Advanced Persistent Threat

Een Advanced Persistent Threat (APT) is een langdurige en doelgerichte cyberaanval waarbij een onbevoegd persoon onopgemerkt en langdurig toegang krijgt tot een netwerk. Het doel is om continu toegang te krijgen en gegevens te stelen. APT-aanvallen richten zich vooral op landen en organisaties.^[1]^[2]

Drie componenten[bewerken | brontekst bewerken]

De term werd in januari 2006 gemunt door de United States Air Force (USAF).

Advanced staat voor geavanceerd: de aanvallers beschikken over een breed spectrum aan technisch complexe aanvalswapens, die ze vaak combineren om hun doel te bereiken.
Persistent staat voor volharding: de aanvallers zijn zeer volhardend en krijgen stap voor stap toegang. APT-aanvallers blijven zo lang mogelijk onzichtbaar en verplaatsen zich voorzichtig van het ene doelwit naar het andere om te vermijden dat ze worden waargenomen.^[3]
Threat: de aanvallers zijn bekwaam, goed georganiseerd en goed gefinancierd.

Verloop[bewerken | brontekst bewerken]

Een APT-aanval bestaat uit vijf fasen gedurende enkele maanden. De stappen worden een voor een door de aanvallers uitgevoerd.^[2]^[4]

Fase 0: verkenning[bewerken | brontekst bewerken]

In deze fase onderzoeken de aanvallers via openbare bronnen, socialmediamining, netwerkscanning en social engineering naar belangrijke personen, belangrijke bezittingen en kwetsbaarheden. Dit kunnen onder meer leidinggevenden zijn, maar ook IT-beheerders en hosts die toegang kunnen verlenen tot het doelwit binnen de organisatie. Met deze informatie wordt een aanvalscampagne opgestart.

Fase 1: initiële aanval[bewerken | brontekst bewerken]

Deze fase omvat meestal een of meerdere methodes die gericht zijn op het verkrijgen van toegang. Er worden verschillende methodes gehanteerd. Een voorbeeld hiervan is een doelgerichte e-mail over een bezoek aan een beurs, een leverancier of een klant die verstuurd wordt vanaf een bekend e-mailadres. Deze methode wordt ook wel spear-phishing genoemd. De e-mail bevat meestal een link naar een website met malware. Ook kan de e-mail een bijlage bevatten in een Office- of pdf-formaat. Deze bijlagen kunnen bij het openen ervan de computer infecteren. Naast e-mail wordt er ook gebruikgemaakt van social engineering, demo-cd's, USB-sticks, USB-apparaten zoals muizen, via wifi, bluetooth, tablets, laptops en routers.

Fase 2: creëren van een achterdeur[bewerken | brontekst bewerken]

In deze fase zal de aanvaller de geïnfecteerde machine beheren met een in- of extern commando en controlserver (C&C). Dit commando en deze controlserver laten de aanvaller toe om op afstand malware te updaten, nieuwe malware toe te voegen en opdrachten te versturen naar de geïnfecteerde machine. De aanvaller heeft hulpmiddelen, zoals rootkits, keyloggers of filetransfertools klaarstaan voor de download. Deze worden lokaal en/of op systemen geïnstalleerd, die de aanvaller in fase 2a helpt.

Fase 2a: verdere infectie en extra rechten verkrijgen[bewerken | brontekst bewerken]

In deze fase zal de geïnfecteerde machine extra onderdelen downloaden om vertrouwelijke gegevens (zoals wachtwoorden) in netwerklocaties op te sporen. Indien het noodzakelijk is, wordt er speciale software geïnstalleerd, zoals cachedump en getmail om informatie en/of administratorrechten in het verdere netwerk te krijgen.

Fase 3: verkrijgen van informatie[bewerken | brontekst bewerken]

Tijdens deze fase zal de geïnfecteerde machine informatie sturen naar de server van de aanval. De informatie kan e-mails, documenten, microfoongeluid en webcambeelden bevatten. De communicatie kan zowel direct verlopen als via besmette proxymachines.

Fase 4: behouden van aanwezigheid[bewerken | brontekst bewerken]

Gedurende deze fase wordt er continu informatie uit de organisatie weggenomen. De aanvaller zal proberen de kans op detectie te beperken. Indien nodig zal hij malware installeren om tegenacties van de verdediging voor te blijven.

Fase 5: exit[bewerken | brontekst bewerken]

De aanvaller kan kiezen om de aanval te stoppen omdat hij zijn doel bereikt heeft. Dit doet hij door de malware te de-installeren en de sporen van aanwezigheid te wissen. Ook kan hij ervoor kiezen om zo lang mogelijk binnen de organisatie actief te blijven of om zoveel mogelijk systemen en de responsorganisatie te saboteren om de analyse- en repressiecapaciteiten van de organisatie te verstoren.

Aanvallers[bewerken | brontekst bewerken]

Achter de APT-aanvallen kunnen zowel statelijke actoren, zoals inlichtingen-, veiligheidsdiensten en militaire entiteiten als georganiseerde criminelen en terroristen zitten. APT-aanvallers of ook wel APA-aanvallers (Advanced Persistent Adversary) onderscheidden zich van andere aanvallers door hun niveau van verfijning, organisatie en middelen. Bovendien richtten ze zich op een specifieke organisatie of entiteit en ze plegen een aanval tot ze hun doelen bereikt hebben. APT-aanvallers werken onafhankelijk of als een onderdeel van een grotere groep. Indien er sprake is van een groep, zijn de activiteiten onderverdeeld.^[5]

Motieven[bewerken | brontekst bewerken]

De motieven van APT-aanvallers zijn gevarieerd. Statelijke actoren acteren vanuit een economisch, politiek of militair-strategisch gewin. Criminelen plegen een aanval vanuit financieel gewin, onvrede of ideologische gronden. Andere motieven zijn:^[5]^[6]

Het verkrijgen van financieel voordeel.
Het verzamelen van inlichtingen.
Concurrentievoordeel behalen voor de industrie.
Een organisatie in verlegenheid brengen en de reputatie beschadigen.

Bekende APT-aanvallen[bewerken | brontekst bewerken]

Ghostnet, 2007-2009
Stuxnet, 2009-2010
Operation Payback, 2010
Aurora, 2010
NASA, 2011
Lockheed Martin, 2011
Diginotar, 2011
Europese Commissie, 2011
Taidoor, 2011
Nitro & RSA, 2011
US Nuclear Lab Attack, 2011
Ghostrat, 2009-2011
Aramco, 2012
LuckyCat, 2012
Flame, 2007-2012
Regin, 2010-2013 (Belgacom BICS)
Carbanak, 2014

Externe link[bewerken | brontekst bewerken]

Nationaal Cyber Security Centrum: factsheet 'de aanhouder wint - advanced persistent threats'

Bronnen, noten en/of referenties

↑ Searchsecurity: Definitie Advanced Persistent Threat geraadpleegd op 17 april 2014. Gearchiveerd op 19 april 2014.
↑ ^a ^b Nationaal Cyber Security Centrum Nederland: Factsheet: De aanhouder wint (Advanced Persistent Threats) geraadpleegd op 17 april 2014
↑ Damballa: Advanced Persistent Threats: A Brief Description geraadpleegd op 17 april 2014
↑ Websense: Advanced Persistent Threats and other advanced attacks: threat analysis and defense strategies for SMB, mid-size and enterprise organizations geraadpleegd op 17 april 2014
↑ ^a ^b Secureworks: Understand the threat geraadpleegd op 19 april 2014
↑ Nationaal Cyber Security Centrum Nederland: Factsheet: De aanhouder wint (Advanced Persistent Threats) geraadpleegd op 19 april 2014

[1] Searchsecurity: Definitie Advanced Persistent Threat geraadpleegd op 17 april 2014. Gearchiveerd op 19 april 2014.

[ncsc.nl-2] Nationaal Cyber Security Centrum Nederland: Factsheet: De aanhouder wint (Advanced Persistent Threats) geraadpleegd op 17 april 2014

[3] Damballa: Advanced Persistent Threats: A Brief Description geraadpleegd op 17 april 2014

[4] Websense: Advanced Persistent Threats and other advanced attacks: threat analysis and defense strategies for SMB, mid-size and enterprise organizations geraadpleegd op 17 april 2014

[Understand_the_threat-5] Secureworks: Understand the threat geraadpleegd op 19 april 2014

[6] Nationaal Cyber Security Centrum Nederland: Factsheet: De aanhouder wint (Advanced Persistent Threats) geraadpleegd op 19 april 2014

[1]

[2]

[3]

[4]

[5]

[6]