Evoluţia accelerată a sistemelor informatice a adus cu sine o nouă ameninţare asimetrică, ce se poate regăsi în cele mai neaşteptate domenii, respectiv APT (Advanced Persistent Threat). Nu s-a formulat cu exactitate o definiţie care să cuprindă întregul fenomen, dar acesta poate fi caracterizat ca fiind un atac informatic ultra-sofisticat prin care o entitate obţine accesul neautorizat la un sistem-ţintă, atacul rămânând, pentru o perioadă de timp îndelungată, neidentificat. Scopul unui atac de acest tip este de a fura informaţii, de a spiona şi mai puţin de a cauza distrugeri firmei sau persoanei fizice vizate. Vorbim, pe scurt, despre „spionaj cibernetic“.
Exploit-uri zero-day
În cazul unui APT, se va putea observa că iniţiatorul dispune de fonduri financiare de excepţie şi este asistat, în general, de o întreagă echipă care realizează, de fapt, întreaga logistică necesară lansării atacului. Această echipă utilizează unelte sofisticate, respectiv exploit-uri zero-day (o vulnerabilitate care poate trece nedetectată de protecţia sistemelor antivirus), fiind evidenţiată perseverenţa atacatorului şi complexitatea codurilor maliţioase. Acest atac poate fi clar diferenţiat de unul simplu, lansat de către un singur hacker sau de mici grupuri de script kiddies, în care sunt utilizate coduri care există deja pentru a penetra un sistem IT.
Primul atac informatic cunoscut, ce a avut ca scop exfiltrarea datelor dintr-o instituţie de cercetare în domeniul militar, a avut loc în anii 1980 şi a fost denumit „the Cuckoo’S egg“. Acest incident a fost considerat un semnal de alarmă în comunitatea IT în ceea ce priveşte potenţialul atacurilor informatice şi a vulnerabilităţilor existente în reţelele informatice. Acest prim şi rudimentar APT a fost iniţiat de un student dintr-o universitate din Germania de Vest, Markus Hess, care vindea informaţiile obţinute serviciului sovietic de informaţii, KGB.
Evoluţia APT
La început, APT au fost lansate doar pentru furtul de informaţii confidenţiale, iar succesul unor astfel de atacuri a creat premisele concentrării pe realizarea unor instrumente mai sofisticate şi mai performante. În acest fel au apărut „pe piaţă“ atacuri cu scop de distrugere, fiind exemplificative:
– viermele informatic Stuxnet, a cărui misiune a fost să defecteze centrifugele din centralele nucleare ale Iranului;
– atacul asupra sistemului naţional de energie al Ucrainei, în urma căruia peste 80.000 de consumatori au rămas fără curent electric.
O altă caracteristică programată a APT, care poate fi activată de atacator, este cea de wiper – program informatic ce şterge definitiv datele de pe sisteme. Acest tip de unealtă, precum Shamoon sau StoneDrill, a fost identificată mai ales în ţările arabe şi a vizat, cu preponderenţă, companiile petroliere.
De asemenea, au mai fost lansate atacuri informatice asupra organizaţiilor financiare în scopul furtului unor sume mari de bani, un exemplu relevant fiind atacul din luna februarie a anului 2016, atribuit grupului Lazarus din Coreea de Nord, care a reuşit să extragă ilegal 81 de milioane de dolari din conturile băncii centrale a statului Bangladesh, printr-o schemă care a implicat inclusiv Federal Reserve Bank of New York.
Şi totuşi, pericolul cel mai mare din partea noilor versiuni de APT vine din utilizarea de viruşi informatici rezidenţi doar în memoria RAM a sistemului, prin folosirea de scripturi PowerShell care seamănă foarte mult cu activităţile realizate în mod legitim de administratorii reţelei. Acest lucru îngreunează considerabil identificarea de către programele antivirus a viermelui sau analiza ulterioară a consecinţelor atacului, având în vedere că malware-ul rezident în memorie creează mult mai puţine log-uri pe sistemele informatice decât viruşii tradiţionali.
Un dezavantaj al atacatorului, cel puţin până în prezent, este că după restartare acesta este nevoit să reinfecteze ţinta deoarece virusul nu poate rezista la repornirea sistemului, când se realizează actualizarea şi reiniţializarea tuturor aplicaţiilor existente.
APT ascunse în firmware
Un nivel ridicat de periculozitate prezintă şi APT ascunse în firmware. Unul dintre cele mai puternice grupuri de hackeri din lume, Equation, a reuşit crearea unor unelte informatice deosebit de performante care ţintesc tocmai firmware-ul de pe un hard disk aflat în exploatare. Aşa cum este ştiut, un hard disk este alcătuit, în principiu, din două mari componente (un spaţiu de memorie şi un microcip ce controlează procesul de scriere şi citire a discului), asociate însă cu multe servicii şi proceduri cum ar fi: detecţia erorilor, corecţia lor sau alocarea spaţiului fizic unde se scrie. Aceste servicii şi proceduri sunt foarte complexe, iar microcip-ul rulează propriul lui program, independent faţă de sistemul de operare, denumit firmware.
Acest tip de malware, de un nivel foarte ridicat, este extrem de rar tocmai datorită competenţelor pe care trebuie să le aibă creatorul său.
Acesta trebuie să fie un foarte bun cunoscător al programării, dar şi al activităţilor unui hacker (blackhat). Malware-ul ce ţinteşte firmware-ul este practic nedetectabil fiind deosebit de periculos prin abilitatea de a rezista la formatare. În plus, acest malware va fi găsit pe foarte puţine sisteme, el fiind utilizat doar în cazul ţintelor de importanţă deosebită, în această situaţie neputând fi studiat în laborator, „la rece“ cum s-ar spune.
Cine este în spatele APT
Conform Kaspersky, „în anul 2017 sunt prezente pe scena mondială a atacurilor informatice mai mult de 100 de grupuri ce lansează periodic APT. Este clar că majoritatea sunt state, dar şi grupuri de hackeri sponsorizaţi de state. Atribuirea unui atac informatic APT este extrem de dificilă, atacatorii folosind diverse tehnici pentru a-şi ascunde identitatea, cum ar fi proxy-uri, buletproof hosting sau diverse cuvinte „uitate“ în cod pentru a trimite echipele de investigatori pe piste greşite. Este o practică uzuală aceea de a lăsa unele comentarii scrise într-o anumită limbă pentru a trimite anchetatorii către o altă ţară decât cea de provenienţă a malware-ului”.
Putem fi chiar noi ţinta unui atac de tipul APT?
Este dificil de răspuns la o asemenea întrebare, dar cercetând istoria atacurilor putem observa că cele mai multe au vizat instituţii ale statelor sau diverse companii importante şi au avut scopuri politice, militare şi economice.
În unele cazuri au fost vizate şi diverse personalităţi, majoritatea celor atacaţi fiind oameni influenţi, cu funcţii în administraţie, ministere, formatori de opinie, directori de multinaţionale, cercetători sau lideri de state, dar au fost identificate fişiere maliţioase de tipul APT şi pe sistemele informatice ale unor oameni aparent obişnuiţi, fără posibilităţi de a influenţa opinia publică, cum ar fi învăţători sau chiar persoane casnice. Nu este cunoscut dacă sistemele informatice ale acestor persoane au fost infectate din greşeală sau au avut un rol, încă necunoscut, în demersul atacatorilor.
Cum ne putem proteja de APT
În mod cert, nici o soluţie antivirus sau update al sistemului de operare nu ne poate garanta o protecţie de 100% împotriva APT, dar, cu siguranţă, actualizările periodice şi prezenţa unui antivirus cu licenţă pe sistemul de operare va îngreuna considerabil munca atacatorilor.
Abstract
The purpose of Advanced Persistent Threat (APT) attacks is not the destruction of a person or an organisation, but the stealing of sensitive data. In this technology dependent era, blackhat hackers target specific people or organizations, intending to hit in a manner that creates a cloud of confusion which permits the implementation of hi-tech malware. There is no 100 per cent protection against APT, but licenced antivirus solutions and regularly operating systems updates would hinder attacker’s enterprise.
Autori: Aurelian Costea şi Adrian Ene
