Advanced Persistent Threat

Uit Wikipedia, de vrije encyclopedie
Ga naar: navigatie, zoeken

Een Advanced Persistent Threat (APT) is een langdurige en doelgerichte cyberaanval waarbij een onbevoegd persoon onopgemerkt en voor langere tijd toegang krijgt tot een netwerk. Het doel van een APT-aanval is niet om schade te veroorzaken, maar om continu toegang te verkrijgen en gegevens te stelen. APT-aanvallen zijn vooral gericht op landen en op organisaties.[1][2]

Drie componenten[bewerken]

De term werd in januari 2006 gemunt door de United States Air Force (USAF).

  • Advanced staat voor geavanceerd: de aanvallers beschikken over een breed spectrum aan technisch complexe aanvalswapens, die ze vaak combineren om hun doel te bereiken.
  • Persistent staat voor volharding: de aanvallers zijn zeer volhardend en krijgen stap voor stap toegang. APT-aanvallers blijven zo lang mogelijk onzichtbaar en verplaatsen zich voorzichtig van het ene doelwit naar het andere om te vermijden dat ze worden waargenomen.[3]
  • Threat: de aanvallers zijn bekwaam, goed georganiseerd en goed gefinancierd.

Verloop van een APT-aanval[bewerken]

Een APT-aanval bestaat uit vijf grote fasen die kunnen optreden gedurende een periode van enkele maanden. Deze stappen worden een voor een door de aanvallers uitgevoerd.[2][4]

Fase 0: verkenning[bewerken]

In deze fase onderzoeken de aanvallers via openbare bronnen, socialmediamining, netwerkscanning en social engineering naar belangrijke personen, belangrijke bezittingen en kwetsbaarheden. Dit kunnen onder meer leidinggevenden zijn, maar ook IT-beheerders en hosts die toegang kunnen verlenen tot het doelwit binnen de organisatie. Met deze informatie wordt een aanvalscampagne opgestart.

Fase 1: initiële aanval[bewerken]

Deze fase omvat meestal een of meerdere methodes die gericht zijn op het verkrijgen van toegang. Er worden verschillende methodes gehanteerd. Een voorbeeld hiervan is een doelgerichte e-mail over een bezoek aan een beurs, leverancier of klant die verstuurd wordt vanaf een bekend e-mailadres. Deze methode wordt ook wel spear-phishing genoemd. De e-mail bevat meestal een link naar een website met malware. Ook kan de e-mail een bijlage bevatten in een Office- of pdf-formaat. Deze bijlagen kunnen bij het openen ervan de computer infecteren. Naast e-mail wordt er ook gebruik gemaakt van social engineering, demo-cd's, USB-sticks, USB-apparaten zoals muizen, via wifi, bluetooth, tablets, laptops en routers.

Fase 2: creëren van een achterdeur[bewerken]

In deze fase zal de aanvaller de geïnfecteerde machine beheren met een in- of extern commando en controlserver (C&C). Dit commando en deze controlserver laat de aanvaller toe om op afstand malware te updaten, nieuwe malware toe te voegen en opdrachten te versturen naar de geïnfecteerde machine. De aanvaller heeft hulpmiddelen, zoals rootkits, keyloggers of filetransfertools klaarstaan voor de download. Deze worden lokaal en/of op systemen geïnstalleerd, die de aanvaller in fase 2a helpt.

Fase 2a: verdere infectie en extra rechten verkrijgen[bewerken]

In deze fase zal de geïnfecteerde machine extra onderdelen downloaden om vertrouwelijke gegevens (zoals wachtwoorden) in netwerklocaties op te sporen. Indien het noodzakelijk is, wordt er speciale software geïnstalleerd, zoals cachedump en getmail om informatie en/of administratorrechten in het verdere netwerk te krijgen.

Fase 3: verkrijgen van informatie[bewerken]

Tijdens deze fase zal de geïnfecteerde machine informatie sturen naar de server van de aanval. De informatie kan e-mails, documenten, microfoongeluid en webcambeelden bevatten. De communicatie kan zowel direct verlopen als via besmette proxymachines.

Fase 4: behouden van aanwezigheid[bewerken]

Gedurende deze fase wordt er continu informatie uit de organisatie weggenomen. De aanvaller zal proberen de kans op detectie te beperken. Indien nodig zal hij malware installeren om tegenacties van de verdediging voor te blijven.

Fase 5: exit[bewerken]

De aanvaller kan ervoor kiezen om de aanval te doen stoppen omdat hij zijn doel bereikt heeft. Dit doet hij door de malware te de-installeren en de sporen van aanwezigheid te wissen. Ook kan hij ervoor kiezen om zo lang mogelijk binnen de organisatie actief te blijven of om zoveel mogelijk systemen en de responsorganisatie te saboteren om de analyse- en repressiecapaciteiten van de organisatie te verstoren.

Aanvallers[bewerken]

Achter de APT-aanvallen kunnen zowel statelijke actoren, zoals inlichtingen-, veiligheidsdiensten en militaire entiteiten als georganiseerde criminelen en terroristen zitten. APT-aanvallers of ook wel APA-aanvallers (Advanced Persistent Adversary) onderscheidden zich van andere aanvallers door hun niveau van verfijning, organisatie en middelen. Bovendien richtten ze zich op een specifieke organisatie of entiteit en ze plegen een aanval tot ze hun doelen bereikt hebben. APT-aanvallers werken onafhankelijk of als een onderdeel van een grotere groep. Indien er sprake is van een groep, zijn de activiteiten onderverdeeld.[5]

Motieven[bewerken]

De motieven van APT-aanvallers zijn gevarieerd. Statelijke actoren acteren vanuit een economisch, politiek of militair-strategisch gewin. Criminelen plegen een aanval vanuit financieel gewin, onvrede of ideologische gronden. Andere motieven zijn:[5][6]

  • Het verkrijgen van financieel voordeel.
  • Het verzamelen van inlichtingen.
  • Concurrentievoordeel behalen voor de industrie.
  • Een organisatie in verlegenheid brengen en de reputatie beschadigen.

Bekende APT-aanvallen[bewerken]

Externe link[bewerken]

Nationaal Cyber Security Centrum: factsheet 'de aanhouder wint - advanced persistent threats'

Bronnen, noten en/of referenties
  1. Searchsecurity: Definitie Advanced Persistent Threat geraadpleegd op 17 april 2014
  2. a b Nationaal Cyber Security Centrum Nederland: Factsheet: De aanhouder wint (Advanced Persistent Threats) geraadpleegd op 17 april 2014
  3. Damballa: Advanced Persistent Threats: A Brief Description geraadpleegd op 17 april 2014
  4. Websense: Advanced Persistent Threats and other advanced attacks: threat analysis and defense strategies for SMB, mid-size and enterprise organizations geraadpleegd op 17 april 2014
  5. a b Secureworks: Understand the threat geraadpleegd op 19 april 2014
  6. Nationaal Cyber Security Centrum Nederland: Factsheet: De aanhouder wint (Advanced Persistent Threats) geraadpleegd op 19 april 2014