APT-hyökkäys
Yritysturvallisuus > Kyberturvallisuus
APT-hyökkäys

Yksi kyberturvallisuutta vakavammin horjuttavista uhkista on APT-hyökkäys (Advanced Persistent Threat), joka tarkoittaa pitkäkestoista, kohdennettua ja huolellisesti suunniteltua kyberhyökkäystä. Toisin kuin tavalliset haittaohjelmat tai satunnaiset tietojenkalasteluyritykset, APT-hyökkäyksen tavoitteena on päästä yrityksen järjestelmiin, pysyä niissä huomaamattomasti pitkän aikaa ja kerätä arvokasta tietoa tai aiheuttaa strategista vahinkoa.
APT-hyökkäykset kohdistuvat usein viranomaisiin, kriittiseen infrastruktuuriin, puolustusorganisaatioihin, tutkimuslaitoksiin sekä suuriin yrityksiin. Hyökkäykset voivat kestää kuukausia tai jopa vuosia, minkä vuoksi niiden havaitseminen ja torjuminen on erityisen haastavaa. APT-hyökkäyksen tarkoituksena ei yleensä ole aiheuttaa välitöntä häiriötä, vaan kerätä tietoa, vakoilla tai valmistella myöhempiä hyökkäyksiä.
Lyhenne APT muodostuu kolmesta sanasta:
- Advanced (kehittynyt) tarkoittaa, että hyökkääjä hyödyntää monipuolisia tekniikoita, kuten tietojenkalastelua, haittaohjelmia, varastettuja tunnuksia ja järjestelmähaavoittuvuuksia.
- Persistent (pitkäkestoinen) viittaa siihen, että hyökkääjä pyrkii säilyttämään pääsyn kohdejärjestelmään mahdollisimman pitkään ilman, että toiminta havaitaan.
- Threat (uhka) tarkoittaa organisoitua hyökkääjää, jolla on selkeä tavoite, riittävästi resursseja ja usein myös pitkäjänteinen toimintasuunnitelma.
APT-hyökkäys (Advanced Persistent Threat) tarkoittaa kehittynyttä jatkuvaa uhkaa. Se on kyberhyökkäyksen muoto, jossa hyökkääjät yleensä valtiolliset toimijat tai hyvin organisoidut rikollisryhmät pyrkivät pääsemään kohdeorganisaation järjestelmiin pitkällä aikavälillä ja huomaamattomasti.
APT-hyökkäyksen pääpiirteet
- Käytetään monimutkaisia tekniikoita, kuten nollapäivähaavoittuvuuksia, haittaohjelmia ja sosiaalista manipulointia.
- Hyökkäys ei ole kertaluonteinen, vaan se jatkuu kuukausia tai jopa vuosia. Tavoitteena on pysyä järjestelmässä huomaamattomasti.
- Hyökkäykset suunnataan tiettyyn organisaatioon, usein hallituksiin, suuryrityksiin tai kriittiseen infrastruktuuriin.
Tyypillinen tavoite
- Vakoilu (valtio tai yritys)
- Tietojen varastaminen (valtiosalaisuudet, patentit, asiakastiedot)
- Sabotointi tai vaikutusvalta (esim. tietojen manipulointi, disinformaatio tai järjestelmien toiminnan häiritseminen).
Miten APT-hyökkäys eteneeAPT-hyökkäys etenee useissa vaiheissa, jotka tähtäävät siihen, että hyökkääjä pääsee järjestelmiin, pysyy siellä pitkään ja saa haluamansa tiedot ilman että huomataan. Tässä on tyypillinen APT-hyökkäyksen eteneminen vaihe vaiheelta:
1. Tiedustelu (Reconnaissance)Hyökkääjä selvittää kaiken mahdollisen kohteesta, kuten verkkosivut, työntekijät, sähköpostit, ohjelmistot ja muut mahdolliset heikot kohdat esim. vanhentuneet ohjelmistot. Tavoitteena on löytää tapa eli hyökkäysvektori, joka mahdollistaa pääsyn järjestelmään.2. Ensimmäinen sisäänpääsy (Initial Compromise)Hyökkääjä murtautuu järjestelmään, usein kohdennettu huijaussähköpostin, haittaohjelman tai hyödyntämällä haavoittuvuuksia.3. Asennus (Establish Foothold)Kun hyökkääjä on onnistunut pääsemään järjestelmään, hän asentaa takaoven (backdoor) tai komentokanavan (C2 = Command and Control), jotka mahdollistavat yhteydenpidon kohdejärjestelmään myöhemmin.4. Liikkuminen järjestelmässä (Lateral Movement)Hyökkääjä alkaa laajentaa pääsyään ja siirtyy muihin koneisiin tai verkkoihin. Hän etsii järjestelmänvalvojan tunnuksia ja kartoittaa verkon rakennetta.5. Tiedonkeruu (Data Exfiltration)Hyökkääjä kerää järjestelmästä haluamansa tiedot, kuten esimerkiksi asiakastiedot, immateriaalioikeudet, sähköpostit ja valtiosalaisuudet. Kerätyt tiedot salakirjoitetaan ja lähetetään hiljaisesti ulos.6. Pysyvyys (Maintain Persistence)Hyökkääjä varmistaa, että voi palata järjestelmään myöhemmin käyttäen luomiaan takaovia ja piiloutumistekniikoita (esim. rootkitit).
HyökkäysohjelmatValtiollisten toimijoiden työkalut ovat edistyneitä tietojenkalastelu-, vakoilu- ja haittaohjelmatyökaluja, joita valtiolliset tai valtiollisten tukemat tahot. Tyypillisiä valtiollisten toimijoiden käyttämiä työkaluja ovat APT-haittaohjelmat.X-Agent on tunnettu haittaohjelma, jota on käyttänyt erityisesti venäläiseksi arvioitu valtiollinen hakkeriryhmä APT28 (tunnetaan myös nimellä Fancy Bear tai Sofacy). Se on monialustainen vakoiluohjelma, jonka päätarkoitus on tiedustelu ja tietojen varastaminen.Cobalt Strike on laillinen penetration testing -työkalu, mutta sitä käytetään myös laajasti valtiollisten ja rikollisten toimijoiden toimesta hyökkäyksissä, koska se tarjoaa erittäin tehokkaat hyökkäys- ja hallintatoiminnot. Se toimii eräänlaisena "komentokeskuksena" haittaohjelmille ja toimii hyvin APT-tyyppisissä operaatioissa.Htran haittaohjelmaa käytetään APT-hyökkäystyökalun osana. HTran eli Http Tunnel on kiinalaisen APT1-ryhmän usein käyttämä työkalu, jota käytetään verkkoliikenteen uudelleenreitittämiseen (traffic redirector) ja jälkien peittämiseen. Sen päätarkoitus on ohjata hyökkääjän ja uhrin välinen C2-liikenne eri reitille, jotta liikenteen alkuperä (hyökkääjä) pysyy piilossa ja vaikeammin jäljitettävissä. Htran kyberhaittaohjelman toimintaperiaate on seuraava:
1. Käyttäjä aloittaa ohjelman käytönKäyttäjä käynnistää HTran-ohjelman ja valitsee asetukset, kuten reitityksen määritykset.2. HTran ottaa vastaan verkkoliikenteenHTran toimii välikätenä verkkoliikenteelle ja vastaanottaa kaikki saapuvat pyynnöt käyttäjältä.3. HTran ohjaa liikenteen välityspalvelimelleHTran ohjaa liikenteen toiselle palvelimelle, jolloin liikenteen alkuperäinen lähde ja kohde piilotetaan.4. Liikenteen manipulointi (protokolla, salaus, muotoilu)HTran voi muokata liikenteen protokollaa, kuten käyttää eri portteja, salata liikenteen tai muokata sen muotoa, jotta jäljittäminen on vaikeampaa.5. Reititys Tor-verkon tai toisen reitittimen kauttaHTran voi ohjata liikenteen Tor-verkkoon tai muihin reitittimiin, jolloin liikenne kulkee useiden solmujen kautta, mikä parantaa anonymiteettiä.6. Alkuperäisen IP-osoitteen piilottaminenHTran piilottaa alkuperäisen IP-osoitteen ja korvataan se välikäytön palvelimen IP-osoitteella, mikä estää liikenteen alkuperän jäljittämisen.7. Lopullinen liikenne kulkee salattuna ja muutettuna kohteeseenLiikenne kulkee kohteeseen, mutta sen alkuperä ja reititys ovat piilossa, joten liikenteen analysointi tai jäljittäminen on hankalaa.
DTrack on vakoilu- ja jäljityshaittaohjelma, jonka taustalla on pohjoiskorealainen Lazarus Group. Se suunniteltiin ensisijaisesti tiedonkeruuseen, mutta sitä voidaan käyttää myös hyökkäyksen valmisteluun ja lateraaliseen liikkeeseen verkossa. DTrack on havaittu erityisesti hyökkäyksissä pankkeihin, tutkimuslaitoksiin ja jopa ydinvoimaloihin esimerkiksi Intiassa 2019.Regin on erittäin kehittynyt haittaohjelma ("implantti"), jota on käytetty kybervakoiluun, ei niinkään tavanomaisiin verkkohyökkäyksiin kuten palvelunestohyökkäyksiin tai ransomwareen. Se on monivaiheinen, modulaarinen ja hyvin piilotteleva. Ohjelman tarkempi toiminta riippuu siitä, mihin tarkoitukseen se on asennettu. Yllä kuvassa on yleiskatsaus siitä, miten Regin toimii vakoiluoperaation osana.






