W cieniu cyberwojny. Jak wyglądają operacje grup APT?

Mikołaj Rogalewicz, CyberDefence24: Czym właściwie są grupy APT?

Robert Lipovsky, ESET: Skrót APT oznacza Advanced Persistent Threats, czyli „zaawansowane trwałe zagrożenia”. Termin ten narodził się już dość dawno temu. Dziś nie wszystkie grupy działające w sieci rzeczywiście zasługują na miano „zaawansowanych”, ale „trwałość” nadal doskonale je opisuje.

Mówiąc o APT, niezależnie od pierwotnego znaczenia akronimu, mamy na myśli wyspecjalizowanych aktorów zagrożeń - zazwyczaj wspieranych lub kontrolowanych przez państwa. Ich celem są podmioty o strategicznym znaczeniu dla tych państw.

Najczęściej chodzi o cyberszpiegostwo na poziomie państwowym, ale motywacje bywają różne: od przygotowywania gruntu pod przyszłe operacje, po cybersabotaż – niektóre z tych grup faktycznie je przeprowadzają.

Jak finansowane są grupy APT?

Jak wspomniałem, większość grup APT, które monitorujemy, jest powiązana z konkretnymi państwami. Zdecydowana większość z nich działa na rzecz Rosji, Chin, Iranu oraz Korei Północnej. To tzw. „wielka czwórka” z naszej perspektywy.

Te grupy są zazwyczaj finansowane przez rządy. W praktyce wiele z tych grup funkcjonuje jako część struktur wywiadowczych. Dobrym przykładem jest grupa Sandworm, znana z powiązań z rosyjskim wywiadem wojskowym GRU. 

Korea Północna to pewien wyjątek. W przeciwieństwie do pozostałych krajów, uważa się, że grupy muszą samodzielnie finansować swoje operacje. Dlatego tak duża część ich działalności to cyberprzestępczość - nie tylko ataki motywowane politycznie, ale również finansowo. W ten sposób zdobywają środki na potrzeby państwa.

Różnice w działaniu grup APT

Jak zmienił się charakter działań grup APT na przestrzeni ostatnich lat?

Grupy APT zdecydowanie dojrzały i ewoluowały z biegiem czasu. Jednym z głównych trendów, które obserwujemy w ciągu ostatnich kilkunastu lat, jest zacieranie się granicy między grupami cyberprzestępczymi a grupami APT wspieranymi przez państwa. Jeszcze 15 lat temu ta granica była dość wyraźna. Dziś jest znacznie mniej oczywista.

Dotyczy to nie tylko motywacji, np. Korea Północna łączy szpiegostwo z chęcią zysków, ale też technik ataków. Kiedyś uważano, że APT-y są bardziej zaawansowane technicznie niż grupy przestępcze, ale to już niekoniecznie prawda. Czasem to właśnie grupy cyberprzestępcze operują na wyższym poziomie technicznym.

Zresztą, inspiracja działa w obie strony. Cyberprzestępcy uczą się od APT, a te z kolei coraz częściej korzystają z usług dostępnych w przestępczym ekosystemie. Dobrym przykładem są tzw. initial access brokers - specjaliści od przełamywania zabezpieczeń, którzy sprzedają dostęp do zainfekowanych sieci. APT coraz częściej korzystają z takich „usług” w celu optymalizacji swoich operacji.

Czym różnią się grupy APT działające w Rosji, Korei Północnej i Iranie?

Różnic jest wiele, zwłaszcza jeśli chodzi o cele ataków. Każde z tych państw ma inne priorytety strategiczne, co przekłada się na wybór celów przez ich grupy APT. Weźmy na przykład Chiny - choć ich nie wymieniono w pytaniu, to dobry przykład. Około 15 lat temu chińskie APT skupiały się głównie na krajach sąsiednich i Azji Południowo-Wschodniej. Dziś działają globalnie - podobnie jak Rosja, Korea Północna czy Iran.

Rosyjskie grupy APT przede wszystkim koncentrują się na Ukrainie, ale prowadzą też intensywne działania przeciwko krajom NATO i organizacjom europejskim. Polska znajduje się często na celowniku rosyjskich cyberprzestępców.

Korea Północna jest wyjątkowa - zarówno pod względem wyboru celów, jak i stosowanych taktyk. Jedna z bardziej nietypowych metod to podszywanie się pod specjalistów IT. To temat, który regularnie pojawia się w mediach. Często przedstawiają się jako programiści lub aplikują na zdalne stanowiska, by uzyskać dostęp do infrastruktury ofiary.

Iran, jak można się domyślić, skupia się głównie na Izraelu. Ale irańskie grupy APT atakowały też Stany Zjednoczone i inne kraje poza Bliskim Wschodem. Mimo że każde z tych państw ma swój główny kierunek działań, obserwujemy coraz szerszy zakres operacji APT. Jeśli chodzi o techniki, trudno generalizować - liczba grup jest ogromna - ale jedno jest pewne: wszystkie z nich działają coraz bardziej profesjonalnie i metodycznie.

Czy grupy APT działają głównie w państwach autorytarnych? A jeśli nie, to gdzie jeszcze są aktywne?

Myślę, że można z pełnym przekonaniem powiedzieć, że każde rozwinięte państwo posiada dziś zarówno cyberobronę, jak i cyberofensywę. Dlatego nie byłoby uczciwe stwierdzić, że grupy APT działają tylko w państwach autorytarnych. 

Oczywiście różne kraje mają różne zasady prowadzenia operacji, różne reguły zaangażowania. Ale tak - APT są wszędzie.

Czym różnią się grupy APT od grup ransomware?

To bardzo dobre pytanie. Obecnie techniki stosowane przez te dwa typy grup coraz bardziej się pokrywają. Choć motywacje są inne - APT działają głównie w celach szpiegowskich, a grupy ransomware dla zysku - to metody infiltracji bywają bardzo podobne.

Obie grupy mogą wykorzystywać podobne techniki, by dostać się do infrastruktury ofiary. Natomiast różni je struktura działania. Grupy APT są zazwyczaj powiązane z agencjami wywiadowczymi i działają w sposób scentralizowany, zgodnie z określoną misją.

Z kolei model działania grup ransomware to dziś Ransomware-as-a-Service. Zazwyczaj istnieje dostawca, który zapewnia narzędzia i infrastrukturę - w tym portale do publikacji wykradzionych danych - a następnie współpracuje z tymi, którzy przeprowadzają same ataki. Niektóre grupy mają nawet osobne zespoły odpowiedzialne za negocjacje. To w zasadzie ekosystem przestępczy o charakterze biznesowym.

Działalność APT przeciwko Polsce

Jak wygląda skala działalności grup APT wobec Polski z perspektywy ESET?

Polska jest częstym celem grup APT pochodzących z różnych części świata. Jeszcze pięć lat temu większość ataków pochodziła ze strony grup powiązanych z Rosją. Dziś sytuacja jest znacznie bardziej złożona - atakują także grupy powiązane z Chinami, Koreą Północną, Białorusią, a Rosja oczywiście nadal pozostaje aktywna. Mapa zagrożeń istotnie się rozszerzyła.

W jakim kierunku najczęściej zmierzają ataki APT na Polskę? Czy dotyczą one bardziej sektora publicznego, czy prywatnego?

Oba sektory są na celowniku. Obserwujemy ataki zarówno na firmy prywatne, jak i instytucje publiczne - od ministerstw na poziomie centralnym po urzędy regionalne i lokalne. Zakres celów jest bardzo szeroki.

Które APT są najgroźniejsze?

Które grupy APT należy uznać za najgroźniejsze lub mające największy potencjał - rosyjskie, chińskie, a może inne?

To trudne pytanie. Nie chcę nikogo lekceważyć - nawet grupy technicznie mniej zaawansowane często osiągają swoje cele.

Wyrafinowanie może przejawiać się na różne sposoby. Niektóre grupy tworzą zaawansowane narzędzia malware, inne opierają się na sprytnej inżynierii społecznej.

Na przykład rosyjskie grupy APT często stosują spear phishing, wykorzystując lokalne wydarzenia, takie jak wybory, by zwiększyć skuteczność ataku. Chińskie grupy również stosują phishing, ale ich główną techniką jest wykorzystywanie luk w aplikacjach dostępnych z internetu, które nie zostały załatane.

Jakie aspekty działalności grup APT są często niedostrzegane lub niedoceniane?

Jednym z mitów jest przekonanie, że grupy APT zawsze wykorzystują wysoce zaawansowane złośliwe oprogramowanie. To już nie jest reguła. Wiele z nich korzysta z ogólnodostępnych narzędzi - malware typu commodity lub open-source, które każdy może pobrać z GitHuba. Nie chodzi o „efekciarstwo”, tylko o skuteczność. Takie podejście utrudnia też przypisanie ataku konkretnej grupie.

Jednocześnie obserwujemy ogromny rozwój technik inżynierii społecznej. Przykład? Korea Północna. Tamtejsze grupy często podszywają się pod rekruterów - czasem nawet celując w firmy z sektora obronnego. Udają pracowników działów HR, kontaktują się przez LinkedIn i inne kanały. Te kampanie są często bardzo przekonujące.

Krótko mówiąc: litera „A” w APT nie zawsze oznacza dziś „advanced” (zaawansowane) w sensie technologicznym, jak to bywało kiedyś.

Walka z grupami APT

Czym jest macierz MITRE ATT&CK i jak pomaga w walce z grupami APT?

Macierz MITRE ATT&CK to system klasyfikacji taktyk, technik i procedur (TTP), których używają cyberprzestępcy. To swoisty taksonomiczny framework, który pomaga opisać zachowanie atakujących. 

Gdy publikujemy nasze analizy - zarówno raporty wewnętrzne, jak i publiczne wpisy na blogu - często odnosimy się do konkretnej techniki według tej właśnie macierzy. Dzięki temu obrońcy mogą łatwiej zmapować zagrożenia i wdrożyć precyzyjne środki zaradcze.

Jakie są największe wyzwania w walce z grupami APT?

Największe wyzwanie to fakt, że atakującemu wystarczy jedna udana próba, żeby dostać się do środowiska. Obrona musi być skuteczna na wszystkich frontach jednocześnie.

Zabezpieczenie każdego możliwego punktu wejścia to ogromne wyzwanie. Na szczęście dziś mamy znacznie lepsze narzędzia wykrywające - nowoczesne systemy antywirusowe. 

Dzięki nim, nawet jeśli atakujący się przedostanie, to wcześniej czy później zostanie wykryty.

Niemniej ta asymetria - między łatwością ataku a trudnością obrony - wciąż jest fundamentalnym problemem.

Jakie poważne błędy organizacje popełniają najczęściej - te, które umożliwiają skuteczne ataki?

Staram się nie obarczać ofiar winą. Wiele organizacji po prostu nie ma zasobów, by skutecznie się bronić - zwłaszcza małe i średnie firmy, które często nie mają własnych zespołów bezpieczeństwa ani SOC-a. Dlatego coraz ważniejsze stają się usługi MDR (Managed Detection and Response).

Niemniej zdarzają się błędy, których można by uniknąć. Na przykład: instalowanie oprogramowania zabezpieczającego tylko na części urządzeń. Zaawansowany atakujący znajdzie tę niechronioną maszynę, zainfekuje ją i użyje jako punktu wyjścia do dalszej penetracji.

Kolejny klasyk: brak aktualizacji. Wiemy, że to banał, ale wciąż wiele organizacji korzysta z przestarzałych systemów, które zawierają znane luki. Chińskie grupy APT bardzo aktywnie je wyszukują i wykorzystują.

Jaką jedną uniwersalną radę dałbyś osobom, które chcą walczyć z zagrożeniami w cyberprzestrzeni?

Podstawy wciąż mają ogromne znaczenie. Używaj uwierzytelniania dwuskładnikowego - to żadna nowość, ale skutecznie utrudnia życie atakującym. Zwłaszcza w przypadku kluczowych systemów.

Jakie technologie i zachowania użytkowników mogą podnieść poziom bezpieczeństwa w organizacjach?

Najważniejsze to realistycznie ocenić swoje możliwości i dopasować ochronę do rzeczywistego modelu ryzyka. Zrozumieć, jakie zagrożenia są najbardziej prawdopodobne w przypadku danej organizacji i odpowiednio się przygotować.

Jeśli jesteś dużą instytucją rządową czy przedsiębiorstwem - zapewne już to robisz. Ale małe organizacje często zakładają, że nie są celem. To błąd. One również bywają atakowane. Jeśli nie masz możliwości wdrożenia ochrony wewnętrznie, warto ją outsourcować. MDR powstało właśnie po to, by zapewnić profesjonalną ochronę nawet mniejszym podmiotom.

Znaczenie threat intelligence

W jaki sposób threat intelligence (analiza zagrożeń) może wspierać organizacje - szczególnie duże przedsiębiorstwa - w obronie przed grupami APT oraz cyberprzestępcami nastawionymi na zysk?

Threat intelligence to obszar, w którym się specjalizujemy - i faktycznie, najczęściej jest on bardziej istotny dla większych organizacji. Ale warto zaznaczyć, że nasze usługi  w tym zakresie nie ograniczają się tylko do APT wspieranych przez państwa. Niedawno rozszerzyliśmy działania również na zagrożenia z obszaru cyberprzestępczości finansowej.

Threat intelligence może przyjmować różne formy. Kluczowe jest, aby organizacje były w stanie przetwarzać te informacje w różnych formatach. Przykładowo, przygotowujemy raporty dotyczące obserwowanych przez nas działań - niezależnie od tego, czy mają one charakter finansowy, czy są powiązane z cyber-szpiegostwem prowadzonym przez państwa.

Dostarczamy również feed’y danych, które można zintegrować z istniejącymi platformami threat intelligence używanymi w organizacji. Oferujemy wiele wariantów integracji, tak aby ten proces był możliwie jak najprostszy.

Najważniejsze jest to, by organizacja wiedziała, gdzie się znajduje w krajobrazie zagrożeń i kto może być jej potencjalnym przeciwnikiem. Cele o wysokiej wartości są częściej atakowane przez APT, natomiast mniejsze firmy często trafiają na celownik grup nastawionych na zysk - choć, jak wspomniałem wcześniej, często te dwa światy się przenikają.

Ostatecznie threat intelligence to wiedza o przeciwniku. Zrozumienie konkretnych zagrożeń, które mogą dotyczyć organizacji podobnej do Twojej, pozwala znacznie skuteczniej zaprojektować strategię obrony.

Dziękuję za rozmowę.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].