5 apt-trender att förvänta sig 2016

Grupper som genomför advanced persistent threats (APT) har generellt behövt uppbackning och finansiering av stater eller andra starka grupper för att kunna genomföra dem, men det håller på att ändras.

Författare: Christer Spörndly
Datum: 09.03.2016
Lästid: 3 Minuter

APT nådde den breda massan under 2015, mest tack vare diskussionen efter attacken mot Sony Pictures avslöjades under senare delen av 2014.

”Nöjesföretaget har rapporterat att dom förlorat kontrollen över 100 terabytes utan att företaget och deras säkerhetssystem har upptäckt brottet” rapporterade Ars Technica.

APT-attacker — som namnet implicerar – är ganska avancerade och har krävt tillgång till exploits- och sabotageprogramvara, som kan bryta sig in på företag som borde ha den bästa säkerheten i världen. Under flera år har dom använts i den svarta konsten av cyber-spionage.

Artturi Lehtiö på F-Secure Labs förklarade i en rapport från 2015 som fick stort internationellt genomslag att: En grupp kända som “Dukes” har trängt igenom “regeringar och andra organisationer som ministerier och myndigheter, politiska tankesmedjor och statliga leverantörer” dom senaste 7-åren. F-secure labs har identifierat att dom huvudsakligen uppbackats av Ryska regeringen baserat på en rad bevis. ”Dukes tillväxt tyder på ett konstant flöde av resurser riktat mot en rad av regeringsrelaterade mål som; ambassader, parlament och försvarsministerier”. Artturi skriver: ”Noterbart är att gruppen aldrig har attackerat den ryska regeringen”

APT-grupper har generellt behövt uppbackning av nationella stater eller andra starka grupper beroende på komplexiteten och investeringarna som krävs för att genomföra dessa attacker, men det verkar ha ändrats nu.

Vi pratade med Artturi om APT-trenden för 2016 och han ser ett landskap där hot är mycket mer dynamiska, frekventa och förrädiska.

1. Fler attacker
“För det första så tror jag att målinriktade och avancerade attacker som inte är utförda av stater kommer att öka exponentiellt.” berättade Artturi. Han ser det som ett oundvikligt resultat av den snabba tillväxten av olika marknadsplatser där riktade attacker säljs av till högstbjudande. Verktygen för att skapa dessa typer av attacker har den senaste tiden även blivit allt mer standardiserade.

2. Mer villospår
“Samtidigt kommer stater att göra om sabotageprogrammen skrivna av andra för att bättre passa deras egna syften” säger Artturi och fortsätter: ”Vi har redan sett nationer och anslutna grupper utvecklas på infrastruktursidan för att bli svårare att upptäcka, undersöka.” Genom att hyra eller hacka någon annans nät läggs villospår ut mellan dom själva och sina brott. Snart börjar dom att tillämpa samma trix på verktygssidan. Artturi säger att han förväntar sig att se APT-grupper använda andras sabotageprogramvaror, endera köpt, hyrt eller stulet/kidnappat, i ett försök att göra det svårare att koppla attacken till dom enbart på val av verktyg. Han noterar att vi redan har sett en del exempel på detta inklusive ”Black Energy toolkit”, vilket har använts i flera politiskt orienterade attacker mot Ukraina och Sofacy koncernen, vilka har återanvänt sabotageprogramvara från Carberp familjen och Metasploit ramverket.

3. Falsk flagg
Artturi förväntar sig även mer avancerade villospår, vilket ofta leder till att myndigheter misstänker att attacken utförts av fel person, eller till och med fel land. Återigen finns det exempel på detta i historien, men jag förväntar mig att detta kommer att bli vanligare för APT-grupper att försöka missleda utredare genom att försöka plantera falska ledtrådar i deras verktyg.

4. Mer attacker
“Också “hacktivister” (hacker och aktivist) kommer att föredra mer riktade attacker jämfört med dom mer opportunistiska försöken vi sett än så länge”, säger Artturi. Genom att det finns färdiga verktyg för APT, förväntar han sig att politiskt motiverade grupper kommer att utvecklas från att blockera en tjänst tillfälligt till att skapa mer långvarig skada.

5. Större skada
“Till sist, både stater, kriminella och “hacktivister” kommer att genomföra kraftiga riktade skadliga attacker” säger Artturi. Dessa kommer troligtvis skapa ännu större skada än idag. Exempel på skador kan vara läcka information, förändrar den alternativt göra den korrupt samt att raderas och krypteras den för att göra den omöjlig att använda.

Mognaden av APT-marknaden har hjälpt till att skapa en miljö där frågan inte är om dom flesta företag har blivit attackerade, endast om hur svårt dom blivit hackade.


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s