4. Przejawy cyberprzestępczości

4.17. APT (Advanced Persistent Threat - zaawansowane trwałe zagrożenie)

Termin APT można dosłownie przetłumaczyć jako "zaawansowane i uporczywe zagrożenie". Jest to długotrwały, systematyczny cyberatak ukierunkowany na docelowy system komputerowy lub technologie informacyjno-komunikacyjne docelowej organizacji. Sam atak wykorzystuje różnorodne techniki i dość duże zasoby, a zazwyczaj atakowane mogą być cele drugorzędne (systemy komputerowe organizacji, np. poprzez powtarzające się ataki DoS lub inne) w celu odwrócenia uwagi od celu głównego (infiltracja firmy za pomocą złośliwego oprogramowania), który następnie jest atakowany.

"Celem APT jest zazwyczaj wydobycie strategicznie cennych danych niejawnych lub niepublicznych, ograniczenie operacyjności celu lub zajęcie pozycji umożliwiającej przyszłe wdrożenie wspomnianych działań. Podejmowanie działań, które spełniają definicję APT, wymaga wysokiego poziomu wiedzy specjalistycznej, znacznych zasobów finansowych oraz umiejętności długoterminowego dostosowywania się do działań ofiary. Charakter APT przyjmują więc głównie podmioty państwowe, grupy przez nie kontrolowane i sponsorowane lub wyspecjalizowane zorganizowane grupy przestępcze.[1]

Rzeczywisty atak APT składa się zazwyczaj z:

  • zdobycie informacji o celu ataku (zbieranie informacji z otwartych źródeł, wykorzystanie socjotechniki itp.)
  • właściwego ataku:

-       Wybór odpowiednich środków (złośliwe oprogramowanie, tworzenie tożsamości pod przykrywką itp.)

-       Jeśli system można zaatakować z zewnątrz, to jest on atakowany

-       Jeżeli system nie jest dostępny z zewnątrz, można zastosować inne techniki w połączeniu z socjotechniką (np. spear phishing, kradzież tożsamości itp.).

  • przejęcia kontroli nad niektórymi systemami komputerowymi, umocnienia pozycji w zaatakowanej sieci komputerowej
  • gromadzenia danych i informacji i przesyłania ich do napastnika
  • eksploracji danych

Podczas ataku APT napastnicy mogą stosować inne rodzaje ataków na wybrany cel, w zależności od uzyskanych danych i informacji.

APT można wyświetlić, wykorzystując jego cykl życia:

 

Przebieg ataku APT[2]

Rzeczywisty atak APT może trwać od kilku miesięcy do wielu lat, a atak może obejmować stosunkowo długie okresy, w których aktywność atakującego jest minimalna. Prowadzenie dużej liczby podobnych operacji przeciwko różnym celom jednocześnie nie jest wyjątkiem. [3]

Na stronie internetowej Kasperky Lab (https://apt.securelist.com/#firstPage) znajduje się graficzna prezentacja znanych ataków APT, zawierająca informacje o tym, kiedy po raz pierwszy pojawiła się próbka szkodliwego oprogramowania, kiedy atak APT został wykryty, gdzie głównie działa (informacje o geolokalizacji, główne zaatakowane systemy operacyjne, liczba celów itd. Poniższe dwa printscreeny pokazują pierwotne wiązanie złośliwego oprogramowania Stuxnet (między innymi) z Duqu 2.0, a następnie wiązanie Duqu 2.0 z innym złośliwym oprogramowaniem.

  


Wyświetlanie ataków ATP wraz z ich współzależnościami[4]

Możliwości stosowania sankcji karnych w Republice Czeskiej

Ewentualna odpowiedzialność karna napastników przeprowadzających atak APT zależy wyłącznie od ich działań, które mogą przybrać formę dystrybucji złośliwego oprogramowania, ataków phishingowych, kradzieży tożsamości itp.

Możliwości ścigania karnego w Polsce

Analizując atak APT pod kątem naruszeń prawa obowiązującego w Polsce, należy wziąć pod uwagę, że gdyby atak został przeprowadzony na wszystkich jego etapach, popełniono by co najmniej kilka wykroczeń. Zgodnie z obowiązującymi przepisami prawa można rozważyć przeprowadzenie ataku APT:

- hakowanie na podstawie art. 267 § 1 Kodeksu karnego

- przestępstwo wytwarzania lub udostępniania urządzeń lub programów komputerowych, haseł i kodów z art. 269b kodeksu karnego

- oszustwo komputerowe z art. 287 Kodeksu karnego

Inne przestępstwa, które mogą wystąpić w fazie wdrażania, to:

- sabotaż komputerowy z art. 269 Kodeksu karnego,

- sprowadzenie niebezpieczeństwa dla życia, zdrowia lub mienia na podstawie art. 165 Kodeksu karnego,

- niszczenie, uszkadzanie, usuwanie danych informatycznych z art. 268a Kodeksu karnego,

- zakłócenia w działaniu systemu komputerowego lub sieci teleinformatycznej w trybie art. 269a.

Atak APT może być również równoznaczny ze szpiegostwem w rozumieniu art. 130 § 3 Kodeksu karnego.



[1] Zaawansowane trwałe zagrożenie. [online]. Dostępne pod adresem: https://www.isouvislosti.cz/advanced-persistent-threat

[2] Zaawansowane trwałe zagrożenie - cykl życia. [online]. Dostępne pod adresem: https://upload.wikimedia.org/wikipedia/commons/7/73/Advanced_persistent_threat_lifecycle.jpg

[3] Więcej informacji można znaleźć na stronie: Zaawansowane trwałe zagrożenie. [online]. Dostępne pod adresem: https://www.isouvislosti.cz/advanced-persistent-threat

Zaawansowane trwałe zagrożenie (Advanced Persistent Threat, APT). [online]. Dostępne pod adresem: http://searchsecurity.techtarget.com/definition/advanced-persistent-threat-APT

Zaawansowane trwałe zagrożenia: jak działają. [online]. Dostępne pod adresem: https://www.symantec.com/theme.jsp?themeid=apt-infographic-1

Jak działają APT? Cykl życia zaawansowanych trwałych zagrożeń (infografika). [online]. Dostępne pod adresem: https://blogs.sophos.com/2014/04/11/how-do-apts-work-the-lifecycle-of-advanced-persistent-threats-infographic/

[4] Dziennik ukierunkowanych ataków cybernetycznych. [online]. Dostępne pod adresem: https://apt.securelist.com/#secondPage