APT
APT (от англ. Advanced Persistent Threat — «продвинутая устойчивая угроза») — это класс целенаправленных, долгосрочных и высокотехнологичных кибератак, осуществляемых хорошо финансируемыми и организованными группами против конкретных целей, таких как государства, крупные корпорации, оборонные предприятия или критическая инфраструктура. В отличие от массовых атак, APT нацелены на скрытое проникновение, закрепление в сети жертвы и длительное извлечение данных без обнаружения.
История и происхождение термина
Термин «APT» возник в середине 2000-х годов в докладах ВВС США. Первоначально он использовался для описания атак, которые не укладывались в рамки обычных хакерских действий: они были слишком сложными, долгими и целенаправленными. Одним из первых задокументированных случаев APT-атаки считается операция «Titan Rain» (2003–2005), направленная на компьютерные сети Министерства обороны США, NASA и других ведомств. Позднее, в 2009 году, была раскрыта атака «GhostNet» на правительственные и дипломатические учреждения десятков стран.
Ключевым этапом в осознании угрозы стала публикация в 2010 году доклада компании Mandiant о группе APT1 (связана с Китаем), которая в течение нескольких лет похищала интеллектуальную собственность у западных компаний. С тех пор термин прочно вошёл в лексикон специалистов по кибербезопасности.
Характеристики APT
APT-атаки отличаются от обычных кибератак по нескольким ключевым параметрам:
- Целенаправленность: атака планируется под конкретную жертву (государство, отрасль, компанию). Злоумышленники заранее изучают инфраструктуру, персонал и уязвимости цели.
- Долговременность: атака может длиться от нескольких месяцев до нескольких лет. Злоумышленники не спешат, чтобы не привлекать внимания.
- Скрытность: используются методы обхода систем обнаружения вторжений (IDS), шифрование трафика, маскировка под легитимные процессы и «спящие» агенты.
- Высокий ресурс: APT-группы обычно имеют доступ к значительным финансовым и техническим ресурсам, включая собственные центры разработки вредоносного ПО.
- Многоэтапность: атака проходит несколько стадий — от разведки до эксфильтрации данных.
Жизненный цикл APT-атаки
Большинство APT-атак следуют общей модели, известной как «киберубийственная цепочка» (Cyber Kill Chain), разработанная компанией Lockheed Martin:
- Разведка — сбор информации о цели: адреса электронной почты сотрудников, используемое ПО, сетевые топологии, публичные данные из открытых источников (OSINT).
- Вооружение — создание или адаптация вредоносного ПО под конкретные уязвимости цели (например, эксплойты нулевого дня — zero-day).
- Доставка — отправка вредоноса жертве через фишинговые письма, заражённые USB-носители, компрометацию доверенных сайтов (watering hole) или через уязвимости в публичных сервисах.
- Эксплуатация — активация вредоноса, использование уязвимости для получения первоначального доступа.
- Инсталляция — установка бэкдоров, троянов удалённого доступа (RAT) или других средств для закрепления в сети.
- Командование и управление (C2) — установление скрытого канала связи с сервером управления злоумышленников.
- Достижение цели — перемещение по сети (lateral movement), повышение привилегий, поиск и кража ценных данных, нарушение работы систем.
Классификация APT-групп
Специалисты по кибербезопасности выделяют несколько типов APT-групп в зависимости от их происхождения и мотивации:
Государственные (национальные) группы
Наиболее распространённый тип. Такие группы действуют под контролем или при поддержке государственных разведывательных служб. Их цели — шпионаж, кража государственных секретов, подрыв критической инфраструктуры противника. Примеры:
- APT1 (связана с Китаем) — кража интеллектуальной собственности.
- APT28 / Fancy Bear (связана с Россией) — атаки на правительственные и военные структуры, вмешательство в выборы.
- APT33 / Elfin (связана с Ираном) — атаки на авиакосмическую и энергетическую отрасли.
- Lazarus Group (связана с Северной Кореей) — кибершпионаж и финансовые хищения (включая атаку на банк Бангладеш в 2016 году).
Криминальные группы
Действуют с целью финансовой выгоды. Могут использовать методы APT для долгосрочного вымогательства (ransomware) или кражи данных для последующей продажи. Пример: группа DarkSide, атаковавшая Colonial Pipeline в 2021 году.
Хактивистские группы
Редко соответствуют полному определению APT из-за меньшей скрытности, но могут использовать продвинутые техники. Пример: группа Anonymous (в некоторых операциях).
Примеры известных APT-атак
- Stuxnet (2010) — сложная кибератака на иранские центрифуги по обогащению урана. Считается одной из первых APT-атак, нацеленных на промышленные системы управления (SCADA). Предположительно разработана США и Израилем.
- Operation Aurora (2009) — атака на Google и другие западные компании, направленная на кражу исходных кодов и данных пользователей. Связана с группой APT1.
- SolarWinds (2020) — компрометация цепочки поставок через вредоносное обновление ПО SolarWinds Orion. Затронула тысячи организаций, включая правительственные агентства США. Приписывается группе APT29 (связана с Россией).
- NotPetya (2017) — атака, замаскированная под вымогательское ПО, но фактически нацеленная на уничтожение данных в украинских компаниях и инфраструктуре. Связана с группой APT28.
Методы защиты от APT
Защита от APT-атак требует комплексного подхода, поскольку традиционные антивирусы и межсетевые экраны часто неэффективны:
- Многоуровневая защита (Defense in Depth): комбинация сетевых экранов, систем обнаружения вторжений (IDS/IPS), антивирусов и песочниц.
- Мониторинг и анализ поведения: использование SIEM-систем (Security Information and Event Management) для выявления аномалий в сетевом трафике и действиях пользователей.
- Управление уязвимостями: регулярное сканирование и своевременное обновление ПО, включая исправление zero-day-уязвимостей.
- Принцип минимальных привилегий: ограничение прав доступа пользователей и процессов только необходимыми для работы.
- Обучение персонала: повышение осведомлённости о фишинге и социальной инженерии.
- Сегментация сети: разделение сети на изолированные сегменты, чтобы ограничить перемещение злоумышленников.
- Резервное копирование: регулярное создание офлайн-копий критических данных для восстановления после атак.
Критика и сложности
Концепция APT подвергается критике за размытость границ. Некоторые эксперты отмечают, что термин стал чрезмерно популярным и используется для описания любых сложных атак, даже если они не являются долгосрочными или целенаправленными. Кроме того, атрибуция APT-атак (определение конкретной группы или государства) часто затруднена из-за использования ложных флагов (false flags) и заимствования инструментов другими группами.
В России APT-угрозы рассматриваются как один из приоритетов государственной политики в области информационной безопасности. В 2022 году была принята новая редакция Доктрины информационной безопасности РФ, в которой подчёркивается необходимость противодействия компьютерным атакам на критическую информационную инфраструктуру. Ряд APT-групп, действующих против российских интересов, классифицируются как нежелательные или экстремистские (например, организация Meta Platforms Inc. признана экстремистской и запрещена в РФ).
Источники
- Mandiant, «APT1: Exposing One of China’s Cyber Espionage Units», 2013.
- Lockheed Martin, «The Cyber Kill Chain», 2011.
- Kaspersky Lab, «The Anatomy of an APT Attack», 2015.
- Positive Technologies, «APT-атаки: методы и средства защиты», 2020.
- Доктрина информационной безопасности Российской Федерации (утв. Указом Президента РФ от 5 декабря 2016 г. № 646, с изм. 2022 г.).
- FireEye, «SolarWinds Supply Chain Attack: What You Need to Know», 2020.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →