Advanced Persistent Threat (APT)

Tystnad och tålamod är nyckeln till så kallade APT-attacker. Väl inne kan information avlyssnas och filer och programvara köras, vilket medför att en omfattande informationsstöld kan pågå under flera år innan den upptäcks. Utan företagets vetskap kan en obehörig person sitta med ett administratörskonto eller förklä sig till en annan användare i nätverket.

Vad är Advanced Persistent Threat (APT)?

A står för Advanced. Attacken är genomtänkt och planerad, även om inte den programvara som placeras i sig är avancerad, så är intrånget i sig vara utförd på ett avancerat sätt. De som utför attacken använder sig av avancerad teknik för att placera malware eller annan programvara för informationsstöld i nätverket.

P står för Persistent som innebär att attacken, precis som ordet antyder, är ihärdig eller beständig.

T står för Threat och är hotet i sig, det är alltså frågan om ett hot. Eftersom dessa attacker utförs till stor del av människor och inte av okontrollerad programvara eller datorer finns ett specifikt syfte med attacken. Det är ett hot mot det företag eller den organisations information som angriparen vill åt. Syftet med att komma åt informationen kan skilja sig. Men information som hamnar i orätta händer utgör alltid ett hot.

De olika stegen

Attacker som är komplexa att utföra är oftast också mycket svåra att upptäcka. Anledningen är framför allt att den sker metodiskt i olika steg och inte ger några direkta effekter som exempelvis att en server går ned eller att något annat i nätverket påverkas eller inte fungerar som det ska.

Målet med attacken

Dessa attacker utförs nästan uteslutande mot en specifik organisation eller mot ett specifikt företag. Attackerna har också ett specifikt syfte som också definieras innan attacken äger rum. Det är ett mycket effektivt sätt för att stjäla eller avlyssna information som i många fall kan vara hemlig och som kan orsaka stor skada om den skulle komma ut i media eller hamna i fel händer.

Fotfäste i organisationen

Ett intrång i en organisations infrastruktur görs genom att noga studera var den svagaste länken är och vilken väg in som är den enklaste och säkraste vägen in för att undgå att bli upptäckt. Spear Phishing, där man skickar mail som ser ut att komma från en specifik person på företaget eller en samarbetspartner är ett vanligt sätt för att insamla information om företaget, IT-systemen och användaruppgifter.

Tillgång till ett användarkonto, gärna på administratörsnivå, ger möjlighet att komma åt kritisk information och installera programvara för att kunna spionera på viktiga personer i organisationen.

Dölj spåren

Attacken slutar inte här utan snarare börjar här. Spåren av intrånget döljs men det finns nu en rak väg in i nätverket som kan användas i framtida syfte eller döljs för att förhindra att attacken sker igen. Det finns exempel på när Advanced Persistent Threat-attacker har pågått i upp till fem år utan att den som varit utsatt fattat någon som helst misstanke om att det finns obehöriga personer som tar del av information på de högsta nivåerna och av all information som passerar i nätverket.

Ett exempel – Stuxnet

2006 hade USA, dock inte något som bekräftats, som mål att ta över Irans urancentrifuger och få dessa att slitas ut snabbare än normalt. Man utvecklade tillsammans med Israel, Stuxnet, en typ av trojan för att kunna komma åt och styra urancentrifugerna för tillverkning av kärnvapen.

Målet var långsiktigt, att slita ut maskinerna i förtid. Stuxnet installerades i nätverket och tog över Siemens programvara som styrde centrifugerna. 2009 var man tvungen att byta ut tusentals centrifuger vilket, om än obekräftat, visar att aktionen lyckades.

Efter att Stuxnet installerats och centrifugernas hastighet ökats för att förkorta livslängden, sopades spåren igen. Vägen in fanns kvar och därmed också möjligheten att styra programvaran för centrifugerna om så behövdes. I juni 2008 raderade Stuxnet sig själv och operationen var slutförd.

Skydd mot Advanced Persistent Threat

Det är mycket svårt och mycket tidskrävande att upptäcka denna typ av attacker. Vissa organisationer har personal som arbetar dygnet runt för att bevaka och förhindra denna typ av attacker. Hög säkerhet hos användare med komplexa lösenord som är svåra att knäcka är en viktig del eftersom det är via hackade konton en attack är möjlig. Komplexa lösenord är dock inget som garanterar något skydd.

Det finns miljontals varianter av malware som kan användas för attacken och för att erhålla nödvändig information vilket försvårar bevakningen. Företag och organisationer som riskerar denna typ av attack ställer höga krav på bevakning och avlyssning av systemloggar och trafik i nätverket.

Det är därför viktigt att implementera intrångsdetekteringssystem (IDS) och andra nätverksanalysverktyg eftersom angriparna ofta använder närverket för att ta kontroll över datorer och IT-infrastruktur. Många gånger inleds en attack via phishing för att komma åt kritisk data för att i ett senare skede ta kontroll över viktig infrastruktur.

SIEM (Security Information and Event Management) kan även konfigureras för att skicka varningar vid misstänkt aktivitet, på så vis kan man upptäcka ett system med brister utan att data hinner läcka. Dessutom kan man korrelera data från olika datakällor vilket gör det möjligt att fastställa vem som gjorde vad vid vilket tillfälle. Något som kan säga något om hur attacken skett.