Kto może paść ofiarą tych cyberataków w modelu APT? 

---

Każda organizacja, szczególnie taka, która funkcjonuje w bardzo konkurencyjnym środowisku, a także firma oferująca nowoczesną technologię, zajmująca się badaniami i rozwojem, korzystająca z poufnych danych. Ofiarami APT padają także firmy energetyczne czy koncerny samochodowe, a także instytucje istotne z perspektywy bezpieczeństwa lub obronności kraju.

Co jest celem cyberprzestępców? 

---

Głównym celem ataków APT jest własność intelektualna. Do ataków wykorzystywane są zaawansowane środki technologiczne, by ominąć wszelkie zabezpieczenia. Atak jest perfekcyjnie zaplanowany i ukierunkowany na konkretną organizację, co różni ATP od tradycyjnych ataków z wykorzystaniem wirusów, służących zainfekowaniu jak największej liczby przypadkowych urządzeń. Tutaj intruz usiłuje zdobyć zaufanie i atakuje pracowników przedsiębiorstwa, skutecznie podszywając się pod współpracowników, przełożonych, czy też znajomych ofiary.
Ataki APT realizowane są do skutku, cechują je działania otwierające jak największą ilość „furtek” do systemu. Pierwotnie zainfekowany użytkownik może przesyłać maile infekujące kolejnych użytkowników. System infiltracji działa bardzo dyskretnie - korzysta z metod kamuflażu i zaawansowanych technik obchodzenia zabezpieczeń (EAT – Advanced Evasion Techniques). W ten sposób może funkcjonować w atakowanym systemie przez wiele tygodni lub miesięcy i być niezauważonym. Jednocześnie zbiera i przesyła przestępcom poufne informacje. Może także czekać w uśpieniu na dogodny moment do ujawnienia się i dokonania ataku.

 

Trzy podstawowe etapy ataków APT

---

1. Przygotowanie, czyli poznanie ofiary. Zaczyna się on od poszukiwania informacji o atakowanym w Internecie, a następnie przygotowania narzędzi ataku. Faza przygotowawcza może trwać kilka godzin lub kilka miesięcy.
2. Wtargnięcie to najkrótszy etap, dokonuje się on jak najszybciej. Obejmuje on dostarczenie i instalację tzw. backdoor (tylnych drzwi) w systemie, aby uzyskać do niego stały dostęp.
3. Aktywne włamanie może trwać kilka miesięcy, a nawet lat. Dotyczy kontroli nad zainfekowanym urządzeniem oraz właściwego ataku, czyli zbierania danych i informacji. Co ważne, dopóki atak nie zostanie wykryty, nieustannie powstają nowe cele, a zaatakowana firma/instytucja jest wciąż szpiegowana.

 

Ataki typu APT pod względem naruszeń obowiązującego prawa w Polsce

---

Zgodnie z obowiązującymi regulacjami prawnymi atak typu APT może zostać uznany za:

– hacking,
– sabotaż komputerowy,
– niszczenia, uszkodzenia, usuwania danych informatycznych,
– zakłócenia pracy systemu komputerowego lub sieci teleinformatycznej,
– szpiegostwo.

Środki zaradcze

---

Jedyną możliwością obrony jest systemowe zabezpieczanie się przed atakami poprzez posiadanie aktualnych i sprawdzonych systemów antywirusowych oraz poprzez stosowanie wielopoziomowego zabezpieczenia w użytkowanych systemach. Niezbędna jest także świadomość pracowników na temat bezpieczeństwa całego systemu informatycznego w instytucji, firmie, a zatem przeprowadzanie skutecznych akcji informacyjnych o skali zagrożenia.
Kluczowym czynnikiem jest również dokładna ocena potencjalnego ryzyka, polegająca na identyfikacji informacji, które mogą zostać wykradzione. Niezbędny jest przegląd struktury organizacyjnej zespołów zajmujących się ochroną informacji.
Podstawę dla zapewnienia cyberbezpieczeństwa systemu informatycznego danej jednostki/instytucji/firmy stanowi bezwzględnie skuteczna ochrona każdego ogniwa, a zatem wszystkich jego użytkowników.