Vad är APT och hur kan du försvara dig mot statligt sponsrade cyberattacker?
APT (Advanced Persistent Threat) är en term som används för att beskriva professionella hackergrupper eller nationella cyberstyrkor som är mycket skickliga på att infiltrera datornätverk och förbli oupptäckta under långa tider.
APT, advanced persistent threat är en attack som är riktad direkt mot en viss person eller en viss typ av information och där angriparen ofta är ett land eller grupp som har större resurser. Inom cybersäkerhet ger man benämingen APT till en individuell eller grupp som använder sofistikerade tekniker för att använda sårbarheter (exploits) på offrets dator och använder ett externt control and command system.
Statligt sponsrade cyberattacker är särskilt farliga på grund av deras avancerade natur och de resurser som ligger bakom dem. Dessa angripare använder en mängd olika tekniker, från sofistikerad skadlig kod till social ingenjörskonst, för att infiltrera nätverk och stjäla värdefull information, inklusive patent, design, affärsstrategier och forskningsdata.
Syftet är att komma åt värdefull data i nätverket. Immateriell egendom är ofta en organisations mest värdefulla tillgång. Det kan omfatta allt från programvarukoder till produktionsprocesser och hemliga formler. Genom att stjäla denna information kan statligt sponsrade aktörer ge betydande fördelar till inhemska industrier, underminera konkurrens och till och med påverka globala marknader.
Tekniker som används är tex nätfiske, och trojaner med bakluckor. Utvecklingen med intrång av kriminella organisationer har ökat under senare år vilket innebär större ansvar för användarna att skydda sina digitala identiteter och personliga information från hackare. Samtidigt bör man vara medveten om att underrättelseinformation är värdefull information och något som många är beredda att betala mycket pengar för att ta del av.
Hur Kinas APT-hackare stal världens mest värdefulla hemligheter
APT 1
APT1: APT1, också känd som ”Comment Crew” eller ”Shanghai Group”, är en APT-grupp som sägs ha förbindelser till den kinesiska regeringen och ägnar sig åt skadliga nätverks operationer. Gruppen har dåligt rykte för att ha genomfört en mängd olika hack mot företag och organisationer i USA och andra länder.
Troligtvis är det People’s Liberation Army (PLA’s) Unit 61398 baserat på deras syfte och cyberförmågor. Sedan 2014 har de attackerat 141 företag inom 20 olika branscher.
Ladda ner PFD- dokument från FireEye.
APT3: APT3, också känd som ”Gothic Panda” eller ”UPHC”, är en APT-grupp som också sägs ha förbindelser till den kinesiska regeringen.
APT10
APT10: APT10, också känd som ”Red Apollo” eller ”Stone Panda”, är en APT-grupp som sägs ha förbindelser till den kinesiska regeringen.
Amerikanska justitiedepartementet har identifierat två kinesiska medborgare som var verksamamma i en omfattande hacking kampanj under 12 år och drabbat 45 Tech företag och myndigheter över hela landet.
Enligt åtalet hävdar de att Zhu Hua och Zang Shilong, var medlemmar i en grupp som kallas ”Advanced ihållande hot 10 ” (APT 10) som agerade på uppdrag av Kinas underrättelsetjänst. APT10 gick även under benämningen Red Apollo, CVNX, Stone Panda, MenuPass, Pottasium från Kina som enligt de amerikanska domstolshandlingarna jobbade för Huaying Haitai Science och kinesiska säkerhetsdepartmentet. Metoderna de använt var spearfishing för att infektera datorer med malware som Poison Ivy och Keystroke loggers.
Dynamite Panda (APT 18) – Kina: Målinriktad mot medicinska, tillverknings-, regerings- och teknikorganisationer i USA, känd för att ha brutit sig in och stulit HIPAA-skyddade data 2014
Tidigare cyberspionage från Kina
Fram till för några år sedan använde den kinsiska regeringen militära styrkor genom folkets befrielsearmé (FBA) sofistikerade cybermetoder för att infiltrera amerikanska företag och stjäla teknik. Kinesiska tjänstemän förnekade aktiviteterna tills president Barack Obama och president XI Jinping träffade i Kalifornien i juni 2013. Obama visade XI detaljerade bevis från sitt egna cyberspionage. De enades om att den kinesiska regeringen inte längre skulle använda PLA eller andra myndigheter för att stjäla USA-teknik. Även om det är svårt att veta med säkerhet.
Nordkorea
Lazarus Group (APT 38) – Nordkorea: Denna grupp har kopplats till Nordkoreas regering och är känd för sin attack mot Sony 2014, samt spridningen av WannaCry ransomware som uppmärksammades av PwC. De riktar sig främst mot Sydkorea och USA
Ryska APT grupper
APT29: APT29, också känd som ”Cozy Bear” eller ”The Dukes”, är en APT-grupp som sägs ha förbindelser till den ryska regeringen. Gruppen har hackat en mängd olika organisationer, inklusive politiska partier och regeringsorganisationer i USA. Läs mer om cozy bear.
Iranska APT-grupper
Elfin (APT 33) – Iran: Elfin har riktat in sig på flyg-, rymd- och energisektorer i USA, Saudiarabien och Sydkorea och har skapat egna skadliga program som Shamoon och Mimikatz
Charming Kitten – Iran: Riktade attackerna främst mot individer i Iran inom aktivism, media och akademi, men har också riktat sig mot Israel, USA och Storbritannien. De har genomfört spionkampanjer mot politiska figurer i USA
Hur du skyddar företaget mot de olika APT hoten
Dessa attacker, ofta sofistikerade och välfinansierade, riktas inte bara mot regeringar utan även mot privata företag för att stjäla immateriell egendom. För att skydda sina värdefulla tillgångar, måste organisationer fortsätta att stärka sina försvar.
För att skydda sig mot dessa hot, måste organisationer anta en flerdimensionell säkerhetsstrategi:
- Undvik cloudtjänster för kommersiell information och om det används så se till att ni använder två faktors authenticiering
- Implementera avancerade säkerhetslösningar som brandväggar, inkräktardetekteringssystem och krypteringstekniker
- Regelbundna säkerhetsbedömningar: Genomför kontinuerliga bedömningar och penetrationstester för att upptäcka och åtgärda sårbarheter.
- Var medveten om att allting som du säger i telefon eller över Skype kan avlyssnas
- Använd anti-virusprogram (samtidigt kan virusprogramen i sig innehålla bakdörrar…)
- Var kritiskt till allting som du läser och i synnerhet om du får mail från någon du inte känner
- Samarbeta med andra organisationer och regeringar för att dela information om hot och bästa praxis.
- Var kritisk om du får mail från någon du känner som inte verkar vara ok – eftersom det finns sociala tekniker genom att hacka sociala nätverk
- Undvik ladda ner skadliga filer som du inte vet vad de innehåller exempelvis attachments i mail (pdf filer kan innehålla virus i synnerhet om du har javascript aktiverat)
- Använd säkra lösenord och förvara dessa på ett säkert sätt
- Du kan ladda ner tillägg till din webbläsare för att utöka din säkerhet. Det finns tex addons som Noscript gör att du inte av misstag laddar ner skadlig kod och https everywhere som krypterar informationen.
- Använd 2 olika webbläsare där den ena använder du bara för känslig information exempelvis bankärenden
- Incidentberedskap: Utveckla och öva en incidenthanteringsplan för att snabbt reagera på och återhämta sig från säkerhetsincidenter.
- Utbilda anställda i cybersäkerhetspraxis och att identifiera potentiella hot, som phishing och social ingenjörskonst.
Företag specialiserade på skydd mot APT
Företag som är specialiserade på APT. Israeliska säkerhetsföretaget CyberArk är specialiserade på APT protection.