Постоянная угроза повышенной сложности
Набор скрытых и непрерывных процессов компьютерного взлома

Продвинутая постоянная угроза ( APT ) — это скрытый субъект угрозы , как правило, государство или спонсируемая государством группа, которая получает несанкционированный доступ к компьютерной сети и остается незамеченной в течение длительного периода. [1] [2] В последнее время этот термин может также относиться к не спонсируемым государством группам, осуществляющим крупномасштабные целевые вторжения для достижения определенных целей. [3]

Мотивы таких субъектов угроз обычно политические или экономические. [4] В каждом крупном секторе бизнеса зафиксированы случаи кибератак со стороны продвинутых субъектов с конкретными целями, будь то кража, шпионаж или нарушение. К этим целевым секторам относятся правительство, оборона , финансовые услуги , юридические услуги , промышленность , телекоммуникации , потребительские товары и многие другие. [5] [6] [7] Некоторые группы используют традиционные векторы шпионажа , включая социальную инженерию , человеческую разведку и проникновение , чтобы получить доступ к физическому местоположению для осуществления сетевых атак. Целью этих атак является установка пользовательского вредоносного ПО (вредоносного программного обеспечения) . [8]

APT-атаки на мобильные устройства также стали предметом обоснованной обеспокоенности, поскольку злоумышленники могут проникать в облачную и мобильную инфраструктуру, чтобы прослушивать, красть и фальсифицировать данные. [9]

Медианное «время пребывания», время, в течение которого APT-атака остается незамеченной, сильно различается в разных регионах. FireEye сообщила, что среднее время пребывания в 2018 году в Америке составило 71 день, в регионе EMEA — 177 дней, а в регионе APAC — 204 дня. [5] Такое длительное время пребывания дает злоумышленникам значительное количество времени для прохождения цикла атаки, распространения и достижения своих целей.

Определение

Определения того, что именно представляет собой APT, могут различаться, но их можно обобщить с помощью перечисленных ниже требований:

  • Продвинутый  – Операторы, стоящие за угрозой, имеют в своем распоряжении полный спектр методов сбора разведывательной информации. Они могут включать коммерческие и открытые технологии и методы компьютерного вторжения, но также могут распространяться на разведывательный аппарат государства. Хотя отдельные компоненты атаки могут не считаться особенно «продвинутыми» (например, компоненты вредоносного ПО , созданные из общедоступных наборов для самостоятельного создания вредоносного ПО, или использование легкодоступных материалов для эксплойтов), их операторы обычно могут получать доступ и разрабатывать более продвинутые инструменты по мере необходимости. Они часто объединяют несколько методов, инструментов и методов нацеливания, чтобы достичь и скомпрометировать свою цель и сохранить доступ к ней. Операторы также могут демонстрировать преднамеренное внимание к операционной безопасности, что отличает их от «менее продвинутых» угроз. [3] [10] [11]
  • Постоянный  – операторы имеют определенные цели, а не оппортунистически ищут информацию для финансовой или иной выгоды. Это различие подразумевает, что злоумышленники руководствуются внешними субъектами. Нацеливание осуществляется посредством постоянного мониторинга и взаимодействия для достижения определенных целей. Это не означает шквал постоянных атак и обновлений вредоносного ПО. Фактически, подход «низкий и медленный» обычно более успешен. Если оператор теряет доступ к своей цели, он обычно пытается получить доступ повторно, и чаще всего успешно. Одна из целей оператора – поддерживать долгосрочный доступ к цели, в отличие от угроз, которым доступ нужен только для выполнения определенной задачи. [10] [12]
  • Угроза  – APT-атаки представляют собой угрозу, поскольку обладают как возможностями, так и намерениями. APT-атаки выполняются посредством скоординированных действий человека, а не бездумных и автоматизированных фрагментов кода. Операторы имеют конкретную цель и обладают навыками, мотивацией, организованностью и хорошим финансированием. Участники не ограничиваются спонсируемыми государством группами. [3] [10]

История и цели

Предупреждения против целевых, социально-инженерных писем, сбрасывающих трояны для извлечения конфиденциальной информации, были опубликованы организациями CERT Великобритании и США в 2005 году. Этот метод использовался в начале 1990-х годов и сам по себе не является APT. Термин «продвинутая постоянная угроза» был упомянут как возникший в ВВС США в 2006 году [13], а полковник Грег Рэттрей был упомянут как человек, который придумал этот термин. [14]

Компьютерный червь Stuxnet , нацеленный на компьютерное оборудование ядерной программы Ирана , является одним из примеров атаки APT. В этом случае иранское правительство может посчитать создателей Stuxnet передовой постоянной угрозой. [ необходима цитата ] [15]

В сообществе компьютерной безопасности и все чаще в средствах массовой информации этот термин почти всегда используется в отношении долгосрочной модели сложной эксплуатации компьютерных сетей, направленной на правительства, компании и политических активистов, и, в более широком смысле, также для приписывания атрибутов A, P и T группам, стоящим за этими атаками. [16] Термин Advanced Permanent Threat (APT) может сместить фокус на компьютерный хакерский взлом из-за растущего числа случаев. PC World сообщил о 81-процентном увеличении с 2010 по 2011 год особенно сложных целевых компьютерных атак. [17]

Во многих странах киберпространство использовалось как средство сбора разведывательной информации об отдельных лицах и группах лиц, представляющих интерес. [18] [19] [20] Киберкомандованию США поручено координировать наступательные и оборонительные кибероперации вооруженных сил США . [ 21]

Многочисленные источники утверждают, что некоторые группы APT связаны с правительствами суверенных государств или являются их агентами . [22] [23] [24] Компании, хранящие большой объем персонально идентифицируемой информации , подвергаются высокому риску стать объектом постоянных угроз, в том числе: [25]

Исследование Bell Canada предоставило глубокое исследование анатомии APT и раскрыло широкое присутствие в канадском правительстве и критической инфраструктуре. Была установлена ​​приписываемость китайским и российским субъектам. [28]

Жизненный цикл

Диаграмма, иллюстрирующая поэтапный подход к жизненному циклу сложной постоянной угрозы (APT), которая повторяется после своего завершения.

Лица, стоящие за сложными постоянными угрозами, создают растущий и меняющийся риск для финансовых активов, интеллектуальной собственности и репутации организаций [29] , следуя непрерывному процессу или цепочке уничтожения :

  1. Нацельтесь на конкретные организации для достижения единой цели
  2. Попытка закрепиться в среде (распространенная тактика включает в себя адресный фишинг )
  3. Использовать скомпрометированные системы как доступ в целевую сеть
  4. Развертывание дополнительных инструментов, помогающих достичь цели атаки.
  5. Скрыть пути, чтобы сохранить доступ для будущих инициатив

В 2013 году компания Mandiant представила результаты своего исследования предполагаемых китайских атак с использованием метода APT в период с 2004 по 2013 год [30], которые имели схожий жизненный цикл:

  • Первоначальный взлом  – осуществлялся с использованием социальной инженерии и фишинга по электронной почте с использованием вирусов нулевого дня . Другим популярным методом заражения было размещение вредоносного ПО на веб-сайте, который, скорее всего, будут посещать сотрудники жертвы. [31]
  • Закрепиться  – внедрить программное обеспечение удаленного администрирования в сеть жертвы, создать сетевые бэкдоры и туннели, обеспечивающие скрытый доступ к ее инфраструктуре.
  • Повысить привилегии  — использовать эксплойты и взлом паролей , чтобы получить права администратора на компьютере жертвы и, возможно, расширить их до учетных записей администраторов домена Windows .
  • Внутренняя разведка  — сбор информации об окружающей инфраструктуре, доверительных отношениях, структуре домена Windows .
  • Двигайтесь горизонтально  — расширяйте контроль на другие рабочие станции, серверы и элементы инфраструктуры и выполняйте сбор данных на них.
  • Поддерживайте присутствие  — обеспечьте постоянный контроль над каналами доступа и учетными данными, полученными на предыдущих этапах.
  • Выполнить миссию  — извлечь украденные данные из сети жертвы.

В инцидентах, проанализированных Mandiant, средний период, в течение которого злоумышленники контролировали сеть жертвы, составлял один год, а самый долгий – почти пять лет. [30] Инфильтрации предположительно были осуществлены базирующимся в Шанхае подразделением 61398 Народно -освободительной армии . Китайские официальные лица отрицают какую-либо причастность к этим атакам. [32]

Предыдущие отчеты Secdev уже раскрывали и указывали на причастность китайских деятелей. [33]

Стратегии смягчения последствий

Существуют десятки миллионов разновидностей вредоносного ПО, [34] что делает чрезвычайно сложной задачу защиты организаций от APT. Хотя действия APT скрытны и их трудно обнаружить, сетевой трафик командования и управления, связанный с APT, можно обнаружить на уровне сетевого уровня с помощью сложных методов. Глубокий анализ журналов и корреляция журналов из различных источников имеют ограниченную полезность для обнаружения действий APT. Сложно отделить шумы от законного трафика. Традиционные технологии и методы безопасности оказались неэффективными для обнаружения или смягчения последствий APT. [35] Активная киберзащита дала большую эффективность в обнаружении и преследовании APT (найти, исправить, завершить) при применении разведки киберугроз для охоты и преследования противника. [36] [37] Киберуязвимости, созданные человеком (HICV), представляют собой слабое киберзвено, которое не изучено и не смягчено, представляя собой значительный вектор атаки. [38]

APT-группы

Китай

Иран

Северная Корея

Россия

Türkiye

  • StrongPity (также известный как APT-C-41 или ПРОМЕТИЙ) [74]

Соединенные Штаты

Узбекистан

Вьетнам

Нейминг

Несколько организаций могут присваивать разные имена одному и тому же субъекту. Поскольку отдельные исследователи могут иметь свои собственные оценки APT-группы, такие компании, как CrowdStrike , Kaspersky , Mandiant и Microsoft , среди прочих, имеют свои собственные внутренние схемы именования. [79] Имена между разными организациями могут относиться к перекрывающимся, но в конечном итоге разным группам, на основе различных собранных данных.

CrowdStrike присваивает животным названия по национальному государству или другой категории, например, «Котенок» для Ирана и «Паук» для групп, занимающихся киберпреступностью. [80] Другие компании называли группы на основе этой системы — например, Rampant Kitten был назван Check Point, а не CrowdStrike. [81]

Названия групп APT Драгос основывает на минералах. [79]

Mandiant присваивает пронумерованные аббревиатуры трем категориям: APT, FIN и UNC, что приводит к названиям APT, таким как FIN7 . Другие компании, использующие подобную систему, включают Proofpoint (TA) и IBM (ITG и Hive). [79]

Раньше Microsoft присваивала названия из периодической таблицы , часто стилизованные под заглавные буквы (например, КАЛИЙ ); в апреле 2023 года Microsoft изменила схему наименования, чтобы использовать названия, основанные на погоде (например, Вольт Тайфун). [82]

Смотрите также

Примечания

  1. ^ Действуя с 2013 года, в отличие от большинства APT, Gamaredon широко нацелен на всех пользователей по всему миру (в дополнение к фокусировке на определенных жертвах, особенно на украинских организациях [71] ) и, по-видимому, предоставляет услуги другим APT. [72] Например, группа угроз InvisiMole атаковала отдельные системы, которые Gamaredon ранее скомпрометировал и отпечатал. [71]

Ссылки

  1. ^ «Что такое Advanced Persistent Threat (APT)?». www.kaspersky.com . Архивировано из оригинала 22 марта 2021 г. . Получено 11 августа 2019 г. .
  2. ^ "Что такое усовершенствованная постоянная угроза (APT)?". Cisco . Архивировано из оригинала 22 марта 2021 г. Получено 11 августа 2019 г.
  3. ^ abc Maloney, Sarah. «Что такое Advanced Persistent Threat (APT)?». Архивировано из оригинала 7 апреля 2019 г. Получено 9 ноября 2018 г.
  4. ^ Коул, Эрик (2013). Продвинутая постоянная угроза: понимание опасности и как защитить вашу организацию . Syngress. OCLC  939843912.
  5. ^ ab "M-Trends Cyber ​​Security Trends". FireEye . Архивировано из оригинала 21 сентября 2021 г. . Получено 11 августа 2019 г. .
  6. ^ "Киберугрозы для финансовых услуг и страховой отрасли" (PDF) . FireEye . Архивировано из оригинала (PDF) 11 августа 2019 г.
  7. ^ "Киберугрозы для розничной торговли и потребительских товаров" (PDF) . FireEye . Архивировано из оригинала (PDF) 11 августа 2019 г.
  8. ^ "Advanced Persistent Threats: A Symantec Perspective" (PDF) . Symantec . Архивировано из оригинала (PDF) 8 мая 2018 г.
  9. ^ Ау, Ман Хо (2018). «Операции с сохранением конфиденциальности персональных данных в мобильном облаке — Шансы и проблемы передовых постоянных угроз». Future Generation Computer Systems . 79 : 337–349. doi : 10.1016/j.future.2017.06.021.
  10. ^ abc "Advanced Persistent Threats (APTs)". IT Governance . Архивировано из оригинала 11 августа 2019 . Получено 11 августа 2019 .
  11. ^ "Advanced persistent Threat Awareness" (PDF) . TrendMicro Inc . Архивировано (PDF) из оригинала 10 июня 2016 г. . Получено 11 августа 2019 г. .
  12. ^ "Объяснение: Advanced Persistent Threat (APT)". Malwarebytes Labs . 26 июля 2016 г. Архивировано из оригинала 9 мая 2019 г. Получено 11 августа 2019 г.
  13. ^ "Оценка исходящего трафика для выявления передовых постоянных угроз" (PDF) . SANS Technology Institute. Архивировано из оригинала (PDF) 26 июня 2013 г. . Получено 14 апреля 2013 г. .
  14. ^ "Представляем Forrester's Cyber ​​Threat Intelligence Research". Forrester Research. Архивировано из оригинала 15 апреля 2014 года . Получено 14 апреля 2014 года .
  15. ^ Бейм, Джаред (2018). «Обеспечение запрета на международный шпионаж» . Chicago Journal of International Law . 18 : 647–672. ProQuest  2012381493. Архивировано из оригинала 22 мая 2021 г. Получено 18 января 2023 г.
  16. ^ "Advanced Persistent Threats: Learn the ABC of APTs - Part A". SecureWorks . Архивировано из оригинала 7 апреля 2019 г. Получено 23 января 2017 г.
  17. ^ Олавсруд, Тор (30 апреля 2012 г.). «Целевые атаки увеличились, стали более разнообразными в 2011 году». Журнал CIO . Архивировано из оригинала 14 апреля 2021 г. Получено 14 апреля 2021 г.
  18. ^ "Развивающийся кризис". BusinessWeek. 10 апреля 2008 г. Архивировано из оригинала 10 января 2010 г. Получено 20 января 2010 г.
  19. ^ "Новая угроза электронного шпионажа". BusinessWeek. 10 апреля 2008 г. Архивировано из оригинала 18 апреля 2011 г. Получено 19 марта 2011 г.
  20. ^ Розенбах, Марсель; Шульц, Томас; Вагнер, Виланд (19 января 2010 г.). «Google под атакой: высокая стоимость ведения бизнеса в Китае». Der Spiegel . Архивировано из оригинала 21 января 2010 г. Получено 20 января 2010 г.
  21. ^ "Commander Discusses a Decade of DOD Cyber ​​Power". МИНИСТЕРСТВО ОБОРОНЫ США . Архивировано из оригинала 19 сентября 2020 года . Получено 28 августа 2020 года .
  22. ^ "Under Cyberthreat: Defense Contractors". Bloomberg.com . BusinessWeek. 6 июля 2009 г. Архивировано из оригинала 11 января 2010 г. Получено 20 января 2010 г.
  23. ^ «Понимание передовой постоянной угрозы». Том Паркер. 4 февраля 2010 г. Архивировано из оригинала 18 февраля 2010 г. Получено 4 февраля 2010 г.
  24. ^ "Advanced Persistent Threat (or Informationized Force Operations)" (PDF) . Usenix, Michael K. Daly. 4 ноября 2009 г. Архивировано (PDF) из оригинала 11 мая 2021 г. . Получено 4 ноября 2009 г. .
  25. ^ "Анатомия усовершенствованной постоянной угрозы (APT)". Dell SecureWorks. Архивировано из оригинала 5 марта 2016 года . Получено 21 мая 2012 года .
  26. ^ Гонсалес, Хоакин Джей III; Кемп, Роджер Л. (16 января 2019 г.). Кибербезопасность: текущие работы об угрозах и защите. Макфарланд. стр. 69. ISBN 978-1-4766-7440-7.
  27. ^ Ингерман, Брет; Янг, Кэтрин (31 мая 2011 г.). «Десять главных ИТ-проблем, 2011». Обзор Educause. Архивировано из оригинала 14 апреля 2021 г. . Получено 14 апреля 2021 г. .
  28. ^ Макмахон, Дэйв; Рогозински, Рафал. «Проект темного пространства: оборонные исследования и разработки Канады – отчет подрядчика Центра науки безопасности DRDC CSS CR 2013-007» (PDF) . publications.gc.ca . Архивировано (PDF) из оригинала 5 ноября 2016 г. . Получено 1 апреля 2021 г. .
  29. ^ "Outmaneuvering Advanced and Evasive Malware Threats". Secureworks . Secureworks Insights. Архивировано из оригинала 7 апреля 2019 г. Получено 24 февраля 2016 г.
  30. ^ ab "APT1: Разоблачение одного из подразделений кибершпионажа Китая". Mandiant. 2013. Архивировано из оригинала 2 февраля 2015 года . Получено 19 февраля 2013 года .
  31. ^ «Что такое методы первоначального доступа MITRE ATT&CK». GitGuardian — Автоматическое обнаружение секретов . 8 июня 2021 г. Архивировано из оригинала 29 ноября 2023 г. Получено 13 октября 2023 г.
  32. ^ Бланшар, Бен (19 февраля 2013 г.). «Китай заявляет, что обвинения США в хакерских атаках не имеют технических доказательств». Reuters. Архивировано из оригинала 14 апреля 2021 г. Получено 14 апреля 2021 г.
  33. ^ Deibert, R.; Rohozinski, R.; Manchanda, A.; Villeneuve, N.; Walton, G (28 марта 2009 г.). «Отслеживание GhostNet: расследование сети кибершпионажа». Центр международных исследований имени Мунка, Университет Торонто . Архивировано из оригинала 27 декабря 2023 г. . Получено 27 декабря 2023 г. .
  34. ^ RicMessier (30 октября 2013 г.). Сертификация GSEC GIAC Security Essentials All. McGraw Hill Professional, 2013. стр. xxv. ISBN 978-0-07-182091-2.
  35. ^ "Анатомия атаки APT (Advanced Persistent Threat)". FireEye . Архивировано из оригинала 7 ноября 2020 г. . Получено 14 ноября 2020 г. .
  36. ^ "Threat Intelligence in an Active Cyber ​​Defense (Part 1)". Записано Future . 18 февраля 2015 г. Архивировано из оригинала 20 июня 2021 г. Получено 10 марта 2021 г.
  37. ^ "Threat Intelligence in an Active Cyber ​​Defense (Part 2)". Записано Future . 24 февраля 2015 г. Архивировано из оригинала 27 февраля 2021 г. Получено 10 марта 2021 г.
  38. ^ «Контекстно-ориентированный исследовательский подход к фишингу и операционным технологиям в промышленных системах управления | Журнал информационной войны». www.jinfowar.com . Архивировано из оригинала 31 июля 2021 г. . Получено 31 июля 2021 г. .
  39. ^ "Buckeye: Espionage Outfit Used Equation Group Tools Before To Shadow Brokers Leak". Symantec . 7 мая 2019 г. Архивировано из оригинала 7 мая 2019 г. Получено 23 июля 2019 г.
  40. ^ "APT17: Hiding in Plain Sight - FireEye и Microsoft раскрывают тактику запутывания" (PDF) . FireEye . Май 2015. Архивировано (PDF) из оригинала 24 ноября 2023 г. . Получено 21 января 2024 г. .
  41. ^ "China-Based Threat Actors" (PDF) . Министерство здравоохранения и социальных служб США, Управление информационной безопасности . 16 августа 2023 г. Архивировано (PDF) из оригинала 29 декабря 2023 г. . Получено 29 апреля 2024 г. .
  42. ^ ван Данциг, Маартен; Шампер, Эрик (19 декабря 2019 г.). «Wocao APT20» (PDF) . fox-it.com . Группа компаний НКЦ . Архивировано из оригинала (PDF) 22 марта 2021 года . Проверено 23 декабря 2019 г.
  43. ^ Виджаян, Джай (19 декабря 2019 г.). «Китайская группа кибершпионажа атакует организации в 10 странах». www.darkreading.com . Dark Reading. Архивировано из оригинала 7 мая 2021 г. . Получено 12 января 2020 г. .
  44. ^ Барт, Брэдли (16 марта 2016 г.). ««Муха» в мази: китайская APT-группа крадет сертификаты подписи кода». SC Media . Архивировано из оригинала 24 сентября 2024 г. Получено 24 сентября 2024 г.
  45. ^ «В отчете говорится, что при создании китайского самолета Comac C919 было задействовано много хакерских атак». ZDNET . Архивировано из оригинала 15 ноября 2019 г. . Получено 24 сентября 2024 г. .
  46. ^ Lyngaas, Sean (10 августа 2021 г.). «Китайские хакеры выдавали себя за иранцев, чтобы взломать израильские объекты, утверждает FireEye». www.cyberscoop.com . Архивировано из оригинала 29 ноября 2023 г. . Получено 15 августа 2021 г. .
  47. ^ Lyngaas, Sean (12 февраля 2019 г.). «Правильная страна, неправильная группа? Исследователи говорят, что это не APT10 взломала норвежскую фирму-разработчика программного обеспечения». www.cyberscoop.com . Cyberscoop. Архивировано из оригинала 7 мая 2021 г. . Получено 16 октября 2020 г. .
  48. ^ Lyngaas, Sean (16 октября 2020 г.). «Google предлагает сведения о китайской хакерской группе, которая атаковала кампанию Байдена». Cyberscoop . Архивировано из оригинала 7 мая 2021 г. Получено 16 октября 2020 г.
  49. ^ «Как Microsoft называет субъектов угроз». Microsoft. 16 января 2024 г. Архивировано из оригинала 10 июля 2024 г. Получено 21 января 2024 г.
  50. ^ «Министерство финансов ввело санкции против связанных с Китаем хакеров, атакующих критически важную инфраструктуру США». Министерство финансов США . 19 марта 2024 г. Архивировано из оригинала 25 марта 2024 г. Получено 25 марта 2024 г.
  51. ^ "Double Dragon APT41, операция двойного шпионажа и киберпреступности". FireEye . 16 октября 2019 г. Архивировано из оригинала 7 мая 2021 г. Получено 14 апреля 2020 г.
  52. ^ «Бюро называет виновников вирусов-вымогателей». Taipei Times . 17 мая 2020 г. Архивировано из оригинала 22 марта 2021 г. Получено 22 мая 2020 г.
  53. ^ Гринберг, Энди (6 августа 2020 г.). «Китайские хакеры разграбили полупроводниковую промышленность Тайваня». Wired . ISSN  1059-1028. Архивировано из оригинала 22 марта 2021 г. Получено 14 июля 2024 г.
  54. ^ Сабин, Сэм (26 октября 2022 г.). «Новая прокитайская дезинформационная кампания нацелена на выборы 2022 года: отчет». Axios . Архивировано из оригинала 26 октября 2022 г. Получено 27 октября 2022 г.
  55. ^ Milmo, Dan (5 апреля 2024 г.). «Microsoft предупреждает, что Китай будет использовать ИИ для срыва выборов в США, Южной Корее и Индии». The Guardian . ISSN  0261-3077. Архивировано из оригинала 25 мая 2024 г. Получено 7 апреля 2024 г.
  56. ^ Нарейн, Райан (2 марта 2021 г.). «Microsoft: несколько уязвимостей нулевого дня на серверах Exchange подверглись атаке китайской хакерской группировки». securityweek.com . Wired Business Media. Архивировано из оригинала 6 июля 2023 г. . Получено 3 марта 2021 г. .
  57. ^ Берт, Том (2 марта 2021 г.). «Новые кибератаки на уровне наций и государств». blogs.microsoft.com . Microsoft. Архивировано из оригинала 2 марта 2021 г. . Получено 3 марта 2021 г. .
  58. ^ Николс, Шон (20 октября 2021 г.). «Хакеры „LightBasin“ провели 5 лет, скрываясь в сетях телекоммуникаций». TechTarget . Архивировано из оригинала 29 ноября 2023 г. Получено 8 апреля 2022 г.
  59. ^ Ilascu, Ionut (19 октября 2021 г.). «Хакерская группа LightBasin взломала 13 глобальных телекоммуникационных компаний за два года». Bleeping Computer . Архивировано из оригинала 24 июля 2023 г. Получено 8 апреля 2022 г.
  60. ^ Cimpanu, Catalin. «Хакеры атакуют изолированные сети тайваньских и филиппинских военных». ZDnet . Архивировано из оригинала 22 марта 2021 г. Получено 16 мая 2020 г.
  61. ^ Разведка, Microsoft Threat (24 мая 2023 г.). «Volt Typhoon атакует критически важную инфраструктуру США с помощью методов выживания вне пределов суши». Блог Microsoft по безопасности . Архивировано из оригинала 17 января 2024 г. Получено 26 мая 2023 г.
  62. ^ Такер, Эрик (18 сентября 2024 г.). «ФБР прерывает китайскую кибероперацию, нацеленную на критически важную инфраструктуру в США». Associated Press . Архивировано из оригинала 24 сентября 2024 г. Получено 18 сентября 2024 г.
  63. ^ ab "Пресечение злонамеренного использования ИИ государственными субъектами угроз". 14 февраля 2024 г. Архивировано из оригинала 16 февраля 2024 г. Получено 16 февраля 2024 г.
  64. ^ ab «Опережение акторов угроз в эпоху ИИ». Microsoft . 14 февраля 2024 г. Архивировано из оригинала 16 февраля 2024 г. Получено 16 февраля 2024 г.
  65. ^ Крауз, Сара; Макмиллан, Роберт; Волц, Дастин (25 сентября 2024 г.). «Связанные с Китаем хакеры взломали американских интернет-провайдеров в новой кибератаке «Соляной тайфун»» . The Wall Street Journal . Получено 25 сентября 2024 г.
  66. ^ Крауз, Сара; Вольц, Дастин; Вишваната, Аруна; Макмиллан, Роберт (5 октября 2024 г.). «Системы прослушивания телефонных разговоров США стали объектом хакерской атаки, связанной с Китаем» . The Wall Street Journal . Архивировано из оригинала 5 октября 2024 г. Получено 5 октября 2024 г.
  67. ^ Монтальбано, Элизабет (1 сентября 2020 г.). «Pioneer Kitten APT Sells Corporate Network Access». Угроза . Архивировано из оригинала 22 марта 2021 г. Получено 3 сентября 2020 г.
  68. ^ "APT39, ITG07, Chafer, Remix Kitten, Group G0087 | MITRE ATT&CK®". attack.mitre.org . Архивировано из оригинала 30 декабря 2022 г. . Получено 30 декабря 2022 г. .
  69. ^ "Crowdstrike Global Threat Report 2020" (PDF) . crowdstrike.com . 2020. Архивировано (PDF) из оригинала 14 марта 2020 г. . Получено 30 декабря 2020 г. .
  70. ^ Кайл Олспах (4 февраля 2022 г.). «Microsoft раскрывает новые подробности о российской хакерской группе Gamaredon». VentureBeat . Архивировано из оригинала 6 февраля 2022 г. Получено 22 марта 2022 г.
  71. ^ ab Charlie Osborne (21 марта 2022 г.). «Украина предупреждает об атаках InvisiMole, связанных с спонсируемыми государством российскими хакерами». ZDNet . Архивировано из оригинала 22 марта 2022 г. Получено 22 марта 2022 г.
  72. ^ Уоррен Мерсер; Витор Вентура (23 февраля 2021 г.). «Gamaredon — Когда национальные государства не платят по всем счетам». Cisco . Архивировано из оригинала 19 марта 2022 г. Получено 22 марта 2022 г.
  73. ^ "Adversary: ​​Venomous Bear - Threat Actor". Вселенная противников Crowdstrike . Получено 22 марта 2022 г.
  74. ^ Уоррен Мерсер; Пол Расканьерес; Витор Вентура (29 июня 2020 г.). «PROMETHIUM расширяет глобальный охват с помощью StrongPity3 APT». Cisco . Архивировано из оригинала 22 марта 2022 г. Получено 22 марта 2022 г.
  75. ^ "Equation: The Death Star of Malware Galaxy". Kaspersky Lab . 16 февраля 2015 г. Архивировано из оригинала 11 июля 2019 г. Получено 23 июля 2019 г.
  76. ^ Галлахер, Шон (3 октября 2019 г.). «Kaspersky обнаруживает хакерскую операцию в Узбекистане… потому что группа использовала Kaspersky AV». arstechnica.com . Ars Technica. Архивировано из оригинала 22 марта 2021 г. . Получено 5 октября 2019 г. .
  77. ^ Панда, Анкит. «Наступательные кибервозможности и разведка общественного здравоохранения: Вьетнам, APT32 и COVID-19». thediplomat.com . The Diplomat. Архивировано из оригинала 22 марта 2021 г. . Получено 29 апреля 2020 г. .
  78. ^ Танриверди, Хакан; Цирер, Макс; Веттер, Энн-Катрин; Бирманн, Кай; Нгуен, Тхи До (8 октября 2020 г.). Нирле, Верена; Шёффель, Роберт; Врешниок, Лиза (ред.). «Выстроились в прицел вьетнамских хакеров». Bayerischer Rundfunk . Архивировано из оригинала 22 марта 2021 г. . Получено 11 октября 2020 г. . В случае Буи следы ведут к группе, предположительно действующей от имени вьетнамского государства. Эксперты называют эту группу по-разному: наиболее известны APT 32 и Ocean Lotus. В беседах с дюжиной специалистов по информационной безопасности все они согласились, что это вьетнамская группа, шпионящая, в частности, за своими соотечественниками.
  79. ^ abc BushidoToken (20 мая 2022 г.). «Схемы именования групп угроз в разведке киберугроз». Curated Intelligence. Архивировано из оригинала 8 декабря 2023 г. Получено 21 января 2024 г.
  80. ^ "CrowdStrike 2023 Global Threat Report" (PDF) . CrowdStrike. Архивировано (PDF) из оригинала 26 марта 2024 г. . Получено 21 января 2024 г. .
  81. ^ "Rampant Kitten". Агентство по развитию электронных транзакций Таиланда. Архивировано из оригинала 29 ноября 2022 года . Получено 21 января 2024 года .
  82. ^ Ламберт, Джон (18 апреля 2023 г.). «Microsoft переходит на новую таксономию именования субъектов угроз». Microsoft. Архивировано из оригинала 22 января 2024 г. Получено 21 января 2024 г.
Списки групп APT
  • Mandiant: Группы с повышенной постоянной угрозой
  • Сообщество безопасности MITRE ATT&CK отслеживает страницы Advanced Persistent Group
Получено с "https://en.wikipedia.org/w/index.php?title=Расширенная_персистентная_угроза&oldid=1250310473"