Привет всем, сегодня начинаем цикл статей о APT-атаках, почему именно о них? Потому что на данной момент APT-атаки являются самыми эффективными, и в 95% случаев гарантируют желаемый результат, а именно доступ к секретной информации, уничтожению данных и т.д., к тому же приобретающими распространенность.
Внимание ! Хотелось бы сразу предупредить аудиторию, о том что вся информация в следующих статьях цикла, предоставлена исключительно в ознакомительных целях, автор не несет никакой ответственности за причиненный вами ущерб, причиной которого является неправильное использование данной информации. Помните об УК РФ !
Что такое АРТ-атака ?
APT — сокращение от Advanced Persistent Threat (сложная постоянная угроза или целевая кибератака), с одной стороны, сложная постоянная угроза (APT) является высокоточной кибератакой. С другой стороны, APT можно назвать хакерскую группировку, спонсируемую государством, организацией или человеком, оплачивающим целевую атаку.
Конечная цель атаки — получение доступа к машине хранящей секретную, конфиденциальную или любую ценную информацию, но при этом «входной точкой» может быть компьютер не хранящий какой либо ценной информации, находящийся в одной сети/подсети с целевой машиной. Таким компьютером может оказаться система автоматизации электронапряжения, компьютер рядового сотрудника, или даже мобильный телефон уборщицы.
Ситуация такова, что не нужно быть генеральным директором, чтобы стать мишенью для APT-атаки. Любой пользователь, подключившийся к Интернету, является потенциальной мишенью.
Начнем с того, что apt-атака имеет этапы:
- Сбор информации — атакующая группировка ищет и анализирует сайты, домены, информацию о сотрудниках, аккаунты сотрудников, информацию о партнерах, техническую документацию и прочую общедоступную информацию.
- Исследование сети — этап включает в себя составление карты сети, запись IP- адресов серверов, маршрутизаторов, коммутаторов, DNS-серверов, поиск VPN тунелей, ханипотов, прокси и т.д.
- Поиск уязвимостей — этап включающий в себя поиск уязвимостей на серверах, маршрутизаторах и т.д.
- Эксплуатация уязвимостей — злоумышленники взламывают сервер, маршрутизатор или другое компьютерное оборудование, находящееся в сети или подсети целевой машины.
- Взлом аккаунтов сотрудников — проводится в основном для фишинга, актуально для сбора информации, логинов и паролей, особенно актуально, когда необходимо избежать обнаружения системами вторжения, а также когда не найденно уязвимостей в сетевой инфраструктуре.
- Физическое проникновение — используется довольно редко, в том случае, если искомая информация не имеет электронного варианта или компьютер хранящий секретную информацию изолирован от сети, а так же с целью физического доступа к компьютеру.
- Закрепление в системе — злоумышленник закрепляется в системе для долгосрочного доступа к информации.
Продолжение следует…