APT jakie jest każdy widzi

W ostatnich latach zauważalnie wzrasta częstotliwość i skala szkodliwych działań w cyberprzestrzeni prowadzonych przez wykorzystujących nowoczesne technologie komunikacyjne i zasobnych finansowo i intelektualnie aktorów. Podmioty te są zwykle nazywane Advanced Persistent Threats (APT), a o niektórych z nich – jak choćby o Stuxnet – słyszało wiele osób niezwiązanych z tematyką bezpieczeństwa cyberprzestrzeni. Tymczasem pojęcie to jest bardzo niejednoznaczne i rozmyte. Odnosi się bowiem zarówno do oprogramowania tworzonego przez instytucje państwowe, jak i niepaństwowe. Może mieć charakter szpiegowski, ale również i destrukcyjny, a jego ofiarami padają zarówno organy administracji rządowej, jak i firmy prowadzące działalność komercyjną.

Definiowanie APT

         Już samo zdefiniowanie pojęcia APT nastręcza trudności. Gdzie je umiejscowić w krajobrazie szkodliwego oprogramowania? Jedną z możliwych perspektyw jest model piramidy. U podstawy zawiera on to, co tradycyjnie uznajemy za cyberprzestępczość. Motywowane korzyściami finansowymi trojany bankowe, botnety, czy oprogramowanie ransomware stanowią znaczącą większość zagrożeń. Kolejny poziom to zagrożenia dla organizacji – zarówno komercyjnych, jak i nie – a ich celem jest kradzież informacji lub własności intelektualnej, której głównym motywem nie jest korzyść finansowa. Co ciekawe, analitycy firmy Kaspersky Lab na tym poziomie umieścili również oprogramowanie szpiegujące wykorzystywane przez organy ścigania, wymieniając z nazwy firmę Hacking Team, z której usług korzystały również polskie instytucje. Wreszcie, na szczycie, znajdujemy tworzoną i finansowaną w mniej lub bardziej bezpośredni sposób przez państwa, cyberbroń. Na tym tle APT z pewnością kwalifikują się do kategorii najwyższej, a częściowo do środkowej.

         Raport Roczny 2015 przygotowany przez CERT Polska stwierdza, że jest „to nazwa nadawana zaawansowanym technicznie atakom teleinformatycznym na cele polityczne, ekonomiczne, techniczne i wojskowe.” Bazując na anglojęzycznej definicji autorzy raportu wskazują, że takie ataki mają trojaki charakter. Po pierwsze - zaawansowany (advanced), czyli wykorzystują zróżnicowany i ciągle ewoluujący arsenał luk, podatności oraz malware w celu przełamania zabezpieczeń. Po drugie – ciągły, uporczywy (persistent), co  oznacza, że ich celem jest długotrwała i stała obecność w sieci przeciwnika. Po trzecie – jest to zagrożenie (threat).  Jego twórcy dysponują odpowiednią bazą intelektualną, finansową i materialną do przeprowadzenia długotrwałej operacji, która będzie trwała tak długo jak motywacja do jej realizacji. Wreszcie, trzeba podkreślić, że działania APT nie są automatycznie wykonującym się kodem, lecz wymagają ciągłej koordynacji przez czynnik ludzki.

         W związku z dość szerokim zakresem pojęciowym używanych terminów powstają różne definicje tego zjawiska. Warto przytoczyć choćby niektóre z nich. APT to grupa hakerów, z wysokimi umiejętnościami i dostępem do różnorakich zasobów (finansowych, sprzętowych), których zasadniczym celem pracy jest przedostanie się do sieci komputerowej w celu kradzieży bądź sabotażu danych. APT to atak, w którym użytkownik pozbawiony autoryzacji uzyskuje dostęp do sieci i niezidentyfikowany pozostaje w niej przez dłuższy czas. Wreszcie APT to również operacje szpiegowskie, prowadzone częściowo przy użyciu malware.

         Realizacja złożonego zadania, jakim jest APT, ma charakter dynamiczny i leży na przecięciu pomiędzy oczekiwaniami zleceniodawców, wymaganiami i dostępnymi zasobami strony atakującej oraz specyfiką systemów strony defensywnej. Tego typu działania ofensywne dzielą się na sześć etapów: gromadzenie informacji, określanie punktu wejścia, komunikacja z serwerami C&C, ruch poziomy i propagacja w sieci, wykrywanie zasobów i kradzież danych. Upraszczając można powiedzieć, że zasadnicze fazy są cztery: 1) wstępna infekcja; 2) instalacja dalszych komponentów szkodliwego oprogramowania; 3) rozpoznanie sieci oraz 4) kradzież informacji.

Klasyfikacja APT

         W języku polskim termin APT jest zazwyczaj stosowany wymiennie z pojęciem „ataku ukierunkowanego”, natomiast w krajach anglojęzycznych trwa spór co do zasadności wymiennego stosowania obu pojęć. Niektórzy traktują APT jako specyficzny wymiar ataku ukierunkowanego. Różnica ma tkwić w motywacji – te pierwsze mają charakter „dogmatyczny” ze względu na swój polityczny kontekst, podczas gdy te drugie „pragmatyczny” przez wzgląd na motywację komercyjną. Idąc tym tokiem myślenia, celem APT jest utrzymanie nieujawnionej obecności w sieciach przeciwnika, podczas gdy atak ukierunkowany utrzymuje ją tylko do momentu osiągnięcia swego celu. Inną różnicą ma być fakt, że (motywowane komercyjnie) ataki ukierunkowane uciekają się do stosowania socjotechniki, ponieważ brak im dostępu do danych wywiadowczych, dostępnych dla aktorów państwowych.

         Inne podejście postuluje rozróżnienie na bazie unikatowości oprogramowania. Z tej perspektywy APT to unikatowe, kreowane przez instytucje państwowe aplikacje, podczas gdy ataki ukierunkowane to działania przestępcze, bazujące na narzędziach dostępnych w cyberprzestępczym podziemiu. Innymi słowy APT to „krojone” pod konkretnego przeciwnika narzędzia, podczas gdy ataki ukierunkowane mają szerszy zakres celów. Wreszcie warto zauważyć, że i APT dzielą się na mniej i bardziej wyspecjalizowane – co widać po liczbach infekcji. Podczas gdy niektóre osiągają liczbę kilku tysięcy zainfekowanych maszyn, inne były używane do ataków na ledwie kilkadziesiąt stanowisk. To zaś prowadzi do kolejnego – choć nie tożsamego z powyższym - rozróżnienia według kryterium zdolności do samoreplikacji. Podczas gdy niektóre się same propagują w sieciach komputerowych, inne tego nie wykonują. Wreszcie możemy dokonać podziału pod względem celu operacji. Patrząc z tej perspektywy mamy do czynienia z trzema rodzajami APT: destruktorami (niszczącymi dane cyfrowe), oprogramowaniem szpiegowskim (wykradającym dane) oraz cybersabotażem (niszczącym urządzenia fizyczne).

         Co wskazuje na budowę APT głównie przez aktorów państwowych? Jedna z firm zajmujących się cyberbezpieczeństwem wskazuje na dwie cechy – dobrze zaprojektowany kod źródłowy oraz brak śladów tychże aplikacji na czarnym rynku software'u. Tymczasem ich zaprojektowanie i napisanie wymaga pracy zespołu wysoko wykwalifikowanych specjalistów, na których utrzymanie pozwolić sobie mogą jedynie państwa. Za przykład służy wspomniana już firma Hacking Team, której produkty były sprzedawane za setki tysięcy euro, podczas gdy stworzenie APT Duqu 2.0 i przeprowadzenie ataku na firmę Kaspersky Lab zostało wycenione przez jej założyciela na około 10 mln USD. Na budowanie takich wewnętrznych zespołów stać tylko aktorów państwowych – a przykład wysokiej popularności włoskiego oprogramowania, które zakupiło ponad 20 państw, dowodzi, że i tak nie wszystkich.

Analityka APT

         Wraz z upowszechnieniem się ataków APT coraz więcej instytucji i firm zajmuje się ich analizą, a wśród nich istotną rolę odgrywają podmioty prywatne. Okazuje się jednak, że wiele firm zajmujących się ich badaniem nie bierze pod uwagę wszystkich konsekwencji swoich prac nad oprogramowaniem szpiegującym. Jedną z nich jest to, że firmy z sektora cyberbezpieczeństwa analizując APT wchodzą w rolę pośredników danych wywiadowczych, a tym samym wkraczają w obszar działania służb specjalnych. Różnice i podobieństwa między analityką APT komercyjną i państwową były przedmiotem jednego z wystąpień na konferencji Virus Bulletin 2015.

         Ze względu na charakter analizy podmioty prywatne przyjmują cykl pracy zbliżony (choć nie tożsamy) do służb wywiadowczych. Różnice są widoczne już na etapie złożenia zapotrzebowania, które w strukturach państwowych jest określane przez polecenie służbowe. W podmiotach prywatnych analiza zaczyna się nierzadko od przypadkowego fragmentu szkodliwego oprogramowania bądź odpowiedzi na żądanie pomocy klientowi. Tym niemniej, jak zwracają uwagę szwedzcy oficerowie, wydanie odpowiedniego polecenia w instytucjach rządowych w omawianym obszarze powinno być poparte specjalistyczną wiedzą. W procesie zbierania danych różnica polega na tym, że instytucje prywatne nie mają dostępu do źródeł HUMINT (wywiadu opartego na źródłach osobowych, czyli agenturze – przyp. red.). Na etapie analizy przeszkodą jest zbyt wąska specjalizacja firm, która nie uwzględnia wymiaru geopolitycznego. Ponadto analiza komercyjna może celowo pomijać wyniki niewygodne dla przyszłych lub obecnych klientów. Wreszcie, znaczące rozbieżności znajdujemy w procesie dystrybucji. W przypadku instytucji komercyjnych tym etapem działania najczęściej kierują działy sprzedaży lub marketingu, które nierzadko pomijają w swych kalkulacjach strategiczne konsekwencje ujawnienia wrażliwych danych. Proces dystrybucji może objąć nie tylko rzeczywiste ofiary, ale i inne podmioty sektorowe potencjalnie narażone na badane APT. Na samym końcu, pozbawiony danych identyfikujących zleceniodawcę, raport może zostać ujawniony w celu zdobycia nowych klientów bądź podniesienia reputacji firmy badającej sprawę.  Tymczasem ujawnienie operacji może narazić na szwank jej ciągłość, a nawet zagrozić samemu zaatakowanemu. Wśród konsekwencji, jakie mogą ponieść firmy sektora infosec,  jeśli dokonają niewłaściwej oceny co, kiedy i komu ujawnić - są reperkusje polityczne, finansowe i regulacyjne lub utrata kontraktów rządowych. Postulowanym rozwiązaniem obecnej sytuacji jest zatem zaniechanie podawania do wiadomości publicznej informacji o prowadzonych badaniach i wprowadzenie procesu certyfikowania firm infosec przez organy bezpieczeństwa lub instytucje akademickie.

Ewolucja APT

         Prognozowane zmiany wydają się stać w sprzeczności z dotychczasową praktyką korzystania z APT przez państwa. Po pierwsze, w związku z dużą „popularnością” tego zjawiska pojawiają się grupy tworzące takie oprogramowanie „do wynajęcia”, czyli prowadzące swego rodzaju outsourcing. Z jednej strony ma to skutkować korzystaniem przez poważnych aktorów APT z usług wyżej wymienionych grup przy tworzeniu komponentów swego oprogramowania. Z drugiej strony mamy być świadkami powstania modelu APT w formie „dostęp jako usługa”, czyli sprzedaży dostępu do zinfiltrowanych sieci. Wydaje się, że takie rozwiązanie może być atrakcyjne tylko w przypadku krajów, które na własne APT pozwolić sobie nie mogą. Po drugie prognozy przewidują zmniejszenie nacisku na długotrwałość i zaawansowanie APT poprzez położenie akcentu na „ukrywalność” np. poprzez zastosowanie oprogramowania ukrywającego się w pamięci w celu uniknięcia detekcji. Mniejsza rola „zaawansowania” malware ma przyczynić się do powstania swego rodzaju rynku APT, które raz użyte i odkryte będą nadawały się do ponownego zastosowania. Dzięki temu trudno będzie wykryć określonych klientów wśród przypuszczalnie licznej grupy użytkowników.

Podsumowanie

         Jak wynika z powyższej analizy, krajobraz APT jest nadzwyczaj rozległy i zróżnicowany. Obejmuje on a) ataki trwałe, ale przeprowadzane za pomocą niezaawansowanych narzędzi, b) zaawansowane, lecz nie uporczywe, c) o szerokim zasięgu geograficznym, ale nakierowane na wąską grupę docelową, jak również d) ataki ukierunkowane, które mają dosięgnąć szeroką grupę celów. APT przypomina zatem słonia w pokoju, który co prawda został zidentyfikowany, ale jest tak duży, że każdy obserwator widzi tylko jego część. Zatem chociaż pojęcie to jest szeroko stosowane w mediach ze względu na wygodę i nośność, to jego wartość badawcza wydaje się maleć i bywa już kwestionowana w kręgach analityków infosec. Oprogramowanie tego typu staje się tak zróżnicowane, że być może to pojęcie zostanie wkrótce porzucone na rzecz bardziej precyzyjnych określeń, które również pozwolą na lepszy podział zadań ochronnych pomiędzy służby państwowe i prywatne firmy. ochronnych między służby państwowe i firmy prywatne.

Maciej Hacaga jest członkiem Zespołu Młodych Naukowców przy Komitecie Prognoz PAN „Polska 2000 Plus”. Absolwent London School of Economics i Uniwersytetu Wiedeńskiego w ramach programu Erasmus Mundus Global Stiudies, a także Instytutu Stosunków Międzynarodowych Uniwersytetu Warszawskiego.