Целевая постоянная угроза (APT)
Что такое Целевая постоянная угроза (APT)?
Целевая постоянная угроза (APT)Скрытный, обеспеченный ресурсами актор угрозы — как правило, спонсируемый государством — который получает долгосрочный незаметный доступ к целевой сети для кражи данных или предварительного закрепления.
APT описывает и сам актор, и кампанию: квалифицированные противники, проводящие в целевой среде от нескольких недель до нескольких лет, ставя скрытность и устойчивость выше шумных «налётных» атак. APT обычно сочетают целевой фишинг, компрометацию цепочки поставок, кастомное вредоносное ПО, технику living-off-the-land и эксплойты нулевого дня. Цели — как правило, кибершпионаж (интеллектуальная собственность, дипломатическая переписка, оборонные исследования), предварительное закрепление для саботажа критической инфраструктуры или длительное финансовое хищение.
Известные кампании показывают весь спектр. APT29 (Cozy Bear) в 2020 году внедрила бэкдор SUNBURST в троянизированные обновления SolarWinds Orion, добравшись через единственного доверенного поставщика до тысяч организаций. Volt Typhoon, группа, связанная с КНР, использовала технику living-off-the-land — встроенные инструменты вроде wmic, netsh и PowerShell вместо кастомного вредоносного ПО — для сохранения постоянного доступа к сетям связи, энергетики, водоснабжения и транспорта США; CISA, ФБР и АНБ в совместном бюллетене AA24-038A (февраль 2024 года) предупредили, что целью было предварительное закрепление для разрушительных атак в ходе будущего кризиса, а не шпионаж.
Защита требует многоуровневых мер: детекций на базе threat intelligence, EDR/XDR с поведенческой аналитикой, сегментации сети, строгого контроля идентичности, расширенного логирования аутентификации и активности командной строки, а также проактивного threat hunting по TTPs, описанным в MITRE ATT&CK.
flowchart LR A[Разведка] --> B[Первичный доступ<br/>целевой фишинг / цепочка поставок / 0-day] B --> C[Закрепление и<br/>устойчивость] C --> D[Повышение привилегий<br/>+ кража учётных данных] D --> E[Боковое перемещение<br/>living off the land] E --> F[Длительный скрытный<br/>сбор данных] F --> G[Эксфильтрация или<br/>предварительное закрепление] F -.уклонение.-> H[EDR / threat hunting<br/>MITRE ATT&CK] H -.обнаружить и выдворить.-> C
● Примеры
- 01
APT29 (Cozy Bear) и компрометация цепочки поставок SolarWinds через бэкдор SUNBURST.
- 02
APT1 (Подразделение 61398 НОАК) и кампании промышленного шпионажа, описанные Mandiant в 2013 году.
- 03
Volt Typhoon, предварительно закрепившийся в критической инфраструктуре США (бюллетень CISA AA24-038A).
● Частые вопросы
Что такое Целевая постоянная угроза (APT)?
Скрытный, обеспеченный ресурсами актор угрозы — как правило, спонсируемый государством — который получает долгосрочный незаметный доступ к целевой сети для кражи данных или предварительного закрепления. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Целевая постоянная угроза (APT)?
Скрытный, обеспеченный ресурсами актор угрозы — как правило, спонсируемый государством — который получает долгосрочный незаметный доступ к целевой сети для кражи данных или предварительного закрепления.
Как защититься от Целевая постоянная угроза (APT)?
Защита от Целевая постоянная угроза (APT) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Целевая постоянная угроза (APT)?
Распространённые альтернативные названия: Целевая атака, Государственный актор.