Wat is een APT (Advanced Persistent Threat)?
Een APT (Advanced Persistent Threat) is een cyberaanval waarbij de dreigingsactoren ongeautoriseerde toegang krijgen tot een netwerk of systeem met de bedoeling dat ze voor langere tijd onopgemerkt blijven. Hierdoor kunnen ze de activiteit monitoren, documenten exfiltreren en zo lang als ze willen toezicht houden.
Het onderhouden van de misleiding, het vermijden van detectie en het bewaken van het gecompromitteerde systeem vereist aanzienlijke toewijding, menselijke middelen en mogelijk aangepaste malware. Aangepaste malware kan ook worden gebruikt om het doelsysteem in de fase van de aanval te compromitteren. Dit geeft aan dat deze bedreigingsactoren over zeer veel technische capaciteit beschikken.
Ze beschikken ook over voldoende mankracht om een actieve APT te onderhouden.
Wie zit er achter APT-aanvallen?
Traditioneel waren door de staat gesponsorde hackersgroepen en -collectieven de enige organisaties die in staat waren om een APT op te zetten. Van veel van deze organisaties is bekend dat ze bestaan. Door zorgvuldige toeschrijving op basis van digitale vingerafdrukken en andere inlichtingentechnieken is van veel APT-aanvallen vastgesteld dat ze steeds weer van dezelfde daders afkomstig zijn. Deze groepen staan bekend als APT-groepen.
Het is echter niet onbekend dat voldoende geavanceerde cybergroepen, gesteund door georganiseerde misdaadgroepen, APT-aanvallen uitvoeren. Er zijn ook vermoedens dat grote, technische organisaties zijn gedwongen om APT-aanvallen uit te voeren namens hun moedermaatschappij.
Typen doelwitten APT
Een zorgwekkende ontwikkeling in APT-aanvallen is dat infrastructuren zoals elektriciteitscentrales, communicatiemiddelen, ziekenhuizen, financiële instellingen, chemische fabrieken, elektronicabedrijven, productiebedrijven, lucht- en ruimtevaart, de auto-industrie en de gezondheidszorg het doelwit zijn.
Deze aanvallen zijn er niet op gericht om informatie te verzamelen, maar om de gecompromitteerde infrastructuur over te nemen en op afstand te besturen, zodat deze uitvalt. Het motief voor een APT kan financiële, politieke of industriële spionage zijn en kan in sommige gevallen ook worden geclassificeerd als cyberoorlog.
Om infrastructuur op deze manier aan te vallen, moeten de dreigers toegang krijgen tot de PLC’s ( Programmable Logic Controllers ), die de actuators besturen die op hun beurt de processen in de verrijkingsinstallatie, waterzuiveringsinstallatie of andere kritieke doelen regelen. Omdat de PLC’s allemaal netwerkadresseerbaar zijn, krijgen de bedreigingsactoren toegang tot deze apparaten door het hoofdnetwerk aan te tasten.
Camouflerende aanvallen
Soms kunnen APT’s aanvallen uitvoeren op een veel breder doelwit dan een enkel netwerk, een enkele organisatie of een enkele infrastructuurinstallatie. Een aanval die werd toegeschreven aan Sandworm, een APT die banden heeft met het Russische leger, was gericht op elk bedrijf in Oekraïne dat MeDoc-boekhoudsoftware gebruikte – en dat waren de meesten.
De aanval van 2017 was een nepransomware-aanval, waarbij gebruik werd gemaakt van malware met de naam NotPetya. Het werkte net als gewone ransomware-malware, maar het kon niet worden ontsleuteld. Er was geen unieke ID voor elk netwerk en de decoderingscode was opzettelijk gebrekkig.
Het was eigenlijk een grootschalige aanval die was ontworpen om gegevens te vernietigen en de operationele capaciteit van zoveel mogelijk Oekraïense bedrijven lam te leggen, vermomd als een gewone malware-aanval. Dit soort aanvallen zijn zeldzaam, maar het laat wel zien dat je geen militair, infrastructureel of ander belangrijk doelwit hoeft te zijn om in het kruisvuur van cyberoorlogsvoering terecht te komen.
Als malware eenmaal in het wild is verspreid, is het heel moeilijk onder controle te krijgen. NotPetya eist nog steeds slachtoffers, ook buiten Oekraïne. Norsk Hydro werd eind 2019 getroffen door NotPetyta, met een geschat verlies van 40 miljoen dollar.
Ren stil, ren diep
APT-hackers zijn zeer vaardig en beschikken over alle middelen die ze nodig hebben. Omdat de meeste van hen zich bezighouden met door de staat gesponsorde activiteiten, zijn ze immuun voor arrestatie. De Verenigde Staten, het Verenigd Koninkrijk, Iran, Irak, Israël, Rusland, China, Noord-Korea en Vietnam hebben allemaal uiterst bekwame offensieve en defensieve inlichtingendiensten. Let wel, zowel offensief als defensief.
De essentie van de meeste APT-aanvallen is onopgemerkt blijven. Dit is precies het tegenovergestelde van een aanval zoals een ransomware-aanval, waarbij je weet dat je gecompromitteerd bent omdat een bericht je vertelt dat je getroffen bent en losgeld moet betalen. Een succesvolle APT-hacker maakt gebruik van een kwetsbaarheid om toegang te krijgen tot je systeem. Ze halen de informatie die ze nodig hebben of plaatsen subtiele malware achter de schermen, zoals rootkits en keyloggers. Als dat deel van de missie is voltooid, glippen ze stilletjes weer weg. Maar nu hebben ze de mogelijkheid om terug te keren – onopgemerkt – wanneer ze maar willen.
Een APT-aanval wordt vaak uitgevoerd met een lichte strategie. De aanvallers kunnen het zich veroorloven om hun tijd te nemen. Ze kunnen opereren op een manier die niet veel merkwaardige of verdachte gebeurtenissen in de systeemlogs genereert of ongebruikelijke soorten netwerkverkeer veroorzaakt.
Om toegang te krijgen tot je netwerk gebruiken APT’s exploits voor bekende kwetsbaarheden of, wat minder vaak voorkomt, voor kwetsbaarheden die ze zelf hebben ontdekt. Hoewel de meeste APT’s aangepaste code kunnen genereren om kwetsbaarheden te misbruiken, gebruiken ze, waar dat mogelijk is, bekende methoden en erkende technieken. Ze geven de voorkeur aan deze methoden omdat als ze worden gedetecteerd, het veel moeilijker is om de aanval toe te schrijven.
Ze kunnen ook malware gebruiken die via e-mail wordt afgeleverd als eerste fase van de infiltratie.
Waarschuwingssignalen om op te letten
Omdat APT-aanvallen van lange duur zijn, zullen de actoren van de bedreiging buitengewone moeite doen om onopgemerkt te blijven. Dit zijn enkele aanwijzingen dat u waarschijnlijk uw servers en netwerk zorgvuldig moet onderzoeken.
Administreer log-ins op vreemde tijden
APT-aanvallen kunnen zich snel verspreiden van de eerste gecompromitteerde computer naar de eigenlijke doelsystemen. De doelcomputers zijn meestal de computers met de meest gevoelige en beschermde gegevens, waardoor de gebruiker verhoogde of beheerdersrechten nodig heeft. Om deze privileges te verkrijgen, gebruiken de dreigers één van de beschikbare privilege-escalatietechnieken.
Eén manier is om authenticatietabellen uit het geheugen van de gecompromitteerde server te halen en deze offline te kraken op de computers van de bedreigers. Ze kunnen dan een gepaste geprivilegieerde account selecteren om toegang te krijgen tot de afgeschermde informatie of om een geheime, geprivilegieerde account aan te maken die ze dan voor dat doel gebruiken.
Omdat APT groepen zich waarschijnlijk in een andere tijdzone bevinden dan jij – of letterlijk aan de andere kant van de wereld – is het mogelijk dat je administrator log-ins ziet op vreemde tijden.
Rootkits, Trojaanse paarden en backdoor-malware
APT-dreigingsactoren installeren vaak rootkits of andere backdoor-malware om ervoor te zorgen dat ze altijd weer toegang kunnen krijgen, zelfs als de gebruikersaccounts die ze gebruiken zijn uitgeschakeld.
Trojaanse paarden die worden ingezet via e-mail phishing-aanvallen zijn verantwoordelijk voor de meeste eerste compromissen. Scan regelmatig op alle soorten malware.
Onverwachte gegevensoverdracht
Let op grote, onverwachte verplaatsingen van gegevens, zowel intern als extern. Let ook op plotselinge dalingen in beschikbare schijfruimte. Het komt vaak voor dat bedreigers alle informatie die ze willen exfiltreren in één groot gecomprimeerd bestand consolideren.
Dat betekent dat ze kopieën maken van de originele gegevens en deze op één locatie plaatsen, waarna ze het gecomprimeerde bestand maken. Dit leidt tot een plotselinge afname van schijfruimte, waarschijnlijk in de orde van gigabytes. Wees ook op je hoede voor gecomprimeerde bestanden in formaten die je organisatie normaal niet gebruikt, zoals “.RAR” en “.7z” archieven.
Zal een APT-groep jou ooit aanvallen?
APT-groepen richten zich meestal op militaire, politieke en kritieke infrastructuurinstallaties, dus het is zeer onwaarschijnlijk dat een APT-groep een doorsnee bedrijf zou aanvallen.
Maar het kan gebeuren en het gebeurt ook. Als jij je in de toeleveringsketen bevindt van het doelwit dat ze willen compromitteren, maar dat doelwit is te streng beveiligd, dan kunnen ze je infecteren met malware die pas wordt geactiveerd als het merkt dat het zich op het netwerk van het einddoel bevindt. Het idee is dat je onbewust het eigenlijke doelwit kunt infecteren door hen te bezoeken met een geïnfecteerde laptop, e-mail of andere communicatiepaden.
En zoals we hebben gezien, is het gemakkelijk om als bijkomende schade betrokken te raken bij een vermomde aanval. Er zijn APT-aanvallen opgezet, zoals NotPetya, die zowel vatbare organisaties als het echte doelwit aanvallen om de werkelijke bedoeling van de aanval te maskeren.