Współczesny świat cyfrowy staje się polem bitwy, na którym niektóre państwa wykorzystują zorganizowane grupy cyberprzestępców do osiągania swoich strategicznych celów. Te grupy mogą atakować kluczową infrastrukturę, szerzyć dezinformację, a także kraść poufne dane. Główną techniką, którą stosują, jest APT (Advanced Persistent Threat). Wśród państw, które stosują taką praktykę, nie brakuje Rosji, Iranu czy Korei Północnej.
Czym jest APT i dlaczego jest tak groźne?
APT (Advanced Persistent Threat) to kompleksowe i długoterminowe operacje cyberprzestępcze. Ich celem jest uzyskanie i utrzymanie nieautoryzowanego dostępu do systemów informatycznych przez dłuższy czas. W przeciwieństwie do podstawowych cyberataków, które skupiają się na szybkim wejściu i wyjściu z sieci, w przypadku APT atakujący realizują swoje cele przez długi czas lub czekają na odpowiedni moment w systemie. Ataki APT wykorzystują niezwykle skomplikowane taktyki i często angażują wiele innych podmiotów, co pozwala im na stopniowe wnikanie do firm.
Robert Dąbrowski, szef zespołu inżynierów Fortinet w Polsce, podkreśla, że:
Grupy cyberprzestępców wspierane przez rządy dysponują znacznymi zasobami finansowymi i technicznymi. Umożliwia im to rekrutację wykwalifikowanych specjalistów oraz prowadzenie długoterminowych i złożonych działań, co znacznie zwiększa trudność ich neutralizowania.
Jak cyberprzestępcy przeprowadzają ataki APT?
W pierwszym etapie cyberprzestępcy muszą uzyskać dostęp do sieci, najczęściej wykorzystując zainfekowane pliki lub słabe punkty w systemie, takie jak niewystarczająco zabezpieczona poczta elektroniczna. Po wykorzystaniu luki instalują złośliwe oprogramowanie, które pozwala im na niezauważalne poruszanie się po sieci. Takie oprogramowanie służy do rozszerzania dostępu i łamania haseł w celu zdobycia uprawnień administratora. Gdy atakujący uzyskają dostęp do innych serwerów i urządzeń, dokładnie badają system i zbierają kluczowe informacje. Na koniec decydują, czy opuszczą system, czy pozostaną w nim na dłużej.
Znane grupy APT i ich działania
Analitycy z zespołu FortiGuard Labs firmy Fortinet aktywnie śledzą działania grup cyberprzestępczych wspieranych przez rządy i stworzyli listę takich grup, która jest na bieżąco aktualizowana. Wśród najniebezpieczniejszych możemy wymienić:
Turla (Rosja): Działa od 2004 roku i jest jedną z najbardziej znanych grup przestępczych. Przejęli internetowy sygnał satelitarny do sterowania złośliwym oprogramowaniem, przeprowadzili kampanię wymierzoną w europejskie ministerstwa spraw zagranicznych w 2015 roku, a także atakowali infrastrukturę ukraińskiej armii podczas wojny w Ukrainie. Od 2022 roku wykorzystywali botnet Amadey do ataków na sprzęt ukraińskiej armii.
SweetSpecter (Chiny): Grupa powiązana z Chińską Republiką Ludową. W październiku 2024 roku próbowali wyłudzić informacje od pracowników OpenAI i wykorzystywali ChatGPT do badania luk w zabezpieczeniach w celu szpiegostwa korporacyjnego.
MuddyWater (Iran): Działa na Bliskim Wschodzie, atakując zarówno podmioty z sektora publicznego, jak i prywatnego, np. z branży energetycznej czy telekomunikacyjnej. Najchętniej stosują spear phishing i wykorzystują luki w zabezpieczeniach, aby uzyskać dostęp do sieci.
Lazarus (Korea Północna): Znana również jako Hidden Cobra. Odpowiada za destrukcyjne operacje cyfrowe, kradzieże finansowe i kampanie szpiegowskie wymierzone w wiele branż na całym świecie. Przykładem są ataki na giełdy kryptowalut i instytucje finansowe, które doprowadziły do kradzieży setek milionów dolarów.
Jak się chronić przed atakami APT?
Robert Dąbrowski z Fortinetu podkreśla, że obrona sieci przed atakami APT to spore wyzwanie, które wymaga wieloaspektowego podejścia. Kluczowe jest dokładne monitorowanie całego ruchu w sieci – przychodzącego i wychodzącego – co może pomóc w zablokowaniu złośliwego oprogramowania. Warto również stworzyć białą listę w pełni zaufanych i sprawdzonych stron oraz aplikacji. Wprowadzenie uwierzytelniania wieloskładnikowego (MFA) może ograniczyć liczbę potencjalnych napastników. W celu zwiększenia zdolności organizacji do reagowania na incydenty, powinno się inwestować w zabezpieczenia klasy EDR/XDR, które mogą powstrzymać rozprzestrzenianie się ataku.
