תוכן עניינים:
התקפה ברשת מחשבים כבר אינה חדשות בכותרות, אך קיימת סוג אחר של התקפה שמעלה את חששות הביטחון ברשת לשלב הבא. התקפות אלה נקראות איומים מתמשכים מתקדמים (APT). גלה כיצד הם שונים מאיומי היומיום ומדוע הם מסוגלים לגרום נזק כה גדול בסקירתנו על כמה מקרים בעלי פרופיל גבוה שהתרחשו במהלך השנים האחרונות. (לקריאת רקע, עיין בחמשת האיומים המפחידים ביותר בטכנולוגיה.)
מה זה APT?
המונח איום מתמשך מתמשך (APT) יכול להתייחס לתוקף עם אמצעים, ארגון ומוטיבציה משמעותיים לבצע התקפת סייבר מתמשכת נגד יעד.
APT, באופן לא מפתיע, מתקדם, מתמשך ומאיים. היא מתקדמת מכיוון שהיא מעסיקה שיטות התגנבות ורובות התקפה כדי להתפשר על יעד, לעתים קרובות משאב ארגוני או ממשלתי בעל ערך רב. התקפה מסוג זה קשה גם לאיתור, להסרה ולייחוס לתוקף מסוים. גרוע מכך, ברגע שנפרץ יעד, לעתים קרובות נוצרים דלתות אחוריות כדי לספק לתוקף גישה שוטפת למערכת שנפגעה.
מכשירי APT נחשבים מתמשכים במובן זה כי התוקף עשוי להקדיש חודשים לאיסוף מודיעין אודות המטרה ולהשתמש במודיעין זה כדי לפתוח במספר פיגועים לאורך תקופה ממושכת. זה מאיים מכיוון שמבצעים הם לרוב אחרי מידע רגיש ביותר, כמו מתווה של תחנות כוח גרעיניות או קודים לפרוץ לקבלני הגנה אמריקאים.
להתקפת APT בדרך כלל יש שלוש יעדים עיקריים:
- גניבת מידע רגיש מהיעד
- מעקב אחר היעד
- חבלה במטרה
מבצעי APT משתמשים לעיתים קרובות בחיבורים מהימנים בכדי לקבל גישה לרשתות ומערכות. קשרים אלה עשויים להימצא, למשל, באמצעות עובד פנים אוהד או עובד לא יודע הנופל טרף להתקף דיוג חנית.
במה APTs שונים?
יישומי APT שונים מהתקפות סייבר אחרות במספר דרכים. ראשית, APTs משתמשים לעיתים קרובות בכלים בהתאמה אישית ובטכניקות פריצה - כגון ניצולי פגיעות, וירוסים, תולעים וערכות שורש - שתוכננו במיוחד כדי לחדור לארגון היעד. בנוסף, APTs משיקים לעיתים קרובות התקפות מרובות בו זמנית כדי להפר את יעדיהם ולהבטיח גישה מתמשכת למערכות ממוקדות, לעיתים כולל פיתול כדי להערים על המטרה לחשוב שההתקפה הודחה בהצלחה.
שנית, התקפות APT מתרחשות לאורך פרקי זמן ארוכים במהלכן התוקפים נעים באטיות ובשקט כדי להימנע מגילוי. בניגוד לטקטיקות המהירות של התקפות רבות שהשיקו פושעי סייבר טיפוסיים, מטרת ה- APT היא להישאר ללא הבחנה על ידי תנועה "נמוכה ואיטית" תוך פיקוח ואינטראקציה מתמשכים עד שהתוקפים משיגים את יעדיהם המוגדרים.
שלישית, APTs מיועדים לספק את הדרישות של ריגול ו / או חבלה, לרוב מעורבים שחקנים ממלכתיים סמויה. מטרת APT כוללת איסוף מודיעין צבאי, פוליטי או כלכלי, נתונים חסויים או איום סודי מסחרי, הפרעה בפעולות או אפילו הרס ציוד.
רביעית, APTs מכוונים למגוון מוגבל של יעדים בעלי ערך רב. התקפות APT יצאו נגד סוכנויות ומתקנים ממשלתיים, קבלני ביטחון ויצרני מוצרי היי-טק. ארגונים וחברות המקיימים ומפעילים תשתיות לאומיות הם גם יעדים סבירים.
כמה דוגמאות ל- APTs
מבצע אורורה היה אחד ה- APTs הראשונים שהתפרסמו באופן נרחב; סדרת ההתקפות נגד חברות אמריקאיות הייתה מתוחכמת, ממוקדת, התגנבה ונועדה לתמרן יעדים.ההתקפות, שבוצעו באמצע 2009, ניצלו פגיעות בדפדפן Internet Explorer, מה שאיפשר לתוקפים לקבל גישה למערכות מחשב ולהוריד תוכנות זדוניות למערכות אלה. מערכות המחשבים היו מחוברות לשרת מרוחק ורכוש אינטלקטואלי נגנב מהחברות, שכללו את גוגל, נורת'רופ גרוממן ודאו כימיקלים. (קרא על התקפות מזיקות אחרות בתוכנות זדוניות: תולעים, סוסים טרויאנים ובוטים, אוי!)
סטוקסנט הייתה ה- APT הראשון שהשתמש במתקפת סייבר לשיבוש התשתיות הפיזיות. על פי התפיסה שארצות הברית וישראל פותחו על ידי ארצות הברית וישראל, התכוונה תולעת סטוקסנט למערכות הבקרה התעשייתיות של תחנת כוח גרעינית איראנית.
למרות שנדמה כי Stuxnet פותחה כדי לתקוף מתקני גרעין איראניים, היא התפשטה הרבה מעבר למטרה המיועדת, והיא יכולה לשמש גם כנגד מתקני תעשיה במדינות המערב, כולל ארצות הברית.
אחת הדוגמאות הבולטות ל- APT הייתה הפרת RSA, חברת אבטחת מחשבים ורשתות. במארס 2011, RSA הצליחה דליפה כשחדרו אותה מתקפת חנית פישינג שהכניסה אחד לעובדיו והביאה לתפיסה אדירה של מתקפות סייבר.
במכתב פתוח ל- RSA שפרסם לקוחות לאתר החברה בחודש מרץ 2011, אמר יו"ר המנהל ארט קוביילו כי מתקפת APT מתוחכמת חילקה מידע רב ערך שקשור למוצר האימות הדו-גורמי SecurID שלה המשמש עובדים מרוחקים לגישה מאובטחת לרשת של החברה שלהם. .
"אמנם נכון לעכשיו אנו בטוחים כי המידע שהוצא אינו מאפשר התקפה ישירה מוצלחת על אף אחד מלקוחות RSA SecurID שלנו, אך ניתן להשתמש במידע זה כדי להפחית את האפקטיביות של יישום אימות דו-גורמי הנוכחי כחלק רחבה יותר לתקוף, "אמר קוביילו.
אולם, כך התברר כי קוביילו טעה בכך, שכן לקוחות רבים של סמלי ה- SecurID של ה- RSA, כולל ענק ההגנה האמריקני לוקהיד מרטין, דיווחו על התקפות שנבעו מהפרת ה- RSA. במאמץ להגביל את הנזק, RSA הסכימה להחליף את האסימונים עבור לקוחות המפתח שלה.
לאן APTs?
דבר אחד בטוח: יישומי APT ימשיכו. כל עוד יש מידע רגיש לגניבה, קבוצות מאורגנות ילכו אחריו. וכל עוד קיימות מדינות, יהיו ריגול וחבלה - פיזיים או סייבר.
יש כבר מעקב אחר תולעת ה- Stuxnet, שכונתה דואק, שהתגלתה בסתיו 2011. כמו סוכן ישן, דוק הטמיע את עצמו במהירות במערכות תעשייתיות מרכזיות ואוסף מודיעין ומבזבז את זמנו. היה סמוך ובטוח שהוא לומד מסמכי תכנון כדי למצוא נקודות חולשה להתקפות עתידיות.
איומי הביטחון של המאה ה -21
בהחלט, Stuxnet, Duqu ויורשיהם יכתו יותר ויותר ממשלות, מפעילי תשתיות קריטיות ואנשי מקצוע בתחום אבטחת המידע. הגיע הזמן לקחת את האיומים הללו ברצינות כמו בעיות אבטחת המידע השגרתיות של חיי היומיום במאה ה -21.