Computer >> Hướng Dẫn Máy Tính >  >> Điện Thoại Thông Minh >> Điện Thoại Thông Minh

Mối đe dọa liên tục nâng cao (APT) là gì? Hiểu chiến thuật và tác động của nó

Mối đe dọa dai dẳng nâng cao là gì?

Mối đe dọa dai dẳng nâng cao (APT) là một cuộc tấn công mạng lén lút, tinh vi và kéo dài nhằm mục đích đánh cắp dữ liệu nhạy cảm hoặc làm gián đoạn các hoạt động thiết yếu của chính phủ, tài chính hoặc lưới điện. Những cuộc tấn công này có thể không bị phát hiện trong thời gian dài, khi tin tặc tận dụng các công cụ và phương pháp như rootkit và steganography để che giấu sự hiện diện của chúng và thực hiện các hoạt động độc hại.

Các mục tiêu APT phổ biến thường bao gồm các cơ quan chính phủ, doanh nghiệp và nhà nghiên cứu. Dưới đây là cái nhìn sâu hơn về các tổ chức thường bị nhắm mục tiêu và lý do:

  • Các chính phủ có thể có thông tin mật, bí mật quân sự hoặc thông tin chính trị mà kẻ tấn công có thể sử dụng để đạt được lợi thế hoặc ảnh hưởng chiến lược.
  • Cơ sở hạ tầng quan trọng như năng lượng, nước, giao thông công cộng và viễn thông có thể bị gián đoạn để đạt được lợi thế thương lượng hoặc đơn giản là gây ra sự tàn phá.
  • Các tập đoàn lớn có thể sở hữu tài sản trí tuệ hoặc dữ liệu độc quyền mà kẻ tấn công có thể sử dụng để đạt được lợi thế cạnh tranh hoặc đòi tiền chuộc.
  • Các tổ chức tài chính lưu trữ dữ liệu và hồ sơ của chủ tài khoản mà tin tặc có thể lợi dụng để thực hiện hành vi gian lận tài chính hoặc đánh cắp danh tính.
  • Các nhóm nghiên cứu tạo ra công nghệ tiên tiến và đạt được những tiến bộ khoa học mà những kẻ tấn công APT có thể đánh cắp vì lợi ích của họ — hoặc của quốc gia họ.

Các mối đe dọa dai dẳng nâng cao thường không nhắm mục tiêu vào các cá nhân. Tuy nhiên, bạn vẫn có thể bị ảnh hưởng nếu sự gián đoạn dẫn đến ngừng dịch vụ trên diện rộng, bất ổn kinh tế hoặc lộ dữ liệu cá nhân.

Ai thường đứng sau cuộc tấn công APT?

Thông thường, các chính phủ, nhóm được nhà nước bảo trợ, những kẻ tấn công hoặc các tổ chức tội phạm được tài trợ tốt khác đứng đằng sau APT. Những cuộc tấn công này đòi hỏi nguồn lực dồi dào, kiến thức chuyên môn chuyên sâu và nỗ lực bền bỉ, do đó, việc các tin tặc cá nhân hoặc tội phạm mạng nhỏ lẻ thực hiện chúng thường là không thực tế.

Vòng đời của mối đe dọa dai dẳng nâng cao

Vòng đời của mối đe dọa liên tục nâng cao bao gồm việc kẻ tấn công giành được quyền truy cập vào mạng của tổ chức (xâm nhập), di chuyển ngang qua mạng để lây nhiễm sang các thiết bị và hệ thống được kết nối khác (mở rộng) và định tuyến dữ liệu bị đánh cắp đến vị trí mà chúng kiểm soát (xâm nhập).

Mối đe dọa liên tục nâng cao (APT) là gì? Hiểu chiến thuật và tác động của nó Mối đe dọa liên tục nâng cao (APT) là gì? Hiểu chiến thuật và tác động của nó

Sơ đồ cho thấy các mối đe dọa dai dẳng nâng cao hoạt động như thế nào.

Dưới đây là một số thông tin chi tiết hơn về các bước khác nhau trong vòng đời APT.

1. Xâm nhập

Xâm nhập là giai đoạn đầu của một cuộc tấn công APT. Một nhóm kẻ tấn công chuyên biệt sẽ chọn mục tiêu, hoàn thành nghiên cứu chuyên sâu để xác định các công cụ và chiến thuật xâm nhập hiệu quả nhất, đồng thời giành được quyền truy cập trái phép vào mạng của mục tiêu. Thông thường, điều này liên quan đến phần mềm gián điệp, kỹ thuật lừa đảo qua mạng, tải xuống theo từng ổ đĩa, chèn SQL hoặc lừa đảo trực tuyến.

Sau khi gia nhập, họ có thể thiết lập chỗ đứng, mở đường cho việc mở rộng.

2. Mở rộng

Sau khi xâm nhập, tin tặc mở rộng cuộc tấn công và đào sâu hơn vào mạng bị xâm nhập thông qua chuyển động ngang. Trong quá trình này, những kẻ tấn công xâm phạm các thiết bị, hệ thống và máy chủ mạng khác, thường tạo ra các “cửa sau” — hoặc các điểm truy cập ẩn — khi chúng thực hiện.

Với quyền kiểm soát nhiều điểm kết nối mạng, kẻ tấn công có thể thiết lập “sự kiên trì” bằng cách cài đặt các cơ chế ẩn để duy trì quyền truy cập và truy cập lại theo ý muốn, khiến đội bảo mật khó phát hiện và tiêu diệt chúng hơn.

Họ có thể đánh cắp thông tin xác thực của quản trị viên thông qua keylogger hoặc vượt qua các cuộc tấn công băm để có quyền truy cập vào dữ liệu và tài nguyên bị hạn chế mà không tạo ra hoạt động mạng bất thường.

3. Lọc

Trong quá trình lọc, kẻ tấn công chuyển dữ liệu đã mã hóa đến một vị trí dưới sự kiểm soát của chúng.

Thông thường, họ áp dụng cách tiếp cận “thấp và chậm” để lọc một lượng nhỏ dữ liệu theo thời gian. Điều này tránh cảnh báo các hệ thống phát hiện đang tìm kiếm những đột biến lớn, đột ngột về lưu lượng truy cập ra ngoài. Họ cũng có thể che giấu hoạt động bất hợp pháp của mình bằng cách thiết lập các kênh bí mật — các đường dẫn mạng được mã hóa để che giấu dữ liệu truyền tải.

Để duy trì chỗ đứng và tránh bị phát hiện trong quá trình đánh cắp, những kẻ tấn công đôi khi sử dụng các kỹ thuật như steganography (để ẩn dữ liệu bị đánh cắp trong các tệp dường như vô hại), lên lịch truyền trong giờ thấp điểm hoặc khởi động cuộc tấn công Từ chối dịch vụ (DoS) hoặc Từ chối dịch vụ phân tán (DDoS) như một màn khói để áp đảo các mạng và nhóm bảo mật.

Đặc điểm mối đe dọa dai dẳng nâng cao

APT dựa vào kỹ thuật tàng hình và lẩn tránh, chuyển động ngang, phần mềm độc hại tiên tiến và cách tiếp cận chậm và chậm để lọc dữ liệu mà không bị phát hiện.

Tuy nhiên, đây không phải là những gì bạn sẽ thấy khi nhận được một cuộc tấn công. Thay vào đó, bạn có thể nhận thấy các dấu hiệu cảnh báo như:

  • Hoạt động tài khoản bất thường:Bạn có thể nhận thấy hoạt động tài khoản bất thường, như đăng nhập từ các vị trí xa lạ hoặc vào những giờ bất thường.
  • Tài khoản quản trị viên mới:Những kẻ tấn công APT cũng có thể tạo tài khoản quản trị viên hoàn toàn mới để có nhiều quyền truy cập hơn mà ít bị giám sát hơn.
  • Mạng chậm:Nếu kẻ tấn công vội vàng và chuyển lượng lớn dữ liệu bị đánh cắp, chúng có thể tiêu tốn băng thông đáng kể và làm chậm Internet.
  • Mức sử dụng dữ liệu tăng đột biến:Lưu lượng truy cập mạng gửi đi tăng đột ngột hoặc định kỳ, đặc biệt là trong giờ thấp điểm, có thể cho thấy ai đó đang lấy cắp một lượng lớn thông tin.
  • Tệp lạ:Những kẻ tấn công thường cài đặt phần mềm độc hại trên các thiết bị bị xâm nhập, do đó bạn có thể tìm thấy các tệp hoặc ứng dụng lạ trên thiết bị của mình. Bạn cũng có thể gặp phải các vấn đề về hiệu suất thiết bị, tác dụng phụ của việc lây nhiễm.
  • Các công cụ bảo mật bị vô hiệu hóa:Để tránh bị phát hiện, những kẻ tấn công đôi khi vô hiệu hóa phần mềm chống vi-rút, tường lửa hoặc hệ thống phát hiện xâm nhập để hoạt động mà không bị phát hiện.

Ví dụ về mối đe dọa dai dẳng nâng cao

Có một số điểm chung giữa các cuộc tấn công APT nổi tiếng - chúng thường được nhà nước bảo trợ, sử dụng phần mềm độc hại hoặc lừa đảo tùy chỉnh và nhằm mục đích đánh cắp thông tin hoặc phá vỡ cơ sở hạ tầng quan trọng vì lợi ích chính trị. Dưới đây là một số ví dụ:

1. Gấu trúc yêu tinh

Goblin Panda là nhóm gián điệp mạng có trụ sở tại Trung Quốc, chủ yếu nhắm vào các nước Đông Nam Á, đặc biệt là Việt Nam. Hoạt động gia tăng trong bối cảnh tranh chấp lãnh thổ vào năm 2014 và chủ yếu ảnh hưởng đến chính phủ, quốc phòng và các lĩnh vực năng lượng của Việt Nam.

2. Gấu yêu thích

Fancy Bear là một nhóm có trụ sở tại Nga được nhiều người cho là có liên quan đến tình báo quân sự Nga (GRU). Nó nổi tiếng với việc tạo các trang web giả mạo, khởi chạy các chiến dịch thu thập thông tin xác thực và triển khai phần mềm độc hại để thu thập thông tin nhạy cảm. Cho đến nay, nó chủ yếu nhắm vào các lĩnh vực chính phủ, hàng không vũ trụ, quốc phòng và năng lượng ở Hoa Kỳ và Tây Âu.

3. Gấu ấm cúng

Cosy Bear là một nhóm hack khác do nhà nước Nga tài trợ, được cho là có liên quan đến Cơ quan Tình báo Nước ngoài Nga (SVR). Giống như Fancy Bear, APT này phù hợp chặt chẽ với lợi ích của Nga. Tuy nhiên, Cosy Bear đã phát triển để nhắm mục tiêu vào các chính phủ, cơ sở hạ tầng quan trọng, tập đoàn và chuỗi cung ứng, thường bằng cách khai thác các lỗ hổng zero-day để duy trì quyền truy cập lén lút.

Vào năm 2015, Cosy Bear đã vi phạm Đại hội toàn quốc của đảng Dân chủ, duy trì quyền truy cập mà không bị phát hiện trong nhiều tháng. Tiếp theo Fancy Bear là một cuộc xâm nhập công khai hơn vào năm 2016. Theo các quan chức cấp cao của bộ tư pháp, các hoạt động này được cấp phép cao nhất của chính phủ Nga.

4. OceanLotus

OceanLotus hay còn gọi là Ocean Buffalo là nhóm hacker dai dẳng cấp cao đến từ Việt Nam. Chúng được biết là nhắm mục tiêu vào các công ty hàng tiêu dùng, công ty sản xuất, tổ chức khách sạn và các nhà bất đồng chính kiến, nhà báo và nhà hoạt động – đặc biệt là ở Đông Nam Á. OceanLotus thường dựa vào kỹ thuật xã hội, tấn công Watering Hole và phần mềm độc hại tùy chỉnh để xâm chiếm mạng riêng.

Năm 2020, các nhà nghiên cứu an ninh mạng đã phát hiện ra bằng chứng cho thấy Ocean Buffalo đang xâm nhập vào Bộ Quản lý Tình trạng khẩn cấp của Trung Quốc và chính quyền tỉnh Vũ Hán để thu thập thông tin tình báo về COVID-19.

5. Đội Elfin

Nhóm Elfin là một nhóm APT của Iran tấn công các chính phủ, tập đoàn và các nhóm liên quan đến nghiên cứu kỹ thuật, sản xuất, hàng không vũ trụ và năng lượng. Chiến công của họ đã ảnh hưởng đến Ả Rập Saudi, Hoa Kỳ và các quốc gia khác. Người ta tin rằng một số mục tiêu đã được chọn để chuẩn bị cho các cuộc tấn công chuỗi cung ứng trong tương lai.

Vào năm 2019, Nhóm Elfin đã cố gắng xâm nhập vào lĩnh vực hóa chất của Ả Rập Saudi thông qua lỗ hổng WinRAR. Điều này có thể cho phép họ thực thi các chương trình độc hại, có khả năng gây tổn hại đến các hệ thống quan trọng của tổ chức.

6. Mưa Titan

Titan Rain là một loạt các cuộc tấn công do nhà nước Trung Quốc tài trợ nhằm vào các cơ quan chính phủ Hoa Kỳ và Vương quốc Anh vào đầu những năm 2000. Thông tin cụ thể đáng tin cậy về các hoạt động khai thác của Titan Rain là rất ít. Tuy nhiên, người ta biết rằng những kẻ tấn công, hoạt động ít nhất từ năm 2003, đã xâm nhập thành công Bộ Ngoại giao Hoa Kỳ, Bộ An ninh Nội địa và Bộ Quốc phòng và Văn phòng Ngoại giao Vương quốc Anh.

7. Mèo con Helix

Helix Kitten được cho là một nhóm đe dọa dai dẳng tiên tiến có trụ sở tại Iran, nhắm vào các lĩnh vực hàng không vũ trụ, chính phủ, năng lượng, tài chính, viễn thông và kinh doanh của các quốc gia bao gồm Bahrain và Kuwait. Nhóm này nổi tiếng với việc nghiên cứu kỹ lưỡng các mục tiêu của mình để thực hiện các cuộc tấn công lừa đảo nhằm hỗ trợ các hoạt động tình báo của nhà nước Iran.

Năm 2018, một công ty an ninh mạng phát hiện ra rằng Helix Kitten đang nhắm mục tiêu vào một công ty viễn thông để thu thập lượng lớn dữ liệu cho mục đích tình báo. Những kẻ tấn công nhằm mục đích chặn các thông tin liên lạc nhạy cảm, lấy cắp thông tin và có khả năng triển khai thêm phần mềm độc hại để mở rộng quyền truy cập của chúng.

8. Nhóm phương trình

Equation Group là một nhóm đe dọa dai dẳng nâng cao được cho là có liên quan đến Cơ quan An ninh Quốc gia Hoa Kỳ (NSA). Hoạt động ít nhất từ đầu những năm 2000, chúng đã nhắm mục tiêu vào các chính phủ, quân đội và các tổ chức cơ sở hạ tầng quan trọng trên khắp Châu Phi, Châu Á, Châu Âu và Trung Đông.

Vào năm 2009, nhóm này được cho là đã phân phối các đĩa CD-ROM bị nhiễm virus cho những người tham gia tại các hội nghị khoa học, nhúng các trojan được thiết kế để khai thác các lỗ hổng chưa xác định. Trong ít nhất một trường hợp, phần mềm độc hại đã cài đặt cửa hậu Double Fantasy, có khả năng cấp cho kẻ tấn công quyền truy cập liên tục để giám sát các hoạt động và đánh cắp nghiên cứu nhạy cảm.

Ngăn chặn mối đe dọa dai dẳng nâng cao

Các cách hiệu quả nhất để chống lại APT là tránh rơi vào các chiến thuật xâm nhập như lừa đảo và lừa đảo qua mạng, tăng cường các biện pháp bảo mật, cập nhật phần mềm và đầu tư vào các công cụ an ninh mạng.

Dưới đây là cái nhìn sâu hơn về cách phòng ngừa đối với bạn:

  • Để ý các cuộc tấn công lừa đảo:Biết cách nhận biết các mối đe dọa tiềm ẩn để giúp tránh nhấp vào liên kết lừa đảo và những kẻ tấn công xâm nhập vào mạng của bạn. Nếu bạn không thể biết liệu một tin nhắn có hợp pháp hay không, hãy chạy tin nhắn đó thông qua trợ lý hỗ trợ AI như Norton Genie để đánh giá các dấu hiệu nguy hiểm trước khi tương tác với tin nhắn đó.
  • Tìm hiểu cách nhận biết kỹ thuật lừa đảo qua mạng:Việc xác định sớm nỗ lực lừa đảo qua mạng có thể làm gián đoạn giai đoạn xâm nhập của một mối đe dọa dai dẳng nâng cao.
  • Đặt mật khẩu mạnh:Tạo mật khẩu mạnh và duy nhất để gây khó khăn hơn cho kẻ tấn công khi truy cập vào dữ liệu bị hạn chế và di chuyển ngang trong mạng.
  • Bật nhận dạng sinh trắc học:Sử dụng sinh trắc học như khuôn mặt, mống mắt hoặc dấu vân tay của bạn để truy cập dữ liệu nhạy cảm; những kẻ tấn công APT sẽ khó truy cập trái phép hơn vì các đặc điểm vật lý khó tái tạo hơn.
  • Cập nhật phần mềm của bạn:Các bản cập nhật phần mềm thường vá các lỗ hổng đã biết, hạn chế các điểm truy cập mà kẻ tấn công có thể khai thác.
  • Sử dụng VPN:Mạng riêng ảo (VPN) có thể giúp bạn và hoạt động Internet của bạn ít bị những kẻ rình mò phát hiện. Nó cũng có thể giúp ngăn chặn kẻ tấn công chặn dữ liệu nhạy cảm khi dữ liệu đang được truyền đi.
  • Cài đặt phần mềm chống vi-rút:Phần mềm chống vi-rút có thể giúp bảo vệ, phát hiện và xóa phần mềm độc hại được cài đặt trong cuộc tấn công APT. Chỉ cần lưu ý rằng nó có thể không phát hiện được tất cả các mối đe dọa dai dẳng nâng cao nếu chúng sử dụng công nghệ mới hoặc tùy chỉnh.
  • Giới hạn đặc quyền:Bằng cách thực thi kiểm soát truy cập nghiêm ngặt và giới hạn đặc quyền của người dùng, các tổ chức có thể ngăn chặn các cuộc tấn công lan rộng theo chiều ngang và giảm thiểu tác động tổng thể của một vụ vi phạm dữ liệu tiềm ẩn.

Mã hóa kết nối internet của bạn bằng VPN

Vì các cuộc tấn công đe dọa liên tục nâng cao rất phức tạp nên chúng có thể ẩn nấp trên mạng trong một thời gian dài mà không bị phát hiện. Để hạn chế tác động tiềm ẩn và phạm vi vi phạm, hãy thực hiện các bước để bảo vệ dữ liệu của bạn. Bắt đầu bằng cách sử dụng VPN — một thành phần thiết yếu của chiến lược an ninh mạng mạnh mẽ.

Mặc dù không có VPN nào có thể đảm bảo khả năng bảo vệ trước các mối đe dọa liên tục nâng cao, nhưng Norton VPN bảo vệ quyền riêng tư kỹ thuật số của bạn bằng cách mã hóa dữ liệu bạn gửi và nhận trực tuyến — khiến những kẻ rình mò và tội phạm mạng không thể đọc được.

Câu hỏi thường gặp

Mục tiêu chính của cuộc tấn công APT là gì?

Mục tiêu chính của cuộc tấn công đe dọa liên tục nâng cao là thiết lập sự hiện diện lâu dài, không bị phát hiện trên mạng của mục tiêu để đánh cắp dữ liệu nhạy cảm.

Điều gì phân biệt APT với phần mềm độc hại khác?

APT khác với các phần mềm độc hại khác vì đây là một cuộc tấn công mạng nâng cao và kéo dài. Những cuộc tấn công này thường sử dụng phần mềm độc hại phức tạp, khó phát hiện để xâm nhập vào hệ thống nhằm thực hiện các mục tiêu chiến lược lâu dài, chẳng hạn như gián điệp hoặc trộm cắp tài sản trí tuệ.

Điều này không giống như phần mềm độc hại thông thường mà tin tặc thường sử dụng để thu lợi tài chính nhanh chóng, làm gián đoạn hoạt động hoặc phá hoại. Tương tự như phần mềm gián điệp Pegasus, APT chỉ được sử dụng bởi các nhóm hack có độ tinh vi cao.

Mối đe dọa dai dẳng nâng cao hoạt động như thế nào?

Một mối đe dọa dai dẳng nâng cao liên quan đến kẻ tấn công xâm nhập vào mạng thông qua lỗ hổng hoặc lỗi của con người. Sau đó, chúng di chuyển ngang trên mạng bị nhiễm để có thêm chỗ đứng. Cuối cùng, họ lọc dữ liệu trong nhiều tháng hoặc thậm chí nhiều năm.