APT объяснил: от актеров национальных государств до называть соглашения
31 июля 2025 г.Apts (усовершенствованные постоянные угрозы) являются сложными группами угроз, обычно поддерживаемых странами, которые проводят хорошо целенаправленные атаки на организацию, нацию или государство.
Цели Apts
Цели APT в первую очередь -
- Воложите конфиденциальную информацию, такую как государственные секреты и интеллектуальная собственность (IP).
- Намеренно уничтожить или разрушить техническую инфраструктуру, чтобы получить военное, финансовое или политическое преимущество.
- Украсть финансовые ресурсы, данные о платежах или продавать похищенные данные клиента.
Характеристики APT
- Мотивация- Основная мотивация APT, как правило, заключается в создании финансового, политического или стратегического поглощения. В отличие от обычных злоумышленников, они не преследуют каждую лазейку или возможности, которые появляются на их пути, и часто сосредоточены на целях высокой стоимости.
- Сложность- Апты отличаются от традиционных злоумышленников. Они используют индивидуальные вредоносные программы, сложные методы атаки и другие сложные пользовательские методы для нападения на цель.
- Продолжительность- <cark> apts, как правило, устанавливают долгосрочный, постоянный бэкдор или канал командования и управления с целью, часто в течение многих лет, не будучи замеченным. </mark>
- Целевой- Атаки от APT очень целенаправлены. Они не используют случайные уязвимости в случайных организациях. Вместо этого они совершают возглавляемую атаку на свою цель, и эти цели, как правило, являются ценными организациями, такими как правительства, очень крупные корпорации или критическая инфраструктура.
- Резервная копия- Они, как правило, поддерживаются странами, государствами или очень крупными организациями, которые финансируют их в финансовом и техническом плане для реализации атаки.
APT идентификация
Есть два основных фактора, которые можно использовать для определения того, может ли атака быть связана с APT или это случайная атака:
Техническая идентификация- APT часто создают индивидуальные и сложные векторы угроз, вредоносные программы и методы. Эти уникальные подписи и методы могут быть использованы в качестве индикатора для определения того, являются ли актеры атаки.
Контекст- Атаки APT обычно проводятся для геополитической, военной или финансовой выгоды. Понимание контекста атаки может помочь определить APT или спонсор, стоящего за ней.
Типы подходящих групп
I) Группы спонсируемых национальных государств
Это APT, которые спонсируются, финансируются, направлены и поддерживаются правительством для проведения кибер -операций.
Мотивация- Намерение таких нападений, как правило, состоит в том, чтобы украсть политические, военные или связанные с экономикой конфиденциальные данные, провести кражу ИС и повредить критической инфраструктуре организации или даже влиять на общественное мнение о выборах.
Цели- Целевые показатели для этих групп включают правительства, оборонные подрядчики, журналисты, организации, связанные с энергией и многое другое.
ii) финансово мотивированные группы
Эти APT нацелены на крупные организации с помощью пользовательских атак или уязвимостей нулевого дня, часто в атаках вымогателей.
Мотивация- финансовая выгода. Обычно это делается с помощью атак Ransomware, кражи банковских сведений пользователей, данных кредитных карт и многого другого.
Цель- Финансовые учреждения, больницы и секторы здравоохранения.
iii) Апты, поддерживаемые хактивистами
Это APT, связанные с целями, которые способствуют политическим повесткам дня или идеологии.
Уместные соглашения об именах
Конвенции имен в APT-группах часто основаны на географических или национальных государственных ассоциациях. Апты обычно названы в честь животных, которые представляют страну или регион, к которой они принадлежат.
Медведь медведь является национальным символом России; Следовательно, это связано с российскими группами.
Например*: Уютный медведь (apt29) и Fancy Bear (apt28)*
Панды Панда является культовым символом Китая и представляет китайские подъемы.
Например*: Elderwood Panda*
Соколы Это символ силы и гордости в ближневосточных и североафриканских культурах.
Например*: Desert Salcon*
Именование аномалий
Различные компании по кибербезопасности, антивирусные поставщики, исследователи и атрибутические организации, такие какКраудстикИспользуйте различные соглашения об именах на основе страны или состояния происхождения.
Следовательно, общий справочный лист под названием"Удачные группы и операции"был создан, который предоставляет четкие, хорошо структурированные детали этих групп.
https://docs.google.com/spreadsheets/d/1h9_xaxqhpwaa4o_son4gx0yoizlcbwmsdvepfx68eku/pubhtml?embedable=true
Оригинал