Od kilku lat obserwujemy nieprzerwany i znaczny wzrost aktywności cyberprzestępców. Zgodnie z raportem CERT Polska, opublikowanym w kwietniu, rok 2023 możemy uznać za rekordowy. W ubiegłym roku CERT Polska obsłużył ponad 371 tys. zgłoszeń, z czego 210 tys. sklasyfikowano jako incydent cyberbezpieczeństwa. Wzrosła zarówno liczba ataków wycelowanych w osoby prywatne i prostych ataków na przedsiębiorstwa, jak ataków zaawansowanych, w szczególności ataków kierowanych, zwanych także APT (z ang. Advanced Persistent Threat).
Jak wyglÄ…da atak APT?
Ataki typu APT to złożone, długotrwałe i wielostopniowe działania kierowane przeciwko konkretnym osobom, organizacjom lub firmom, wykorzystujące bardzo wyrafinowane metody i zaawansowane technologie do osiągnięcia zaplanowanego celu. Ataki te są realizowane z pobudek politycznych, ideologicznych lub finansowych. Są one najczęściej rozłożone w czasie i dokładnie przygotowane tak, by przełamać zabezpieczenia konkretnego celu, który wybrali cyberprzestępcy.
Przeprowadzenie ataku APT wymaga wyższego stopnia wiedzy, dostosowania i wyrafinowania niż tradycyjny atak. Cyberprzestępcy przeprowadzający takie ataki to zazwyczaj dobrze finansowane, doświadczone zespoły, których celem są organizacje przetwarzające cenne dane lub o znaczeniu strategicznym. Atakujący poświęcają dużo czasu i zasobów, badając i identyfikując luki w zabezpieczeniach i procesach organizacji wytypowanej jako cel ataku APT. Grupy APT bardzo często są wspierane przez rządy państw, a nawet rekrutują swych członków wśród agentów wywiadu danego państwa.
Definicja – co to jest grupa APT
Zgodnie z definicją zawartą w słowniku NIST grupa APT to przeciwnik, który posiada zaawansowany poziom wiedzy specjalistycznej i znaczne zasoby, które pozwalają mu tworzyć możliwości osiągnięcia swoich celów przy użyciu wielu wektorów ataku (np. cybernetycznego, fizycznego i podstępu). Cele te zazwyczaj obejmują ustanowienie i rozszerzenie przyczółków w infrastrukturze IT atakowanych organizacji w celu zdobycia danych, zakłócenia lub utrudnienia krytycznych aspektów ich funkcjonowania; lub pozycjonowanie się do realizacji tych celów w przyszłości.
Zaawansowane trwałe zagrożenie (APT):
- realizuje swoje cele wielokrotnie przez dłuższy czas;
- dostosowuje się do wysiłków obrońców; oraz
- jest zdeterminowane, aby utrzymać poziom interakcji potrzebny do realizacji swoich celów.
Grupy APT atakujÄ…ce cele w Polsce i Europie
Organizacje działające w ramach społeczności cyberbezpieczeństwa prowadzące badania i analizujące aktywność grup APT przypisują nazwy/numery do poszczególnych grup APT po ich identyfikacji lub wykryciu. Ponieważ więcej niż jedna organizacja angażuje się w przedmiotowe badania, mogą się one nakładać na siebie, a pojedyncza grupa APT może mieć wiele nazw.
W Polsce od momentu wybuchu wojny w Ukrainie obserwowane jest znaczne nasilenie się aktywności grup APT, również tych powiązanych z obcymi państwami, w tym Rosją i Białorusią. Większość kampanii prowadzonych przez te grupy ma na celu pozyskanie cennych informacji, ale w ubiegłym roku zdarzały się także ataki, których celem było zakłócenie ciągłości działania firm funkcjonujących w wielu obszarach gospodarki.
Wybrane przykłady grup ATP aktywnych w Polsce i Europie w 2023
UNC1151/Operation Ghostwriter/ TA445 — grupa APT powiązana z rządem Białorusi oraz powiązania z rosyjskimi służbami specjalnymi. Celami ataków są głównie osoby związane z polityką i wojskowością oraz mogące mieć pośredni związek z Rosją i Białorusią, np. tłumacze przysięgli języka rosyjskiego, prawnicy, pracownicy organizacji pozarządowych, księża prawosławni czy dziennikarze.
W 2023 większość obserwowanej aktywności grupy UNC1151 na terenie Polski była związana z dystrybucją szkodliwego oprogramowania oraz dezinformacją np. związane z rzekomymi ćwiczeniami wojskowymi przy granicy z Ukrainą, brakiem jodku potasu w aptekach, zagrożeniem terrorystycznym na terenie Polski czy rekrutacją do wojska. Eskperci oceniają, że głównym celem tych działań miało być podzielenie społeczeństwa i wprowadzenie poczucia niepewności.
APT28/ Sofacy/ Fancy Bear/ Sednit/ Group 74 — grupa APT, która przypisana do rosyjskich służb specjalnych, aktywna od co najmniej 2004 roku. APT28 stara się gromadzić informacje, wykazywała zainteresowanie rządami i organizacjami bezpieczeństwa w Europie Wschodniej. Celem działań grupy jest zapewnienie rosyjskiemu rządowi możliwości przewidywania intencji decydentów i oceny ich zdolności do wpływania na opinię publiczną.
Grupa wybierała na swe cele organizacje funkcjonujące w sektorach motoryzacji, lotnictwa, przemysłu chemicznego, budownictwa, obronności, edukacji, energetyki, inżynierii, finansów, opieki zdrowotnej, przemysłu, IT, ropy i gazu. Ponadto atakowała ambasady, media, organizacje pozarządowe, think tanki i organizacje wywiadowcze.
APT29/ Cozy Bear/ The Dukes/ Group 100 — to grupa APT, która została przypisana rosyjskiej Służbie Wywiadu Zagranicznego (SVR), która od co najmniej 2008 roku koncentruje się na gromadzenia danych wywiadowczych wspierających podejmowanie decyzji w zakresie polityki zagranicznej i bezpieczeństwa Rosji. Celem APT29 są przede wszystkim zachodnie rządy i powiązane z nimi organizacje, takie jak ministerstwa i agencje rządowe, polityczne ośrodki analityczne, sektor lotniczy, finansowy, zdrowotny, organizacje pozarządowe, media, telekomunikacja i transport. Ich cele obejmowały również rządy członków Wspólnoty Niepodległych Państw, rządy azjatyckie, afrykańskie i bliskowschodnie, organizacje związane z ekstremizmem czeczeńskim oraz rosyjskich mówców.
Mustang Panda/Bronze Presiden/TEMP.Hex/ HoneyMyte – grupa powiązana z Chinami, koncentrująca się na dobrze przygotowanych kampaniach spearphishingowych, które wykorzystywały języki ojczyste celów do podszywania się pod organizacje świadczące usługi rządowe. W ramach kampanii grupa wykorzystywała bieżące wydarzenia międzynarodowe, takie jak COVID-19 i konflikt rosyjsko-ukraiński. zagraniczne rządy, organizacje pozarządowe i inne organizacje uważane za wrogów chińskiego reżimu komunistycznego. W sferze zainteresowania grupy znajdują się europejskie kraje takie jak Belgia, Bułgaria, Czechy, Francja, Niemcy, Grecja, Węgry, Słowacja, Szwecja, Wielka Brytania. Grupa jest aktywna od 2012 roku.
Jak bronić się przed APT?
By skutecznie przygotować się na taki incydent organizacja lub firma musi przede wszystkim być świadoma tego, w jakim stanie znajduje się jej infrastruktura IT, gdzie znajdują się słabe punkty, które mogą zostać wykorzystane przez tak zaawansowanego przeciwnika, jakim są Grupy APT. Słabym punktem mogą być podatności, błędy konfiguracyjne, ale także źle funkcjonujące lub udokumentowane procesy, a także luki w monitorowaniu środowiska organizacji.
Od czego zacząć? Rekomendacje dla organizacji
Zazwyczaj rekomendujemy naszym Klientom podjęcie poniższych działań:
- identyfikacja listy ryzyk dla organizacji (na bazie inwentaryzacji procesów, infrastruktury wraz z istniejącymi w niej podatnościami i wykorzystywanych technologii).
- określenie prawdopodobieństwa przeprowadzenia cyberataku na organizację oraz identyfikacja potencjalnych atakujących.
- określenie konsekwencji jakie poniesie organizacja w przypadku przeprowadzenia udanego cyberataku.
- identyfikacja i klasyfikacja stopnia krytyczności zidentyfikowanych podatności, luk i ryzyk
- przygotowanie planu naprawczego/planu postepowania.
Powyższe działania rozpoczynamy od modelowania zagrożeń. Podstawowym jego celem jest identyfikacja wektorów potencjalnego cyberataku na organizację, a tym samym słabych punktów (podatności), a następnie ich priorytetyzacja pod kątem stopnia zagrożenia. Modelowanie zagrożeń uwzględnia charakterystykę konkretnej organizacji (branżę, sektor, regulacje prawne itp.).
Modelowanie zagrożeń najczęściej przeprowadzamy z wykorzystaniem frameworku MITRE ATT&CK, ponieważ odwzorowuje on działania jakie atakujący będzie starał się wdrożyć w środowisku naszych Klientów. Dysponując raportem z przeprowadzonego modelowania zagrożeń i identyfikacji istniejących podatności w infrastrukturze, organizacja może podjąć decyzję, jakie działania należy podjąć w pierwszej kolejności.
Kluczowe do zareagowania na cyberatak jest posiadanie wiedzy o tym, że mamy do czynienia z atakiem właśnie. Tym samym musimy stale monitorować nasze środowisko. Oznacza to konieczność wdrożenia systemów, które umożliwią wczesne wykrycie i zareagowania już na pierwsze symptomy cyberataku. Kolejnym wyzwaniem jest tutaj korelacja zdarzeń rejestrowanych w środowisku oraz ich analiza, a także możliwość skonfigurowania automatycznej odpowiedzi na potencjalny incydent. Istnieje wiele rozwiązań umożliwiających przeprowadzenie takich działań.
Niestety w większości przypadków wymaga to wdrożenia kilku rozwiązań, a tym samym konieczność weryfikowania zdarzeń w kilku miejscach – w różnych konsolach, co może stanowić problem dla personelu zajmującego się cyberbezpieczeńtwem. Istnieje tylko kilka rozwiązań oferujących wiele z wymienionych powyżej funkcjonalności w jednej konsoli. Do tego typu produktów należy polska platforma SecureVisio zawierająca moduły SIEM, UEBA, SOAR, Vulnerability Management, IT GRC, E-documentation (CMDB).
Piotr Kępski, inżynier cyberbezpieczeństwa
O autorze: Piotr Kępski zajmuje się modelowaniem zagrożeń w cyberprzestrzeni oraz TTP (techniki, taktyki i procedury) w cyberatakach. Audytor wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji wg normy ISO/IEC 27001. Posiada doświadczenie we wdrażaniu polityki ochrony informacji oraz w planowaniu i wdrażaniu polityk bezpieczeństwa infrastruktury i informacji cyfrowej. Jako członek Fundacji Bezpieczna Cyberprzestrzeń aktywnie działa na rzecz wzmacniania świadomości w obszarze zagrożeń pochodzących z cyberprzestrzeni. Pasjonat strzelectwa, planszówek oraz gier MMO i RPG.