Grupy APT jako długofalowe zagrożenie dla cyberbezpieczeństwa

Podczas panelu pt. „Wyrafinowane, zdeterminowane, dofinansowane. Jak odpierać ataki grup APT?” na konferencji Cyber24 Day poruszono temat funkcjonowania grup APT i zagrożeń z tym związanych.

Według płk Łukasza Jaworskiego z CSIRT MON skuteczna obrona zaczyna się od właściwego modelowania zagrożeń. To proces, w którym organizacja najpierw identyfikuje potencjalnych przeciwników, następnie przypisuje im znane techniki (np. na bazie MITRE ATT&CK), a potem testuje swoje systemy pod kątem odporności na ich działania.

Jaworski podkreślił, że nie chodzi tylko o analizę incydentów po fakcie, lecz o świadome budowanie odporności: emulację adwersarzy, symulację ataków i tworzenie reguł detekcji, które można modyfikować wraz z ewolucją zagrożeń. To podejście zbliża cyberobronę do praktyk wojskowych - najpierw rozpoznanie, potem trening, a dopiero później realne starcie.

Widoczność i sektorowe ukierunkowanie ataków

Marcin Dudek z CERT Polska zwrócił uwagę na problem ograniczonej widoczności. Ataki APT rzadko są masowe - często to operacje ciche i ukierunkowane, które mogą długo pozostawać niezauważone.

Obecnie, jak wyjaśnił, wiele z nich koncentruje się na sektorach cywilnych wspierających Ukrainę, np. w logistyce i transporcie. To pokazuje, że pole walki w cyberprzestrzeni nie ogranicza się do wojska - infrastruktura prywatna staje się pełnoprawnym celem. CERT Polska dysponuje nawet zespołem wyjazdowym, który może wesprzeć organizacje bezpośrednio na miejscu incydentu.

To ważny sygnał: skuteczna obrona wymaga dziś ścisłej współpracy między sektorem publicznym i prywatnym, a także między państwami.

Czas reakcji ma znaczenie

Andrii Davydiuk z CCDCOE zaznaczył, że kluczową różnicą między APT a innymi zagrożeniami jest systematyczność i planowanie działań. Z tego powodu NATO powinno zastanowić się nie tylko nad samymi procedurami reagowania, ale także nad czasem reakcji - jak skrócić drogę od detekcji do działania.

To spostrzeżenie wydaje się szczególnie aktualne w realiach wojny w Ukrainie, gdzie każda godzina opóźnienia w reakcji na cyberatak może przełożyć się na realne straty w logistyce, łączności czy morale.

Phishing i dezinformacja jako broń

Adam Haertle przypomniał, że APT nie ograniczają się wyłącznie do szpiegostwa technologicznego. Przykładem jest grupa UNC1151, odpowiedzialna za kampanie phishingowe przeciwko polskim politykom.

– Zaplecze grup APT wykorzystuje zdobyte informacje także do działań dezinformacyjnych  – zauważył. W praktyce oznacza to, że atak może mieć podwójny cel: kradzież danych i ich późniejsze użycie do manipulacji opinią publiczną.

Atrybucja: od wyzwania do praktyki

Robert Kośla zwrócił uwagę na postęp w obszarze atrybucji ataków. Jeszcze kilka lat temu precyzyjne wskazanie sprawców było praktycznie niemożliwe. Dziś, dzięki wymianie informacji między firmami i instytucjami, a także większej ilości danych technicznych, możliwe jest budowanie solidnych podstaw dowodowych.

Co więcej, rośnie znaczenie aspektu prawnego - decyzja sędziego o blokadzie infrastruktury czy zdejmowaniu domen staje się realnym elementem odpowiedzi na cyberataki. To przesuwa dyskusję z poziomu czysto technicznego na poziom strategiczno-prawny.

Różnorodność aktorów i zmieniająca się taktyka

Robert Lipovský z ESET przypomniał, że grupy APT nie są jednorodne i grupy z Rosji, Chin, Iranu czy Korei Północnej mają odmienne cele i priorytety.

Ekspert zwrócił uwagę, że APT zmieniają narzędzia i metody działania. Nie zawsze są to technicznie skomplikowane ataki - czasem skuteczność zapewniają proste metody, jeśli tylko są dobrze wkomponowane w kontekst operacji. To ważne ostrzeżenie dla obrońców - nie wolno lekceważyć „prostych” wektorów ataku.

AI jako wsparcie w cyberobronie

Bartosz Kamiński z Trend Micro wskazał, że sztuczna inteligencja odgrywa coraz większą rolę w cyberobronie. Jej potencjał to nie tylko analiza danych i predykcja zagrożeń, ale też wsparcie w modelowaniu i regulacji czasu reakcji.

W praktyce oznacza to, że systemy bezpieczeństwa mogą być lepiej przygotowane na ataki, nawet jeśli nie uda się ich całkowicie zatrzymać. Co więcej, AI pozwala analizować podatności i przewidywać, kiedy i jak mogą zostać wykorzystane przez przeciwników.

Wojna w cyberprzestrzeni wymaga współpracy

Z wypowiedzi ekspertów wyłania się spójny obraz: grupy APT są coraz bardziej ukierunkowane, strategiczne i elastyczne. Celują nie tylko w infrastrukturę wojskową, ale także w sektor cywilny, a ich działania łączą elementy cyberataku i operacji informacyjnych.

Obrona przed nimi nie może opierać się wyłącznie na technologii - potrzebne są procedury, szybka reakcja, współpraca międzynarodowa i coraz częściej także narzędzia prawne. AI i zaawansowane modele zagrożeń mogą w tym pomóc, ale fundamentem pozostaje odporność organizacji i gotowość do działania w sytuacji kryzysowej.