Advanced Persistent Threat czyli zaawansowane, trwałe zagrożenie to szczególny przypadek cyberataku. Zazwyczaj opisuje się je jako działania sponsorowane przez państwa lub organizacje o globalnym zasięgu. Ataki służą cyberprzestępcom do uzyskania dostępu do kluczowych zasobów, pozostając niewykrytymi przez ofiary. Ponieważ, wiele niszczycielskich, uporczywych zagrożeń zostało stworzonych dekadę temu, obecne organizacje teoretycznie powinny być w stanie na nie odpowiedzieć. Ze względu na intensywny rozwój technologii i narzędzi, postępy czynione są nie tylko przez producentów rozwiązań security ale i atakujących. Ostatnio analizowaliśmy jak cyberprzestępcy wykorzystują sztuczną inteligencję do swoich celów. Dziś przyjrzymy się najpopularniejszym i najgroźniejszym atakom APT.

advanced persistent thereat
Cykl życia zagrożeń APT, źródło tutaj

Pierwszy opublikowany atak na wojskowe placówki badawcze został wykryty już pod koniec lat 80. Wówczas hakerzy z Niemiec Zachodnich przeniknęli do sieci komputerów w Kalifornii, aby pozyskać informacje związane z programem „Gwiezdne wojny”. Opis tego szczególnego zestawu ataków znajduje się w książce z 1989 roku „The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage” autorstwa Clifforda Stolla, z Lawrence Berkeley National Laboratory. Działalność hakerów wykrył przypadkiem, podczas weryfikowania rozbieżności księgowych na kilku kontach.

Stoll odkrył, że wtargnięcie pochodziło z uniwersytetu w Niemczech Zachodnich poprzez łącze satelitarne. Następnie ustawił pułapkę ze szczegółami fikcyjnego kontraktu Gwiezdnych wojen, umożliwiając władzom Niemiec Zachodnich zlokalizowanie hakera. Był nim student o nazwisku Markus Hess, który sprzedawał skradzione informacje sowieckiemu KGB. Hess został osądzony i uznany za winnego szpiegostwa w 1990 roku i wysłany do więzienia. W konsekwencji incydent ten pomógł podnieść świadomość w środowiskach wywiadu i bezpieczeństwa na temat potencjalnego ataku ofensywnego. Ujawniał też rażące podatności ówczesnych sieci komputerowych. Już wtedy badacze przypuszczali, że kolejne ataki zmaterializują się w nadchodzących latach.

EternalBlue

Wprawdzie EnternalBlue nie jest złośliwym oprogramowaniem w klasycznym znaczeniu tego słowa, jest raczej exploitem, natomiast jest wiązany z atakami APT. Z tego tytułu został zawarty w tym zestawieniu. EternalBlue stworzyło NSA i pojawił się on w kwietniu 2017 r., podczas gdy grupa tajemniczych hakerów znana jako The Shadow Brokers opublikowała kod online. Co ciekawe, pierwszy raz użyto go w kampaniach wydobywających kryptowaluty. Natomiast stał się powszechnie znanym i rozpoznawalnym po tym, jak przyczynił się do trzech wybuchów ransomware w 2017 roku, a mianowicie WannaCry, NetPetya i Bad Rabbit.

Od tego czasu EternalBlue nadal egzystuje w cyberprzestrzeni. Przykładowo jako mechanizm rozprzestrzeniania się zagrożenia na inne systemy w zaatakowanych sieciach, wykorzystując podatności systemu Windows.

WannaCry

Wirus WannaCry zapoczątkowao trzy wybuchy ransomware w 2017 r. Były one odmianami oprogramowania szyfrującego, stworzonymi przez sponsorowanych hakerów. Pierwszy z nich, WannaCry, został opracowany przez hakerów z Korei Północnej, wyłącznie w celu infekowania ofiar i zbierania okupów za reżim w Pjongjangu, który w tym czasie podlegał surowym sankcjom ekonomicznym. Aby złagodzić wpływ tych sankcji, wykorzystano cyberprzestępców do rabowania banków, wydobywania kryptowaluty lub przeprowadzania operacji ransomware w celu gromadzenia funduszy.

Jednak błędy w kodzie WannaCry spowodowały, że zamiast działać tylko w sieciach lokalnych, samoreplikujący się, wewnętrzny komponent wydostał się na zewnątrz. Robak szybko rozprzestrzenił się, w efekcie powodując globalną epidemię. Według MalwareTech 100 000 grup w co najmniej 150 krajach i ponad 400 000 maszyn zostało zainfekowanych tym wirusem. To statystyki za 2017 r., natomiast całkowity koszt tego ataku wyniósł około 4 mld USD.

NotPetya

Dwa miesiące po WannaCry na świecie wybuchła druga epidemia oprogramowania ransomware. Oprogramowanie ransomware, nazywane NotPetya, zostało zakodowane przez rosyjską grupę Fancy Bear (APT28) i początkowo zostało wdrożone tylko na Ukrainie.

Jednak z powodu wspólnych sieci i korporacyjnych sieci VPN oprogramowanie ransomware rozprzestrzeniało się na całym świecie, podobnie jak WannaCry, powodując miliardy szkód. Podobnie jak WannaCry, NotPetya wykorzystał exploit EternalBlue jako centralny element swojego robaka. Zagrożenie to dotarło do Polski i wśród naszych organizacji wyrządziło prawdopodobnie więcej szkód niż WannaCry. Swego czasu Kaspersky Lab informował, że jesteśmy na trzecim miejscu pod względem strat. Bardziej ucierpiały tylko Rosja i Ukraina.

Bad Rabbit

Ostatni globalny wybuch ransomware w 2017 r. Był również dziełem hakerów z Rosji, którzy wdrożyli go na Ukrainie. Podobnie jak w poprzednich przypadkach, oprogramowanie ransomware rozprzestrzeniło się na cały świat, choć miało mniejszy wpływ w porównaniu do WannaCry i NotPetya. Bad Rabbit zaraził m.in. agencję prasową Interfaks oraz lotnisko w Odessie. W przeciwieństwie do NotPetya, nie używał EternalBlue jako głównego mechanizmu rozprzestrzeniania, a także zawierał wiele odniesień do Game of Thrones.

Stuxnet

To tak znany przykład Advanced Persistent Threat, że doczekał się nawet filmu na swój temat. W roku 2000 Stuxnet opracowały wspólnie amerykańskie NSA i izraelska jednostka 8200. Został on wdrożony w 2010 roku w Iranie, w ramach wspólnego wysiłku obu krajów w celu sabotażu irańskiego programu nuklearnego.

Stuxnet został specjalnie przygotowany do ataku na docelowe, przemysłowe systemy sterowania. Jego rolą była modyfikacja ustawień wirówek wykorzystywanych do operacji wzbogacania jądrowego poprzez zwiększanie i zmniejszanie prędkości wirników. W efekcie wzbudzało to wibracje niszczące maszyny. Stuxnet odniósł sukces, infekując ponad 200 000 komputerów. Co więcej, w samym obiekcie jądrowym Natanz ostatecznie zniszczył prawie 1000 wirówek.

Warto wspomnieć, że do swego działania Stuxnet wykorzystywał co najmniej kilka wówczas nie załatanych podatności. Część z nich była powiązana z wbudowanym oprogramowaniem komponentów zwanym firmware. O tym jak ważne jest bezpieczeństwo firmware pisaliśmy wcześniej tutaj.

Duqu

Pierwsza wersja Duqu została odkryta przez węgierskich badaczy bezpieczeństwa w 2011 roku. Została wdrożona, aby wspomóc ataki Stuxnet. Wariant Duqu 2.0 ujawniono w 2015 roku i przyczynił się on do naruszenia bezpieczeństwa sieci Kaspersky Lab. Duqu 2.0 znaleziono również na komputerach w hotelach w Austrii i Szwajcarii, gdzie miały miejsce międzynarodowe negocjacje między USA / UE a Iranem, dotyczące programu nuklearnego i sankcji ekonomicznych.

W przeciwieństwie do Stuxnet, Duqu jest przeznaczony do gromadzenia informacji, a nie powodowania szkód. W szczególności przechwytuje dane jak naciśnięcia klawiszy i informacje systemowe. Celem tej agregacji jest najprawdopodobniej umożliwienie przyszłego ataku APT na przemysłowe systemy sterowania. Badacze z Kaspersky Lab zauważyli, że w przeciwieństwie do wielu innych szkodliwych programów, kod dzieli podobieństwa z profesjonalnie produkowanym oprogramowaniem komercyjnym. Sugeruje to, że został on opracowany przez profesjonalistów oprogramowania, a nie hakerów komputerowych. Analiza Duqu wykazała również, że szkodliwe oprogramowanie zbudowano na wcześniejszej platformie o nazwie Tilded (ze względu na ~ d na początku tworzonych nazw plików), która powstała już w 2007 roku.

Regin

Uważany jest za najbardziej zaawansowaną rodzinę Advanced Persistent Threat, jaką kiedykolwiek stworzono w ramach “narodowych” działań. Regin opracowało NSA i udostępniło niektórym partnerom Five Eyes (przede wszystkim GCHQ). Jego istnienie ujawniono publicznie w 2014 roku, ale najwcześniejsze próbki pochodzą z 2011 roku. Istnieją podejrzenia, że szkodliwe oprogramowanie zostało utworzone już w 2003 roku.

Znane przypadki wykorzystania Regin obejmują belgijski telco Belgacom (przeciwko rządowi niemieckiemu), a najnowszy przypadek to rosyjski gigant wyszukiwania Yandex. Na poziomie technicznym analitycy bezpieczeństwa postrzegają Regina jako najbardziej zaawansowaną do tej pory platformę szkodliwego oprogramowania. A to ze względu na moduły, zawierające dziesiątki funkcji, z których większość zaprojektowano w oparciu o operacje nadzoru. Co więcej, część z nich do dziś pozostaje niewykryta na zainfekowanych hostach.

Flame

Kiedy odkryto go w 2012 roku, Flame był tak zaawansowany, że aby opisać jego strukturę, użyto terminu „zestaw narzędzi do ataku”. Przypomina on nieco Advanced Persistent Threat Regin, ponieważ podobnie jak poprzednik zawiera zbiór modułów. Działają one na bazie frameworka Flame i wdraża się je w oparciu o natywne narzędzia. Flame odkryto w 2012 r. przez MAHER Center of Iranian National CERT w atakach na agencje rządowe tego kraju. Odkrycie nastąpiło dwa lata po atakach Stuxnet. Następnie zostało szybko powiązane z Equation Group, kryptonimem amerykańskiej NSA. Powieliło się to później w atakach na inne władze Bliskiego Wschodu.

Shamoon

Shamoon opracowali hakerzy z Iranu. Po raz pierwszy został wdrożony w 2012 r., w sieci największego producenta ropy w Arabii Saudyjskiej. Złośliwe oprogramowanie zniszczyło ponad 30 000 komputerów podczas ataku w 2012 roku. Po raz kolejny użyto go w ataku w 2016 r., przeciwko temu samemu celowi. Z kolei ostatnio wykorzystano go przeciwko włoskiemu dostawcy ropy i gazu Saipem, rzekomo niszcząc 10% floty komputerów firmy.

Shamoon wyłącza komputery, zastępując kluczowy plik zwany głównym rekordem rozruchowym, uniemożliwiając uruchomienie urządzeń. Były sekretarz obrony USA Leon Panetta powiedział, że atak Shamoon z 2012 roku przeciwko Saudi Aramco był prawdopodobnie najbardziej destrukcyjnym cyberatakiem do tej pory w prywatnym biznesie.

Industroyer

Złośliwe oprogramowanie Industroyer, znane również jako Crashoverride, to framework szkodliwego oprogramowania opracowany przez rosyjskich hakerów państwowych. Pojawił się w grudniu 2016 r. podczas cyberataków na ukraińską sieć energetyczną. Atak zakończył się sukcesem i na godzinę odciął dostęp energii elektrycznej do części Kijowa.

Szkodliwe oprogramowanie uważa się za ewolucję wcześniejszych odmian, takich jak Havex i BlackEnergy. Obie były również wykorzystywane w atakach na ukraińską sieć energetyczną. Jednak bardziej przypominały ogólne złośliwe oprogramowanie, wdrażane na systemach zarządzających systemami przemysłowymi. W odróżnieniu od nich, Industroyer zawierał komponenty zaprojektowane specjalnie do współpracy z urządzeniami sieci energetycznej Siemens.

Warto pamiętać, że mimo iż Industroyer nie zagroził naszym rodzimym organizacjom, to w Polsce znaleziono ślad oprogramowania BlackEnergy.

Triton

Nowszym dodatkiem do tej listy jest Triton, który występuje też pod nazwą Trisis. Uważa się, że to złośliwe oprogramowanie zostało opracowane przez rosyjskie laboratorium badawcze. Zaprojektowano go specjalnie do współpracy ze sterownikami Schneider Electric Triconex Safety Instrumented System (SIS) i wdrożony w 2017 roku . Według raportów technicznych, zadaniem tego malware było nagłe zamknięcie procesu produkcyjnego lub zezwolenie na pracę maszyn w niebezpiecznym stanie. Kod złośliwego oprogramowania wyciekł, a ostatecznie opublikowano go na GitHub.

O Tritonie pisaliśmy omawiając podatności przemysłowych systemów sterowania, ale nie tylko. Najnowszym dzieckiem twórców tego malware jest Xenotime, o którym również pisaliśmy.

Gozi

Na zakończenie przypomnijmy zagrożenie Advanced Persistent Threat, które w naszym kraju odegrało znaczącą rolę. Mowa o Gozi, czyli wirusie bankowym odkrytym w 2007 roku. Zainfekował on ponad milion komputerów w Stanach Zjednoczonych, Wielkiej Brytanii, Niemczech, Polsce, Francji, Finlandii, Włoszech, Turcji i innych krajach. Ataki dotknęły również systemy w NASA. Skutki jego działalności spowodowały dziesiątki miliony dolarów straty. Autorstwo tego wirusa przypisuje się Rosjanom, a konkretnie Nikicie Kuzmin.

Początkowo zaprojektowany w celu przechwytywania i przesyłania osobistych informacji bankowych, w późniejszych wersjach zawierał możliwość przechwytywania ruchu przeglądarki i modyfikowania komunikacji internetowej. Rozpowszechniano go wśród ofiar za pomocą różnych metod, najczęściej zamaskowanych, na przykład jako “łagodny” dokument PDF. Mimo aresztowania głównego odpowiedzialnego w USA w listopadzie 2010 r., banki nadal doświadczają ataków ze strony nowych wariantów Gozi. Przykładowo, wersja z początku 2013 r., infekuje Master Boot Record czyli główny rekord rozruchowy dysku twardego. W skutek tego, konsekwencji ataku nie da się łatwo zniwelować nawet przez ponowne sformatowanie i ponowną instalację systemu operacyjnego.

Dalszy kierunek Advanced Persistent Threat

W żadnym zestawieniu nie sposób jest ująć wszystkie typy i rodzaje zagrożeń. Te, które zostały wymienione stanowią grupę najpopularniejszych i najbardziej niebezpiecznych. Większość z nich ma wiele wspólnych cech takich jak:

  • opracowanie przez hakerów “narodowych” czyli na zlecenie państwa
  • pojawienie się “na rynku” w odpowiednim momencie – np. podczas konfliktów ekonomicznych lub zbrojnych
  • cel stanowi paraliż instytucji o kluczowym znaczeniu dla państw – najczęściej powiązanych z przemysłem energetycznym i paliwowym
  • atak przebiegający etapowo i możliwie jak “najciszej”, co sprawia, że jest niewykrywalny na wczesnym etapie
  • wyrafinowane techniki, przemyślana droga infekcji i doskonałe rozeznanie w słabych punktach ofiary

Gdybyśmy chcieli się zastanowić nad dalszym kierunkiem rozwoju tych zagrożeń, to musielibyśmy uzmysłowić sobie jak w ogóle rozwija się technologia. Na łamach SECURMESS wielokrotnie podkreślamy, że działania atakujących i obrońców w cyberprzestrzeni następują równolegle. Jeśli pojawia się jakaś technologia, odkryty zostaje dany patent, to zwykle nie trzeba długo czekać, aż trafi w niepowołane ręce. Na przykład ostatnio pisaliśmy o tym, jak cyberprzestępcy wykorzystują sztuczną inteligencję do swoich celów. Powinniśmy się zatem spodziewać, że pojawiające się zagrożenia Advanced Persistent Threat będą dopasowane do realiów Industry 4.0. W związku z tym na polu działań twórców zagrożeń można założyć:

  • rozwój zagrożeń związanych z inteligentnymi urządzeniami,
  • przeniesienie ataków sprawdzonych w Internet of Things na poziom Industral Internet of Things,
  • intensyfikację prac nad wykorzystaniem AI w cyberatakach ze względu na wchodzący w 2020 roku standard łączności 5G,
  • tworzenie złośliwego oprogramowania na WSZYSTKIE systemy operacyjne, nie tylko Android i Windows, które stanowią obecnie większość ofiar,
  • modyfikację znanych ataków APT na przemysłowe sieci w celu uzyskania konkretnych korzyści.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *