Advanced Persistent Threats (APTs)
Profile APT
“Zaawansowane trwałe zagrożenia” (APT) to termin, który w ostatnich latach używany był do opisywania kategorii szczególnie skutecznych i wytrwałych przestępców, którzy bezpośrednio lub pośrednio powiązani są z państwem, na rzecz którego działają. Dlatego prezentujemy poniżej najważniejsze przypadki APT skrótowo opisane według znormalizowanego, jednolitego i stale aktualizowanego schematu.
Poniżej wymieniono przypadki APT według krajów, z którymi są powiązane. Profile są oparte na:
kluczowych elementach charakterystyki grupy zaangażowanej w konflikt (kryteria ilościowe i jakościowe)
ich opisie uwzględniającym kryteria politycznej, technicznej i prawnej atrybucji (przypisania odpowiedzialności)
opisie podjętych już działań zaradczych (np. deklaracje jednostronne państw, oskarżenia, zajęcie mienia, sankcje itp.).
Odzwierciedlając często niejednoznaczne oceny tych cyberprzestępców i ich grup, dokonywane przez różne podmioty, w tym przez państwa, opisano również kontrowersje związane z dokonanymi już atrybucjami, tak aby umożliwić dyskusję na temat reguł i kryteriów przypisywania odpowiedzialności za cyberataki różnym podmiotom.
Opracowaliśmy również wskaźnik poziomu zagrożeń, który ocenia ogólną intensywność, częstotliwość i zasięg ataków przez określone grupy opisywane jako APT. Wskaźnik ten wynika z naszej analizy posiadanych danych – zobacz więcej szczegółów na temat naszej metodologii poniżej.
Chiny
“Istnieją tylko dwa rodzaje firm – te, które wiedzą, że padły ofiarami cyberataków, i te, które tego jeszcze nie wiedzą” (Dimitri Alperovitch, 2011). Ten cytat jest wielokrotnie używany do opisania zakresu chińskiego cyberszpiegostwa przeciwko firmom na całym świecie. Niewiele krajów na świecie tak skutecznie opracowało szeroki katalog umiejętności mających na celu przeprowadzanie z sukcesem cyberoperacji motywowanych ekonomicznie jak Chiny. Niemniej jednak APT i ich działalność przedstawiona poniżej również w dużej mierze wpisują się w cele polityki zagranicznej i wewnętrznej Partii Komunistycznej na poziomie geopolitycznym. W związku z tym w ostatnich latach chińscy cyberprzestępcy prowadzili również coraz bardziej nakierowane na cele wojskowe, destrukcyjne operacje cybernetyczne, zwłaszcza w kontekście ingerencji w konflikty regionalne.
Iran
Stały rozwój i rozszerzanie zdolności Iranu do prowadzenia ofensywnych działań cybernetycznych jest szczególnie uzasadniony własnym doświadczeniem Iranu, jako ofiary poważnych cyberataków, w szczególności robaka komputerowego Stuxnet. Od 2010 r. coraz częściej wykrywa się szeroką gamę działań cybernetycznych pochodzenia irańskiego, a profil operacyjny tego państwa stopniowo zmienia się, z początkowo mało zaawansowanych operacji DDoS i defacement, na bardziej złożone, nakierowane na określony region operacje cyberszpiegowskie. Przypisuje się to rosnącej liczbie APT konkurujących o rządowe kontrakty hakerskie w krajowym systemie cybernetycznym, zgodnie z ustaleniami dokonanymi przez niezależnych ekspertów (Gundert i in. 2018).
Profiles coming soon...
Korea Północna
W cyberprzestrzeni Korea Północna w coraz większym stopniu zasługuje na swoją złą światową reputację “państwa zbójeckiego”. Północnokoreańskie APT, zwłaszcza od 2016 r., coraz częściej koncentrują się wokół działalności finansowej, takiej jak przekierowywanie transakcji finansowych lub “okradanie” giełd kryptograficznych. Pomimo izolacji cyfrowej, kraj ten do tej pory zdołał wykorzystać słabości wielu państw na własną korzyść. Ze względu na wysoki stopień kontroli państwa nad krajowym intranetem, można zatem założyć, że (krajowe) północnokoreańskie APT opierają się o silne wsparcie państwowe i to jemu można przypisać za nie odpowiedzialność.
Rosja
Prawie żaden inny kraj nie wzbudził w ostatnich latach tyle uwagi w cyberprzestrzeni, co Federacja Rosyjska. Niezależnie od tego, czy chodzi o klasyczne cyberszpiegostwo przeciwko wrogim państwom, krajowym członkom opozycji lub zagranicznym instytucjom medialnym, ingerencję w wybory poprzez operacje typu hack-and-leak czy sabotaż poprzez destrukcyjne cyberataki na infrastrukturę krytyczną, rosyjskie APT do tej pory obejmowały szeroki wachlarz form działania w przestrzeni cyfrowej, zwłaszcza podczas trwającej wojny w Ukrainie. Ze względu na rosnące powiązania między polityczną i przestępczą działalnością cybernetyczną, Rosja zajmuje się nie tylko klasycznymi atakami APT, ale także organizacją grup cyberprzestępczych, o których wiadomo, że mają bliskie powiązania z instytucjami rządowymi.
Stany Zjednoczone
Stany Zjednoczone są uważane za najpotężniejszy kraj w cyberprzestrzeni z największymi możliwościami i zasobami. Zarówno wiodący technologicznie sektor prywatny, jak i instytucje rządowe, mają rozbudowane zdolności ofensywne i defensywne w cyberprzestrzeni. Mimo, że destrukcyjne formy operacji cybernetycznych były do tej pory upubliczniane głównie przez same podmioty amerykańskie, szeroko zakrojona działalność cyberszpiegowska NSA i CIA przyciągnęły istotną uwagę, zwłaszcza od czasu informacji ujawnionych przez Edwarda Snowdena w 2013 r. Opisane przez niego metody gromadzenia danych, w ocenie firm specjalizujących się w cyberbezpieczeństwie zakwalifikowane zostały jako częściowo wykorzystujące ataki APT.