高級長期威脅

進階持續性威脅(英語:advanced persistent threat,縮寫:APT),又稱高級持續性威脅先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出於商業或政治動機,針對特定組織或國家,並要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用複雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,並從其獲取數據。威脅則指人為參與策劃的攻擊。[1]

APT發起方,如政府,通常具備持久而有效地針對特定主體的能力及意圖。此術語一般指網絡威脅,尤其是指使用眾多情報收集技術來獲取敏感信息的網絡間諜活動,[2]但也適用於傳統的間諜活動之類的威脅。[3]其他攻擊面包括受感染的媒介、入侵供應鏈、社會工程學。個人,如個人黑客,通常不被稱作APT,因為即使個人有意攻擊特定目標,他們也通常不具備高級和長期這兩個條件。[4]

歷史

編輯

2005年時,英國及美國的一些計算機應急響應組織發佈報告,提醒人們注意某些針對性的釣魚電子郵件會釋放木馬,外泄敏感信息,但「APT」一詞還未被使用。[5]普遍認為「高級長期威脅」這個術語是在2006年由美國空軍創造,[6]而格雷格·拉特雷上校一般被認為是該術語的發明人。[7]

震網蠕蟲是APT的一個例子,此蠕蟲專門針對伊朗核設施的電腦硬件。此事件中,伊朗政府可能就把震網蠕蟲的創造者視為一個高級長期威脅。

計算機安全社群及媒體中,此術語常指針對政府、公司、政治活躍分子的長期而複雜的黑客攻擊,也指發起這些攻擊幕後團體的活動特徵。日趨頻繁的高級長期威脅(APT)可能會逐漸只用於指代計算機黑客入侵。據《PC World》雜誌統計,從2010年到2011年,針對性的高級電腦黑客攻擊增長了81%。[8]

對於APT的一個常見誤解[誰?]是,APT僅僅針對西方政府。雖然針對西方政府的APT事件在西方廣為流傳,但許多國家的黑客也會通過網絡空間收集個人或一群個人的情報。[9][10][11]美國網戰司令部負責協調美國軍方對網絡攻擊作出的響應。

有說法稱一些APT團體直屬於或受僱於民族國家[12][13][14] 掌握大量可辨識的個人身份信息的行業極有可能遭受高級長期威脅,如:[2]

  • 高等教育[15]
  • 金融機構

術語

編輯

APT並無準確定義,但總體可歸納如下:[3][4][16]

  • 高級:威脅的幕後操縱者對情報收集技術有着全面的掌控能力。其中可包括電腦入侵技術和傳統情報收集技術(如電話監聽技術、衛星成像技術)。攻擊中使用的各個組件本身可能並不能算特別「高級」(例如,利用公開的惡意軟件生成工具生成的惡意軟件,或是一些容易獲得的漏洞利用材料),但是操縱者往往可以按需開發出更高級的工具。他們一般會使用多種針對方式、工具和技術以入侵目標,並保持訪問權限。操縱者也可能會特別注意行動中的安全,這一點和「不那麼高級」的威脅有所不同。
  • 長期:操縱者注重一個特定的任務,而不是盲目搜尋信息。這一區別暗示攻擊者受到外部力量指示。為了達到預定目的,攻擊者會持續監控目標,並做出反應。這並不表示攻擊者會經常發動攻擊、頻繁更新惡意軟件。事實上,「放長線」的方法會更為成功。如果操縱者失去了對目標的訪問權,他們一般會重新嘗試入侵,也往往會成功。操縱者的目的之一就是對目標保有長期的訪問權,而不是一次性的訪問權。
  • 威脅:APT之所以成為威脅,是因為發起方既有此能力,又有此意圖。APT攻擊是由一群有組織的人發起的。操縱者有特定的目標,且技術精湛、資金雄厚。

特點

編輯

Bodmer、Kilger、Carpenter和Jones的研究將APT的標準定義如下:[17]

  • 目標 – 威脅的最終目標,即你的對手
  • 時間 – 調查、入侵所花的時間
  • 資源 – 所涉及的知識面及工具(技能和方法也有所影響)
  • 風險承受能力 – 威脅能在多大程度上不被發覺
  • 技能與方法 – 所使用的工具及技術
  • 行動 – 威脅中採取的具體行動
  • 攻擊源頭 – 攻擊來源的數量
  • 牽涉數量 – 牽涉到多少內部或外部系統,多少人的系統具有不同重要性
  • 信息來源 – 是否能通過收集在線信息識別出某個威脅

趨勢科技定義 APT 基本要素與特點如下:

  • 基於經濟或競爭優勢
  • 時間長期、持續、多個階段的攻擊
  • 目標針對特定公司、組織或平台
  • 多元攻擊方式包括假冒信件、現成與客製化惡意軟件、遠端控制工具、將機密敏感資料外傳[18][19][20]

生命周期

編輯
 
一個周而復始的APT生命周期

APT的幕後黑手會對組織團體的金融財產、知識產權及名譽造成持續變化的威脅,[21]其過程如下:

  1. 因一個目標開始盯上特定組織團體
  2. 試圖入侵到其環境中(如發送釣魚郵件)
  3. 利用入侵的系統來訪問目標網絡
  4. 部署實現攻擊目標所用的相關工具
  5. 隱藏蹤跡以便將來訪問

2013年,美國網絡安全公司麥迪安(Mandiant)發佈了關於2004至2013年間疑似來源於中國的APT攻擊的研究結果,[22]其中的生命周期與上述相似:

  • 初始入侵 – 使用社會工程學釣魚式攻擊零日攻擊,通過郵件進行。在受害者常去的網站上植入惡意軟件(掛馬)也是一種常用的方法。
  • 站穩腳跟 – 在受害者的網絡中植入遠程訪問工具英語Remote Access Tool,打開網絡後門,實現隱蔽訪問。
  • 提升特權 – 通過利用漏洞破解密碼,獲取受害者電腦的管理員特權,並可能試圖獲取Windows域英語Windows domain管理員特權。
  • 內部勘查 – 收集周遭設施、安全信任關係、英語Windows domain結構的信息。
  • 橫向發展 – 將控制權擴展到其他工作站、伺服器及設施,收集數據。
  • 保持現狀 – 確保繼續掌控之前獲取到的訪問權限和憑據。
  • 任務完成 – 從受害者的網絡中傳出竊取到的數據。

麥迪安所分析的這起入侵事件中,攻擊者對受害者的網絡保有控制權的平均時間為一年,最長時間為五年。[22] 此次滲透攻擊據稱是位於上海的中國人民解放軍61398部隊所為。中國官方否認參與了這些攻擊。[23]

緩解策略

編輯

惡意軟件的變種數以千萬計,因此要保護組織團體免於APT攻擊極為困難。雖然APT活動十分隱蔽,但與APT相關的命令與控制網絡流量卻可以在網絡層由精密的方法檢測。深入的日誌分析和比對有助於檢測APT活動。儘管要從正常流量中分離出異常流量有一定難度,但這一工作可以藉助完善的日誌分析工具來完成,以便安全專家調查異常流量。[1]

終端使用者

編輯
  • 不隨意開啟未知來源的郵件附加檔案
  • 安裝已知品牌軟件,定期系統更新,安裝掃描病毒軟件並定期掃毒

企業資訊人員

編輯
  • 建立監控軟件,尋找是否有可疑終端電腦或裝置
  • 使用多層次資安防禦軟件,加強防護縱深
  • 訂立企業內部敏感資訊的監控與存取政策
  • 教育員工關於社交工程的資訊安全意識[19]

相關組織

編輯

中國

編輯

自 2012 年習近平出任中共中央總書記以來,中國國家安全部在網絡間諜活動方面承擔了比中國人民解放軍更大的責任,目前負責監管各種 APT 組織。[24] 安全研究員蒂莫·斯蒂芬斯 (Timo Steffens) 表示:「中國的網絡威脅格局採用『全國性』的方式,利用了大學、個人以及私營和公共部門等的技術。」 [25]

  • APT1 是中國人民解放軍61398部隊
  • APT2 是中國人民解放軍61486部隊
  • APT3 (又名Boyusec英語Boyusec) 是中國國家安全部廣東省國家安全廳。[26]
  • APT10英語APT10 (又名Red Apollo), 是中國國家安全部天津市國家安全局。
  • APT12英語APT12 (又名Numbered Panda) 是解放軍所屬身份不明組織。
  • APT17 (又名DeputyDog) 是中國政府所屬身份不明單位。[27]
  • APT18 (又名Dynamite Panda或Scandium) 是解放軍海軍所屬部隊之一。[28]
  • APT19 (又名Deep Panda或C0d0so0 Team) 是中國政府所屬身份不明單位。
  • APT20 (又名Violin Panda或Wocao) 是中國政府所屬身份不明單位。[29][30]
  • APT22 (又名Suckfly) 是中國政府所屬身份不明單位。
  • APT26 (又名Turbine Panda) 是中國國家安全部江蘇省國家安全廳。
  • APT27 (又名Emissary Panda) 是中國政府所屬身份不明單位。[31]
  • APT30英語APT30 (又名Naikon英語Naikon) 是中國人民解放軍78020部隊。
  • APT31 (又名Zirconium或Hurricane Panda) 是中國國家安全部湖北省國家安全廳[32][33][34][35]
  • APT40英語APT40 是中國國家安全部海南省國家安全廳。
  • APT41英語APT41 (又名Double Dragon、Winnti Group或Barium) 是中國國家安全部所屬單位之一,位於中國成都。[39][40][41][42][28]
  • LightBasin英語LightBasin[43][44] (又名UNC1945)
  • Dragonbridge[45]
  • Tropic Trooper[46][47]
  • Volt Typhoon[48]
  • Flax Typhoon[49]
  • Charcoal Typhoon (又名CHROMIUM)[50][51]
  • Salmon Typhoon (又名SODIUM)[50][51]
  • 鹽颱風(Salt Typhoon,又名GhostEmperor或FamousSparrow)[52][53]

伊朗

編輯

北朝鮮

編輯

俄羅斯

編輯

土耳其

編輯

美國

編輯

烏茲別克斯坦

編輯

越南

編輯
  1. ^ 自 2013 年以來一直活躍的 Gamaredon 與大多數 APT 不同,它廣泛針對全球所有用戶(此外還關注某些受害者,特別是烏克蘭組織[58]) 並且似乎為其他 APT 提供服務。[59] 例如,InvisiMole威脅組織攻擊了 Gamaredon 先前入侵並提取指紋的選定系統。[58]

參考文獻

編輯
  1. ^ 1.0 1.1 https://www.cademia.edu/6309905/Advanced_Persistent_Threat_-_APT[永久失效連結]
  2. ^ 2.0 2.1 Anatomy of an Advanced Persistent Threat (APT). Dell SecureWorks. [2012-05-21]. (原始內容存檔於2012-07-12). 
  3. ^ 3.0 3.1 Are you being targeted by an Advanced Persistent Threat?. Command Five Pty Ltd. [2011-03-31]. (原始內容存檔於2011年4月6日). 
  4. ^ 4.0 4.1 The changing threat environment .... Command Five Pty Ltd. [2011-03-31]. (原始內容存檔於2012-07-24). 
  5. ^ Eric M. Hutchins, Michael J. Clopperty, Rohan M. Amin, Ph.D. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (PDF). Lockheed Martin Corporation Abstract. [March 13, 2013]. (原始內容存檔 (PDF)於2015-02-05). 
  6. ^ Assessing Outbound Traffic to Uncover Advanced Persistent Threat (PDF). SANS Technology Institute. [2013-04-14]. (原始內容存檔 (PDF)於2013-02-24). 
  7. ^ Introducing Forrester's Cyber Threat Intelligence Research. Forrester Research. [2014-04-14]. (原始內容存檔於2014-04-15). 
  8. ^ Olavsrud, Thor. Targeted Attacks Increased, Became More Diverse in 2011. PCWorld. [2015-01-22]. (原始內容存檔於2019-04-10). 
  9. ^ An Evolving Crisis. BusinessWeek. April 10, 2008 [2010-01-20]. (原始內容存檔於2010-01-10). 
  10. ^ The New E-spionage Threat. BusinessWeek. April 10, 2008 [2011-03-19]. (原始內容存檔於2011-04-18). 
  11. ^ Google Under Attack: The High Cost of Doing Business in China. Der Spiegel. 2010-01-19 [2010-01-20]. (原始內容存檔於2010-01-21). 
  12. ^ Under Cyberthreat: Defense Contractors. BusinessWeek. July 6, 2009 [2010-01-20]. (原始內容存檔於2010-01-11). 
  13. ^ Understanding the Advanced Persistent Threat. Tom Parker. February 4, 2010 [2010-02-04]. (原始內容存檔於2010-02-18). 
  14. ^ Advanced Persistent Threat (or Informationized Force Operations) (PDF). Usenix, Michael K. Daly. November 4, 2009 [2009-11-04]. (原始內容存檔 (PDF)於2011-05-13). 
  15. ^ Ingerman, Bret. Top-Ten IT Issues, 2011. Educause Review. [2015-01-22]. (原始內容存檔於2015-04-07). 
  16. ^ What's an APT? A Brief Definition. Damballa. January 20, 2010 [2010-01-20]. (原始內容存檔於2010-02-11). 
  17. ^ Bodmer, Kilger, Carpenter, & Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. New York: McGraw-Hill Osborne Media. ISBN 0-07-177249-9, ISBN 978-0-07-177249-5
  18. ^ Trend Labs 趨勢科技全球技術支援與研發中心. 什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?. 資安趨勢部落格. 2011-09-13 [2019-03-09]. (原始內容存檔於2020-05-16) (中文(臺灣)). 
  19. ^ 19.0 19.1 Trend Labs 趨勢科技全球技術支援與研發中心. 認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT). 資安趨勢部落格. 2012-03-07 [2019-03-09]. (原始內容存檔於2012-11-14) (中文(臺灣)). 
  20. ^ Trend Labs 趨勢科技全球技術支援與研發中心. 淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例. 資安趨勢部落格. 2012-09-19 [2019-03-09]. (原始內容存檔於2013-07-09) (中文(臺灣)). 
  21. ^ Advanced Persistent Threats: Higher Education Security Risks. Dell SecureWorks. [2012-09-15]. (原始內容存檔於2015-09-24). 
  22. ^ 22.0 22.1 APT1: Exposing One of China's Cyber Espionage Units. Mandiant. 2013 [2015-01-22]. (原始內容存檔於2015-02-02). 
  23. ^ China says U.S. hacking accusations lack technical proof. Reuters. 2013 [2015-01-22]. (原始內容存檔於2014-12-30). 
  24. ^ Mozur, Paul; Buckley, Chris. Spies for Hire: China's New Breed of Hackers Blends Espionage and Entrepreneurship. The New York Times. 2021-08-26 [2021-08-27]. ISSN 0362-4331. (原始內容存檔於27 August 2021) (美國英語). 
  25. ^ Stone, Jeff. Foreign spies use front companies to disguise their hacking, borrowing an old camouflage tactic. cyberscoop.com. Cyberscoop. October 5, 2020 [11 October 2020]. (原始內容存檔於22 March 2021). 
  26. ^ Buckeye: Espionage Outfit Used Equation Group Tools Prior to Shadow Brokers Leak. Symantec. 2019-05-07 [2019-07-23]. (原始內容存檔於2019-05-07). 
  27. ^ APT17: Hiding in Plain Sight - FireEye and Microsoft Expose Obfuscation Tactic (PDF). FireEye. May 2015 [21 March 2021]. (原始內容 (PDF)存檔於24 November 2023). 
  28. ^ 28.0 28.1 China-Based Threat Actors (PDF). U.S. Department of Health and Human Services Office of Information Security. August 16, 2023 [29 April 2024]. (原始內容存檔 (PDF)於29 December 2023). 
  29. ^ van Dantzig, Maarten; Schamper, Erik. Wocao APT20 (PDF). fox-it.com. NCC Group. 2019-12-19 [23 December 2019]. (原始內容 (PDF)存檔於22 March 2021). 
  30. ^ Vijayan, Jai. China-Based Cyber Espionage Group Targeting Orgs in 10 Countries. www.darkreading.com. Dark Reading. December 19, 2019 [12 January 2020]. (原始內容存檔於7 May 2021). 
  31. ^ Lyngaas, Sean. Chinese hackers posed as Iranians to breach Israeli targets, FireEye says. www.cyberscoop.com. 10 August 2021 [15 August 2021]. (原始內容存檔於29 November 2023). 
  32. ^ Treasury Sanctions China-Linked Hackers for Targeting U.S. Critical Infrastructure. U.S. Department of the Treasury. 2024-03-19 [2024-03-25]. (原始內容存檔於25 March 2024) (英語). 
  33. ^ Lyngaas, Sean. Google offers details on Chinese hacking group that targeted Biden campaign. Cyberscoop. October 16, 2020 [16 October 2020]. (原始內容存檔於7 May 2021). 
  34. ^ Hui, Sylvia. US and UK announce sanctions over China-linked hacks on election watchdog and lawmakers. Associated Press. 2024-03-25 [2024-03-25]. (原始內容存檔於25 March 2024) (英語). 
  35. ^ Lyngaas, Sean. Right country, wrong group? Researchers say it wasn't APT10 that hacked Norwegian software firm. www.cyberscoop.com. Cyberscoop. February 12, 2019 [16 October 2020]. (原始內容存檔於7 May 2021). 
  36. ^ Naraine, Ryan. Microsoft: Multiple Exchange Server Zero-Days Under Attack by Chinese Hacking Group. securityweek.com. Wired Business Media. 2021-03-02 [2021-03-03]. (原始內容存檔於6 July 2023) (English). 
  37. ^ Burt, Tom. New nation-state cyberattacks. blogs.microsoft.com. Microsoft. 2021-03-02 [2021-03-03]. (原始內容存檔於2 March 2021) (English). 
  38. ^ Gatlan, Sergiu. US and allies officially accuse China of Microsoft Exchange attacks. Bleeping Computer. 2021-07-19 [25 March 2024]. (原始內容存檔於25 March 2024). 
  39. ^ Double Dragon APT41, a dual espionage and cyber crime operation. FireEye. 2019-10-16 [2020-04-14]. (原始內容存檔於7 May 2021). 
  40. ^ Bureau names ransomware culprits. www.taipeitimes.com. Taipei Times. May 17, 2020 [22 May 2020]. (原始內容存檔於22 March 2021). 
  41. ^ Tartare, Mathieu; Smolár, Martin. No "Game over" for the Winnti Group. www.welivesecurity.com. We Live Security. 21 May 2020 [22 May 2020]. (原始內容存檔於22 March 2021). 
  42. ^ Greenberg, Andy. Chinese Hackers Have Pillaged Taiwan's Semiconductor Industry. Wired. August 6, 2020 [7 August 2020]. (原始內容存檔於22 March 2021). 
  43. ^ Nichols, Shaun. 'LightBasin' hackers spent 5 years hiding on telco networks. TechTarget. 2021-10-20 [2022-04-08]. (原始內容存檔於29 November 2023). 
  44. ^ Ilascu, Ionut. LightBasin hacking group breaches 13 global telecoms in two years. Bleeping Computer. 2021-10-19 [2022-04-08]. (原始內容存檔於24 July 2023). 
  45. ^ Sabin, Sam. New pro-China disinformation campaign targets 2022 elections: Report. Axios. October 26, 2022 [October 27, 2022]. (原始內容存檔於26 October 2022). 
  46. ^ Chen, Joey. Tropic Trooper's Back: USBferry Attack Targets Air-gapped Environments. blog.trendmicro.com. Trend Micro. 12 May 2020 [16 May 2020]. (原始內容存檔於22 March 2021). 
  47. ^ Cimpanu, Catalin. Hackers target the air-gapped networks of the Taiwanese and Philippine military. ZDnet. [16 May 2020]. (原始內容存檔於22 March 2021). 
  48. ^ Intelligence, Microsoft Threat. Volt Typhoon targets US critical infrastructure with living-off-the-land techniques. Microsoft Security Blog. 2023-05-24 [2023-05-26]. (原始內容存檔於17 January 2024) (美國英語). 
  49. ^ Tucker, Eric. FBI disrupts Chinese cyber operation targeting critical infrastructure in the US. Associated Press. 2024-09-18 [2024-09-18]. (原始內容存檔於September 24, 2024) (英語). 
  50. ^ 50.0 50.1 Disrupting malicious uses of AI by state-affiliated threat actors. February 14, 2024 [February 16, 2024]. (原始內容存檔於February 16, 2024). 
  51. ^ 51.0 51.1 Staying ahead of threat actors in the age of AI. Microsoft. February 14, 2024 [February 16, 2024]. (原始內容存檔於February 16, 2024). 
  52. ^ Krouse, Sarah; McMillan, Robert; Volz, Dustin. China-Linked Hackers Breach U.S. Internet Providers in New 'Salt Typhoon' Cyberattack . The Wall Street Journal. September 25, 2024 [September 25, 2024]. 
  53. ^ Krouse, Sarah; Volz, Dustin; Viswanatha, Aruna; McMillan, Robert. U.S. Wiretap Systems Targeted in China-Linked Hack . The Wall Street Journal. October 5, 2024 [October 5, 2024]. (原始內容存檔於October 5, 2024). 
  54. ^ Montalbano, Elizabeth. Pioneer Kitten APT Sells Corporate Network Access. Threat Post. September 1, 2020 [3 September 2020]. (原始內容存檔於22 March 2021). 
  55. ^ APT39, ITG07, Chafer, Remix Kitten, Group G0087 | MITRE ATT&CK®. attack.mitre.org. [2022-12-30]. (原始內容存檔於30 December 2022). 
  56. ^ Crowdstrike Global Threat Report 2020 (PDF). crowdstrike.com. 2020 [2020-12-30]. (原始內容存檔 (PDF)於2020-03-14). 
  57. ^ Kyle Alspach. Microsoft discloses new details on Russian hacker group Gamaredon. VentureBeat. 4 February 2022 [22 March 2022]. (原始內容存檔於6 February 2022). 
  58. ^ 58.0 58.1 Charlie Osborne. Ukraine warns of InvisiMole attacks tied to state-sponsored Russian hackers. ZDNet. 21 March 2022 [22 March 2022]. (原始內容存檔於22 March 2022). 
  59. ^ Warren Mercer; Vitor Ventura. Gamaredon - When nation states don't pay all the bills. Cisco. 23 February 2021 [22 March 2022]. (原始內容存檔於19 March 2022). 
  60. ^ Adversary: Venomous Bear - Threat Actor. Crowdstrike Adversary Universe. [2022-03-22] (美國英語). 
  61. ^ Warren Mercer; Paul Rascagneres; Vitor Ventura. PROMETHIUM extends global reach with StrongPity3 APT. Cisco. 29 June 2020 [22 March 2022]. (原始內容存檔於22 March 2022). 
  62. ^ Equation: The Death Star of Malware Galaxy. Kaspersky Lab. 2015-02-16 [2019-07-23]. (原始內容存檔於2019-07-11). 
  63. ^ Gallagher, Sean. Kaspersky finds Uzbekistan hacking op… because group used Kaspersky AV. arstechnica.com. Ars Technica. 3 October 2019 [5 October 2019]. (原始內容存檔於22 March 2021). 
  64. ^ Panda, Ankit. Offensive Cyber Capabilities and Public Health Intelligence: Vietnam, APT32, and COVID-19. thediplomat.com. The Diplomat. [29 April 2020]. (原始內容存檔於22 March 2021). 
  65. ^ Tanriverdi, Hakan; Zierer, Max; Wetter, Ann-Kathrin; Biermann, Kai; Nguyen, Thi Do. Nierle, Verena; Schöffel, Robert; Wreschniok, Lisa , 編. Lined up in the sights of Vietnamese hackers. Bayerischer Rundfunk. October 8, 2020 [11 October 2020]. (原始內容存檔於22 March 2021). In Bui's case the traces lead to a group presumably acting on behalf of the Vietnamese state. Experts have many names for this group: APT 32 and Ocean Lotus are best known. In conversations with a dozen of information security specialists, they all agreed that this is a Vietnamese group spying, in particular, on its own compatriots. 

延伸閱讀

編輯

參見

編輯