности о методах социальной инженерии.
Рекомендуемые продукты:
