Открыть сервис

APT

APT (от англ. Advanced Persistent Threat — «продвинутая устойчивая угроза») — это класс целенаправленных, долгосрочных и высокотехнологичных кибератак, осуществляемых хорошо финансируемыми и организованными группами против конкретных целей, таких как государства, крупные корпорации, оборонные предприятия или критическая инфраструктура. В отличие от массовых атак, APT нацелены на скрытое проникновение, закрепление в сети жертвы и длительное извлечение данных без обнаружения.

История и происхождение термина

Термин «APT» возник в середине 2000-х годов в докладах ВВС США. Первоначально он использовался для описания атак, которые не укладывались в рамки обычных хакерских действий: они были слишком сложными, долгими и целенаправленными. Одним из первых задокументированных случаев APT-атаки считается операция «Titan Rain» (2003–2005), направленная на компьютерные сети Министерства обороны США, NASA и других ведомств. Позднее, в 2009 году, была раскрыта атака «GhostNet» на правительственные и дипломатические учреждения десятков стран.

Ключевым этапом в осознании угрозы стала публикация в 2010 году доклада компании Mandiant о группе APT1 (связана с Китаем), которая в течение нескольких лет похищала интеллектуальную собственность у западных компаний. С тех пор термин прочно вошёл в лексикон специалистов по кибербезопасности.

Характеристики APT

APT-атаки отличаются от обычных кибератак по нескольким ключевым параметрам:

Жизненный цикл APT-атаки

Большинство APT-атак следуют общей модели, известной как «киберубийственная цепочка» (Cyber Kill Chain), разработанная компанией Lockheed Martin:

  1. Разведка — сбор информации о цели: адреса электронной почты сотрудников, используемое ПО, сетевые топологии, публичные данные из открытых источников (OSINT).
  2. Вооружение — создание или адаптация вредоносного ПО под конкретные уязвимости цели (например, эксплойты нулевого дня — zero-day).
  3. Доставка — отправка вредоноса жертве через фишинговые письма, заражённые USB-носители, компрометацию доверенных сайтов (watering hole) или через уязвимости в публичных сервисах.
  4. Эксплуатация — активация вредоноса, использование уязвимости для получения первоначального доступа.
  5. Инсталляция — установка бэкдоров, троянов удалённого доступа (RAT) или других средств для закрепления в сети.
  6. Командование и управление (C2) — установление скрытого канала связи с сервером управления злоумышленников.
  7. Достижение цели — перемещение по сети (lateral movement), повышение привилегий, поиск и кража ценных данных, нарушение работы систем.

Классификация APT-групп

Специалисты по кибербезопасности выделяют несколько типов APT-групп в зависимости от их происхождения и мотивации:

Государственные (национальные) группы

Наиболее распространённый тип. Такие группы действуют под контролем или при поддержке государственных разведывательных служб. Их цели — шпионаж, кража государственных секретов, подрыв критической инфраструктуры противника. Примеры:

Криминальные группы

Действуют с целью финансовой выгоды. Могут использовать методы APT для долгосрочного вымогательства (ransomware) или кражи данных для последующей продажи. Пример: группа DarkSide, атаковавшая Colonial Pipeline в 2021 году.

Хактивистские группы

Редко соответствуют полному определению APT из-за меньшей скрытности, но могут использовать продвинутые техники. Пример: группа Anonymous (в некоторых операциях).

Примеры известных APT-атак

Методы защиты от APT

Защита от APT-атак требует комплексного подхода, поскольку традиционные антивирусы и межсетевые экраны часто неэффективны:

Критика и сложности

Концепция APT подвергается критике за размытость границ. Некоторые эксперты отмечают, что термин стал чрезмерно популярным и используется для описания любых сложных атак, даже если они не являются долгосрочными или целенаправленными. Кроме того, атрибуция APT-атак (определение конкретной группы или государства) часто затруднена из-за использования ложных флагов (false flags) и заимствования инструментов другими группами.

В России APT-угрозы рассматриваются как один из приоритетов государственной политики в области информационной безопасности. В 2022 году была принята новая редакция Доктрины информационной безопасности РФ, в которой подчёркивается необходимость противодействия компьютерным атакам на критическую информационную инфраструктуру. Ряд APT-групп, действующих против российских интересов, классифицируются как нежелательные или экстремистские (например, организация Meta Platforms Inc. признана экстремистской и запрещена в РФ).

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →