U posljednjih nekoliko godina sve se više govori o ciljanim računalnim napadima na vlade različitih država i velike kompanije.
Takve napade obično provode dobro organizirane skupine ljudi koje se nazivaju naprednim ustrajnim prijetnjama (eng. Advanced Persistent Threat. APT). Te skupine posjeduju napredna znanja i tehnologije za izvođenje računalnih napada i krađu informacija.
Napadi se izvode kroz dulje vremensko razdoblje i ciljaju na točno određeni subjekt. Napadači su iznimno prilagodljivi, pa tako po potrebi mogu razviti napredne alate za izvođenje napada.
U posljednjih deset godina zabilježeno je više od 50 velikih napada na različite subjekte. APT napadi obično se odvijaju u nekoliko faza.
- Istraživanje - Pasivno sakupljanje informacija o žrtvi.
- Priprema - Razvoj i ispitivanje prikladnih alata i metoda za ciljani napad na žrtvu.
- Napad - Pokretanje napada i traženje znakova uspješnog proboja ili neuspjeha.
- Dobivanje pristupa - Kretanje kroz mrežu u potrazi za podacima od interesa, i instalacija dodatnih backdoor servisa
- Skupljanje podataka - Skupljanje podataka na jedno računalo i izvlačenje iz mreže.
- Održavanje veze - Održavanje pristupa mreži kroz dulje vremensko razdoblje u svrhu skupljanja što veće količine podataka.
Napadač koristi određen skup metoda i alata. Te metode i alati uključuju: phishing, drive-by preuzimanje, backdoor servise, RAT alate, alate za izradu zlonamjernih programa i mnoge druge tehnike i alate.Povećanje sigurnosti, razine otpornosti i sprječavanje APT napada moguće je izvesti pridržavajući se nekih osnovnih sigurnosnih mjera. Ponekad je moguće otkriti mrežne aktivnosti povezane s udaljenim upravljanjem, te ih analizom odlaznog prometa omesti ili onemogućiti. U budućnosti se mogu očekivati novi napadi, ali i povećanje broja programskih paketa specijaliziranih za zaštitu od takve vrste napada.Važno je poduzeti sve moguće osnovne mjere zaštite u svrhu sprječavanja APT napada..
U posljednjih nekoliko godina posebno su maha uzeli ciljani računalni napadi zlonamjernih skupina ljudi na oređene organizacije (vlade nekih država, velike kompanije te znanstveni laboratoriji). Takve napade provode dobro organizirane skupine ljudi s ciljem krađe informacija ili ometanja rada organizacije. Izraz napredne ustrajne prijetnje (eng. Advanced Persistent Threat, APT) odnosi se na takve skupine ljudi.
Unutar računarske zajednice izraz APT se koristi za opisivanje sofisticiranih računalnih napada koji traju dulje vremensko razdoblje, a usmjereni su protiv vlada, kompanija i političkih aktivista. Ljudi koji upravljaju samom prijetnjom koriste cijeli niz tehnika za sakupljanje podataka. One mogu uključivati tehnologije i tehnike koje se koriste za upade u računalne sustave, no uključuju i uobičajene načine skupljanja podataka (primjerice presretanje telefonskih poziva i satelitske snimke). Napadači su iznimno prilagodljivi, pa tako po potrebi mogu razviti napredne alate za izvođenje napada. Oni posebnu pažnju posvećuju specifičnom zadatku. Ne traže informacije oportunistički u svrhu financijske ili neke druge dobiti. Kad napadači izgube kontakt sa žrtvom obično će ga pokušati ponovno uspostaviti. APT-ovi predstavljaju prijetnju jer posjeduju i sposobnosti i namjeru za napad. APT napadi često koriste dotad nepoznate propuste u računalnim sustavima, programima ili operacijskim sustavima. U posljednjih deset godina zabilježeno je više od 50 velikih napada na različite subjekte.
APT napadi obično se odvijaju u nekoliko faza.
- Istraživanje - Pasivno sakupljanje informacija o žrtvi s ciljem određivanja najbolje metode napada.
- Priprema - Napadač se priprema za napad. On razvija i ispituje prikladne alate i metode za ciljani napad na žrtvu. To može uključivati skeniranje mreže u cilju prepoznavanja slabosti i propusta, pisanje i pribavljanje zlonamjernog koda i izradu zlonamjernih poruka elektroničke pošte.
- Napad - Napadač pokreće napad i traži znakove uspješnog proboja ili neuspjeha. Napad se obično izvodi uz pomoć dokumenta-zamke koji se korisniku dostavlja kao privitak phishing poruke elektroničke pošte.
- Dobivanje pristupa - Jednom kad je napadač uspješno uspostavio vezu s računalnom mrežom organizacije, on pokušava ustanoviti gdje se nalazi u mreži. Najčešće upravlja zaraženim računalom kroz naredbeni redak. Tada se kreće kroz mrežu u potrazi za podacima od interesa, a usput instalira dodatne backdoor servise i alate za udaljeno upravljanje (eng. Remote Administration Tool, RAT).
- Skupljanje podataka - Kad napadač identificira podatke od interesa, on ih pokušava skupiti na jedno računalo i izvući ih iz mreže.
- Održavanje veze - Nakon što je napadač uspješno uspostavio vezu s mrežom u svrhu skupljanja podataka, on će najčešće pokušati održati pristup mreži kroz dulje vremensko razdoblje u svrhu skupljanja što veće količine podataka.
Pri izvođenju napada i za vrijeme interakcije s napadnutom mrežom napadač koristi određen skup metoda i alata. Te metode i alati uključuju: phishing, drive-by preuzimanje, backdoor servise, RAT alate, alate za izradu zlonamjernih programa, skeniranje mreže, napade na bežične mreže organizacije, uspostavljanje centra za nadzor i upravljanje, promjenu podataka i konfiguracija ciljne mreže, uskraćivanje usluga, te tajnost i praćenje događaja.
Povećanje sigurnosti, razine otpornosti i sprječavanje APT napada moguće je izvesti pridržavajući se nekih osnovnih sigurnosnih mjera: sigurnosni sustavi orijentirani na informacije, ispravljanje propusta, ograničenje korištenja, edukacija korisnika, ograničenje pristupa mreži, edukacija mrežnih administratora, nadzor vanjskih memorijskih jedinica, analiza proboja zaštite, nadzor pristupa i ostale mjere. Pošto se APT napadi oslanjaju na udaljeni pristup i upravljanje, ponekad je moguće otkriti mrežne aktivnosti povezane s udaljenim upravljanjem, te ih analizom odlaznog prometa omesti ili onemogućiti. Za te namjene upotrebljavaju se neka programska rješenja otvorenog koda.
S obzirom na rastuće trendove napada na velike kompanije i rastuću popularnost virtualizacije, vrlo je vjerojatno da će u budućnosti i kompanije poput VMware Inc., Oracle i ostalih postati žrtvama APT napada. Novootkriveni propusti u virtualizacijskim programima omogućili bi zlonamjernim programima bježanje iz virtualnog okruženja i zarazu cjelokupnih sustava, a napadačima pristup svim podacima pohranjenima na takvom sustavu. Zato je važno poduzeti sve moguće osnovne mjere zaštite u svrhu sprječavanja takve vrste napada.