5 edistyneen ja pitkäkestoisen uhkan trendiä vuonna 2016

Tiettyyn toimijaan kohdistettuihin edistyneisiin ja pitkäkestoisiin hyökkäyksiin (APT) tarvitaan osaamista ja resursseja. Tähän asti näitä hyökkäyksiä ovat tehneet kansallisvaltiot ja muut voimakkaat organisaatiot. Tilanne näyttää muuttuvan.

Kirjoittaja: F-Secure Business Security Insider
Päivämäärä: maaliskuu 29, 2016
Lukuaika: 2 Minuuttia

Edistynyt pitkäkestoinen uhka (APT, Advanced Persistent Threat) nousi otsikkoihin Sony Pictures -yhtiön tapauksen tultua julkisuuteen loppuvuonna 2014. Verkkojulkaisu Ars Technica raportoi tietomurron koskevan yli 100 teratavua yhtiön sisäistä dataa.

APT-hyökkäykset ovat nimensä mukaisesti varsin edistyneitä ja kehittyneitä. Kohteet ovat organisaatioita, joiden tietoturvan pitäisi olla maailman parhaimmistoa. Onnistunut hyökkäys, hyödyntää jotakin tiettyä haavoittuvuutta ja haittaohjelmaa. Taitava kybervakoilu voi jatkua jopa vuosikausia.

Nimellä Dukes tunnettu ryhmä on 7 vuoden kuluessa tunkeutunut hallitusten, ministeriöiden, virastojen, ajatushautomoiden ja julkishallinnon alihankkijoiden järjestelmiin. F-Securen tutkija Artturi Lehtiön raportissaan kuvaama tapaus ylitti uutiskynnyksen maailmanlaajuisesti.

F-Securen tutkimusyksikkö tunnisti Venäjän valtion tietyn hakkeriryhmän keskeiseksi tukijaksi useiden todisteiden perusteella. Todisteita olivat muun muassa venäjänkielinen virheilmoitus, ja toimintojen taipumus ajoittua Moskovan tavalliseen työaikaan.

”Duken kasvu viittasi tasaiseen resurssien virtaan, joka kohdistettiin valtiollisiin kohteisiin: edustustot, parlamentit ja puolustushallinnot”, Artturi kirjoittaa. ”Merkille pantavaa oli se, että ryhmän toiminta ei ikinä kohdistunut Venäjän hallintoon.”

APT-ryhmät ovat yleensä tarvinneet taustavoimakseen valtion tai muun voimakkaan ryhmän, koska pitkään kestävä ja monimutkainen tehtävä on iso investointi. Tilanne näyttää kuitenkin muuttuvan.

Keskustelimme Artturin kanssa vuoden 2016 trendeistä. Hän uskoo uhkien yleistyvän ja muuttuvan entistä dynaamisemmiksi ja petollisemmiksi.

  1. Lisää hyökkääjiä.
    ”Tulevaisuudessa hakkeriaktivistit suosivat kohdistettuja hyökkäyksiä tähänastisten hyvin opportunististen aktiviteettien sijaan”, Artturi sanoo.  Poliittisesti motivoituneet ryhmät eivät tyydy tilapäisesti sivuston halvauttaviin palvelunestohyökkäyksiin. Hyökkääjät pyrkivät aiheuttamaan pitkävaikutteisempaa tuhoa, kun saatavilla on APT-työkaluja.
  2. Vääriä lippuja!
    Tuotteistetut työvälineet tarjoavat rikolliselle uskottavan mahdollisuuden kiistää hyökkäys.Teollisiin mittasuhteisiin kehittyvät hämäyskeinot saavat viranomaiset epäilemään tekijöiksi vääriä henkilöitä, jopa vääriä kansakuntia.  Tällaisesta on esimerkkejä menneisyydessä. ”Tulevaisuudessa APT-ryhmät pyrkivät entistä useammin istuttamaan työkaluihin tutkijoita harhauttavia johtolankoja”, Artturi sanoo.
  3. Enemmän hämmennystä.
    Valtiot alkavat hyödyntää alun perin muuhun käyttöön laadittuja haittaohjelmia omiin tarkoituksiinsa.Olemme jo nähneet valtioihin liittyvien ryhmien kehittyvän infrastruktuurin puolella siten, että niitä on vaikeampi löytää, havaita ja tutkia. Hyökkääjä vuokraa tai hakkeroi jonkun toisen infrastruktuurin. Näin hän luo ”hämäyskerroksen” itsensä ja rikoksen väliin eli hän saa mahdollisuuden kiistää osallisuutensa. Seuraavaksi hyökkääjät soveltavat samoja kikkoja työkaluihin.”Odotan näkeväni APT-ryhmiä, jotka käyttävät muiden kehittämiä haittaohjelmia – ostamalla, vuokraamalla, varastamalla tai luvatta komentoonsa ottamalla. Näin tekijöitä ei voida yhdistää hyökkäykseen pelkästään työvälineistön perusteella.”  Artturi kertoo havainneensa esimerkkejä tällaisesta muun muassa työkalupakin Black Energy ympärillä. Tätä työkalupakkia käyttivät useat rikolliset, jotka työskentelivät aiemmin Ukrainaa vastaan kohdistettujen poliittisluonteisten hyökkäysten parissa. Black Energy -työkalupakkia hyödynsi myös Sofacy group, joka kierrättää Carberb-pertheen ja Metasploit Framework –(projektin) haittaohjelmia.
  4. Enemmän hyökkäyksiä.
    ”Odotan muihin kuin valtiollisiin toimijoihin liittyvien APT-hyökkäysten yleistyvän eksponentiaalisesti”, Artturi arvioi. Hän arvioi ”kohdistettujen hyökkäysten markkinan” vääjäämättä kasvavan nopeasti.  Kohdistettuihin hyökkäyksiin tarvittavat välineet tulevat laajalti saataville, ja rikolliset tarjoavat palveluksiaan eniten tarjoavalle.
  5. Lisää tuhoa.
    Monet kansallisvaltiot, rikolliset ja hakkeriaktivistit alkavat tehdä tarkoin kohdistettuja, tuhoisia iskuja, Artturi ennustaa. Hyökkäys voi kohdistua tiedon eheyteen eli tietoa muutetaan. Hyökkäys voi myös tuhota tietoa tai kryptata tiedon lukukelvottomaksi.

Ennustettavuus vie verkkorikollisen vankilaan – tai ainakin lopettaa hänen tihutyönsä. On siis loogista odottaa uusia, yllättäviä uhkia.

Kypsyvä APT-markkina on luonut aivan uuden ympäristön. Ei ole kyse siitä, kuinka monta yritystä on hakkeroitu, vaan siitä, miten pahasti yritykset on hakkeroitu.


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s