APT (Advanced Persistent Threats) napadi iz Kitajske
Matej Kovačič
10. feb 2010 ob 13:34:00
Kot je znano, so pred časom kitajski vladni hekerji napadli Google, zaradi česar je slednji napovedal, da bo razmislil o umiku iz Kitajske. Da gre za resno zadevo, kaže tudi to, da je Googlu svojo pomoč pri preiskavi ponudila ameriška National Security Agency. Po mnenju Schneierja, je napad sicer omogočila zloraba nadzornih tehnologij, ki jih je na zahtevo ameriške vlade v svoje sisteme vgradil Google, omogočajo pa (stranski) dostop do GMail računov s strani pravosodnih organov in tajnih služb.
Vsekakor ne gre za osamljen incident, pač pa za serijo napadov na zahodna podjetja, ki jih je mogoče zaznavati že nekaj let. Pred kratkim so tako napadalci vdrli v tri znana ameriška naftna podjetja. Več o teh napadih je tokrat za Wired spregovoril Kevin Mandia, direktor podjetja, Mandiant, ki se ukvarja z digitalno forenziko. Podrobnejše poročilo o napadih je bilo pred kratkim predstavljeno na zaprti konferenci o informacijski varnosti.
Po njegovih besedah je tarča napada na tisoče podjetij, pri vseh napadih pa je opaziti enak vzorec. Napade so poimenovali Advanced Persistent Threats, Mandia pa poudarja, da protivirusna programska oprema APT napadov praviloma ne zazna (za kar uporabljajo različne spreminjevalce programske kode, tim. packers), napadalci pa uporabljajo tudi številne 0-day ranljivosti.
Cilj APT napadalcev je predvsem industrijska špijonaža, zato po napadu skušajo iz ugrabljenih računalnikov prekopirati čim več dokumentov nato pa svojo prisotnost v kompromitiranih sistemih prikriti in čim dlje časa tudi obdržati. Za razliko od njih imajo navadni napadalci - večinoma gre za kriminalne združbe, ki se ukvarjajo z goljufijami in on-line krajami - povsem drugačno taktiko, tim. vdri-in-zagrabi (ang. smash-and-grab) in jih zato po odkritem vdoru ni težko "odstraniti" iz omrežja. APT napadalci pa se obnašajo bistveno drugače.
Mandia navaja primer podjetja, kjer so enemu izmed direktorjev poslali phishing e-poštno sporočilo z okuženo URL povezavo. Ko je omenjeni direktor kliknil na povezavo, se je na njegov računalnik naložila zlonamerna programska koda, kmalu za tem pa so napadalci imeli administrativne privilegije na večini sistemov napadenega podjetja.
V drugem primeru so napadalci za vdor uporabili zlonamerno kodo, ki jo protivirusni programi niso poznali. Ko so se v podjetju nadgradile protivirusne definicije in je protivirusnik zlonamerno kodo blokiral, pa so preiskovalci ugotovili, da so napadalci v omrežje podjetja ponovno vdrli v manj kot treh urah.
Napadalci z okuženimi sistemi komunicirajo s pomočjo prikritih (in lastnih) protokolov, v nekaterih primerih zlonamerna koda vsebuje funkcije za samouničenje v primeru spodletelega napada, v nekaterih primerih pa se zlonamerna koda shrani samo v delovnem pomnilniku RAM in se ne zapiše na trdi disk, kar tudi otežuje digitalno forenzično analizo.
Mandia dodaja, da so tarče APT napadov vsa zahodna podjetja, ki poslujejo s Kitajsko ali pa imajo v lasti poslovne skrivnosti, ki bi utegnile zanimati Kitajsko.
In koliko slovenskih podjetij in vladnih ustanov je tarča APT napadov?