Zaawansowane trwałe zagrożenie — Advanced persistent threat
Zaawansowane uporczywe zagrożenie ( APT ) jest niewidoczne aktor zagrożeniem , zazwyczaj państwo narodowe lub grupa sponsorowana przez państwo, które uzyskuje nieautoryzowany dostęp do sieci komputerowej i pozostaje niewykryty przez dłuższy okres czasu. W ostatnim czasie termin ten może również odnosić się do niepaństwowych grup, które przeprowadzają ukierunkowane włamania na dużą skalę w określonych celach.
Motywacje takich podmiotów zagrażających są zazwyczaj polityczne lub ekonomiczne. Każdy większy sektor biznesowy odnotowuje przypadki cyberataków dokonywanych przez zaawansowanych graczy o określonych celach, takich jak kradzież, szpiegowanie lub zakłócanie porządku. Te ukierunkowane sektory obejmują rząd, obrony , usługi finansowe , usługi prawne , przemysłowej, telekomunikacji , dóbr konsumpcyjnych i wiele innych. Niektóre grupy wykorzystują tradycyjne wektory szpiegowskie , w tym socjotechnikę , ludzką inteligencję i infiltrację, aby uzyskać dostęp do fizycznej lokalizacji w celu umożliwienia ataków sieciowych. Celem tych ataków jest zainstalowanie niestandardowego złośliwego oprogramowania (złośliwego oprogramowania) .
Mediana „czasu przebywania”, czyli czasu, w którym atak APT pozostaje niewykryty, różni się znacznie w zależności od regionu. Firma FireEye podała, że średni czas przebywania w 2018 r. w obu Amerykach wyniósł 71 dni, EMEA 177 dni, a APAC 204 dni. Tak długi czas przebywania daje atakującym znaczną ilość czasu na przejście przez cykl ataku, propagację i osiągnięcie celu.
Definicja
Definicje dokładnie tego, czym jest APT, mogą się różnić, ale można je podsumować za pomocą ich nazwanych wymagań poniżej:
- Zaawansowane – Operatorzy stojący za zagrożeniem mają do dyspozycji pełne spektrum technik zbierania danych wywiadowczych. Mogą one obejmować komercyjne i otwarte technologie i techniki włamań komputerowych, ale mogą również obejmować państwowy aparat wywiadowczy. Podczas gdy poszczególne komponenty ataku mogą nie być uważane za szczególnie „zaawansowane” (np. komponenty szkodliwego oprogramowania generowane z powszechnie dostępnych zestawów do samodzielnego tworzenia szkodliwego oprogramowania lub wykorzystanie łatwo dostępnych materiałów dotyczących exploitów), ich operatorzy mogą zazwyczaj uzyskać dostęp i rozwijać bardziej zaawansowane narzędzia zgodnie z wymaganiami. Często łączą wiele metod, narzędzi i technik kierowania, aby dotrzeć do celu i narazić go na szwank oraz zachować do niego dostęp. Operatorzy mogą również wykazać celowe skupienie się na bezpieczeństwie operacyjnym, co odróżnia ich od „mniej zaawansowanych” zagrożeń.
- Trwałe — Operatorzy mają określone cele, zamiast oportunistycznie szukać informacji w celu uzyskania korzyści finansowych lub innych. To rozróżnienie oznacza, że atakujący kierują się podmiotami zewnętrznymi. Targetowanie odbywa się poprzez ciągły monitoring i interakcję w celu osiągnięcia zdefiniowanych celów. Nie oznacza to nawału ciągłych ataków i aktualizacji złośliwego oprogramowania. W rzeczywistości podejście „nisko i wolno” jest zwykle bardziej skuteczne. Jeśli operator utraci dostęp do swojego celu, zwykle próbuje ponownie uzyskać dostęp, i najczęściej z powodzeniem. Jednym z celów operatora jest utrzymanie długoterminowego dostępu do celu, w przeciwieństwie do zagrożeń, które potrzebują dostępu tylko do wykonania określonego zadania.
- Zagrożenie — APT stanowią zagrożenie, ponieważ mają zarówno możliwości, jak i intencje. Ataki APT są wykonywane przez skoordynowane działania ludzkie, a nie przez bezmyślne i zautomatyzowane fragmenty kodu. Operatorzy mają określony cel i są wykwalifikowani, zmotywowani, zorganizowani i dobrze finansowani. Aktorzy nie ograniczają się do grup sponsorowanych przez państwo.
Historia i cele
W 2005 r. brytyjskie i amerykańskie organizacje CERT opublikowały ostrzeżenia przed ukierunkowanymi, opracowanymi przez inżynierię społeczną wiadomościami e-mail, które zawierają trojany w celu wydobycia poufnych informacji . Metoda ta była stosowana we wczesnych latach 90. i sama w sobie nie stanowi APT. Termin „zaawansowane trwałe zagrożenie” został przytoczony jako pochodzący z Sił Powietrznych Stanów Zjednoczonych w 2006 r., a pułkownik Greg Rattray został wymieniony jako osoba, która ukuła ten termin.
Stuxnet Robak komputerowy , który skierowany sprzętu komputerowego programu nuklearnego Iranu , jest jednym przykładem APT ataku. W tym przypadku irański rząd może uznać twórców Stuxneta za zaawansowane trwałe zagrożenie.
W społeczności zajmującej się bezpieczeństwem komputerowym , a coraz częściej w mediach, termin ten jest prawie zawsze używany w odniesieniu do długoterminowego wzorca wyrafinowanego wykorzystywania sieci komputerowych wymierzonego w rządy, firmy i działaczy politycznych, a co za tym idzie, również w celu przypisania A , P i T przypisuje się grupom stojącym za tymi atakami. Termin zaawansowane trwałe zagrożenie (APT) może przenosić nacisk na hakowanie komputerowe ze względu na rosnącą liczbę zdarzeń. Firma PC World odnotowała 81-procentowy wzrost liczby szczególnie zaawansowanych ataków ukierunkowanych na komputery w okresie od 2010 do 2011 roku.
Aktorzy w wielu krajach wykorzystywali cyberprzestrzeń jako środek do gromadzenia danych wywiadowczych na temat osób i grup osób będących przedmiotem zainteresowania. Stany Zjednoczone Cyber Komenda ma za zadanie koordynowanie ofensywne i defensywne Armia USA za cybernetycznych operacji.
Liczne źródła twierdzą, że niektóre grupy APT są powiązane z rządami suwerennych państw lub są agentami rządów suwerennych państw . Firmy posiadające dużą ilość informacji umożliwiających identyfikację osób są narażone na wysokie ryzyko stania się celem zaawansowanych trwałych zagrożeń, w tym:
- Wyższa edukacja
- Instytucje finansowe
- Energia
- Transport
- Technologia
- Opieka zdrowotna
- Telekomunikacja
- Produkcja
- Rolnictwo
Badanie przeprowadzone przez Bell Canada dostarczyło dogłębnych badań anatomii APT i ujawniło powszechną obecność w rządzie kanadyjskim i infrastrukturze krytycznej. Atrybucję ustalono dla aktorów chińskich i rosyjskich.
Koło życia
Podmioty stojące za zaawansowanymi, trwałymi zagrożeniami tworzą rosnące i zmieniające się ryzyko dla aktywów finansowych, własności intelektualnej i reputacji organizacji, podążając za ciągłym procesem lub łańcuchem zabijania :
- Skieruj konkretne organizacje do jednego celu
- Próba zdobycia przyczółka w środowisku (powszechne taktyki obejmują wiadomości e-mail typu spear phishing )
- Użyj zhakowanych systemów jako dostępu do sieci docelowej
- Wdróż dodatkowe narzędzia, które pomogą zrealizować cel ataku
- Ukryj ścieżki, aby zachować dostęp dla przyszłych inicjatyw
Globalny krajobraz APT ze wszystkich źródeł jest czasami określany w liczbie pojedynczej jako „APT”, podobnie jak odniesienia do aktora stojącego za konkretnym incydentem lub serią incydentów, ale definicja APT obejmuje zarówno aktora, jak i metodę.
W 2013 roku Mandiant przedstawił wyniki swoich badań nad domniemanymi chińskimi atakami przy użyciu metody APT w latach 2004-2013, które miały podobny cykl życia:
- Wstępny kompromis — przeprowadzany przy użyciu socjotechniki i spear phishingu za pośrednictwem poczty e-mail przy użyciu wirusów zero-day . Inną popularną metodą infekcji było umieszczenie złośliwego oprogramowania na stronie internetowej, którą prawdopodobnie odwiedzą pracownicy ofiary.
- Zbuduj przyczółek – umieść oprogramowanie do zdalnej administracji w sieci ofiary, stwórz tylne drzwi sieciowe i tunele umożliwiające niejawny dostęp do jej infrastruktury.
- Eskaluj uprawnienia – użyj exploitów i łamania haseł, aby uzyskać uprawnienia administratora nad komputerem ofiary i ewentualnie rozszerzyć je na konta administratora domeny Windows .
- Rozpoznanie wewnętrzne – zbieranie informacji o otaczającej infrastrukturze, relacjach zaufania, strukturze domen Windows .
- Przenieś się w bok — rozszerz kontrolę na inne stacje robocze, serwery i elementy infrastruktury i wykonuj na nich gromadzenie danych.
- Utrzymaj obecność – zapewnij ciągłą kontrolę nad kanałami dostępu i danymi uwierzytelniającymi uzyskanymi w poprzednich krokach.
- Ukończ misję – eksfiltruj skradzione dane z sieci ofiary.
W incydentach analizowanych przez Mandiant średni okres, w którym atakujący kontrolowali sieć ofiary, wynosił jeden rok, przy czym najdłuższy – prawie pięć lat. Infiltracji rzekomo dokonała jednostka 61398 Armii Ludowo-Wyzwoleńczej z siedzibą w Szanghaju . Chińscy urzędnicy zaprzeczają jakiemukolwiek udziałowi w tych atakach.
Poprzednie raporty Secdev wcześniej wykryły i wplątały w konflikt chińskich aktorów.
Strategie łagodzenia
Istnieją dziesiątki milionów odmian złośliwego oprogramowania, co sprawia, że ochrona organizacji przed APT jest niezwykle trudna. Chociaż działania APT są niewidoczne i trudne do wykrycia w dowodzenia i kontroli ruchu w sieci związany z APT mogą być wykrywane na poziomie warstwy sieciowej z wyrafinowanych metod. Głęboka analiza logów i korelacja logów z różnych źródeł ma ograniczoną przydatność w wykrywaniu działań APT. Trudno jest oddzielić hałasy od legalnego ruchu. Tradycyjne technologie i metody zabezpieczeń okazały się nieskuteczne w wykrywaniu lub łagodzeniu ataków APT. Aktywna obrona cybernetyczna przyniosła większą skuteczność w wykrywaniu i ściganiu APT (znajdź, napraw, zakończ) podczas stosowania inteligencji cybernetycznej do polowań i pościgu przeciwnika. Luki w cyberprzestrzeni wprowadzane przez człowieka (HICV) są słabym ogniwem cybernetycznym, które nie jest ani dobrze rozumiane, ani łagodzone, i stanowi istotny wektor ataku.
Grupy APT
Chiny
Od Xi Jinping został sekretarzem generalnym z Komunistycznej Partii Chin w 2012 roku, Ministerstwo Bezpieczeństwa Państwowego zyskał większą odpowiedzialność za cyberespionage vis-a-vis Armii Ludowo-Wyzwoleńczej , a obecnie nadzoruje różnych grup APT. Według badacza ds. bezpieczeństwa Timo Steffensa „Stoja APT w Chinach jest prowadzona w ujęciu 'całego kraju', wykorzystując umiejętności uniwersytetów, osób indywidualnych oraz sektora prywatnego i publicznego”.
- Jednostka PLA 61398 (znana również jako APT1)
- Jednostka PLA 61486 (znana również jako APT2)
- Buckeye (znany również jako APT3)
- Czerwony Apollo (znany również jako APT10)
- Numerowana Panda (znana również jako APT12)
- Zastępca Pies (znany również jako APT17)
- Zespół Codoso (znany również jako APT19)
- Wocao (znany również jako APT20)
- APT 27
- PLA Unit 78020 (znany również jako APT30 i Naikon )
- Cyrkon (znany również jako APT31)
- Grupa peryskopowa (znana również jako APT40)
- Double Dragon (znany również jako APT41, Winnti Group, Barium lub Axiom)
- Żołnierz zwrotnikowy
- Hafn
Iran
- Elfin Team (znany również jako APT33)
- Helix Kitten (znany również jako APT34)
- Charming Kitten (znany również jako APT35)
- APT39
- Kociak-pionier
Izrael
Korea Północna
- Kimsuki
- Grupa Lazarus (znana również jako APT38)
- Rykoszet Chollima (znany również jako APT37)
Rosja
- Fancy Bear (znany również jako APT28)
- Przytulny Miś (znany również jako APT29)
- Robak piaskowy
- Berserk Bear
- FIN7
- Jadowity Niedźwiedź
Stany Zjednoczone
Uzbekistan
- SandCat (związany ze Służbą Bezpieczeństwa Narodowego (Uzbekistan) )
Wietnam
- OceanLotus (znany również jako APT32 )
Zobacz też
- Biuro 121
- Chińska działalność wywiadowcza za granicą
- Cyberszpiegostwo
- Darkhotel
- Bezplikowe złośliwe oprogramowanie
- Ghostnet
- Zabij łańcuch
- NetSpectre
- Operacja Aurora
- Operacja Shady RAT
- Proaktywna cyberobrona
- Spear-phishing
- Programy szpiegujące
- Stuxnet
- Dostosowane operacje dostępu
- Jednostka 180
- Jednostka 8200
Bibliografia
- ^ „Co to jest zaawansowane trwałe zagrożenie (APT)?” . www.kaspersky.pl . Źródło 11 sierpnia 2019 .
- ^ „Co to jest zaawansowane trwałe zagrożenie (APT)?” . Cisco . Źródło 11 sierpnia 2019 .
- ^ a b c Maloney, Sarah. „Co to jest zaawansowane trwałe zagrożenie (APT)?” . Źródło 9 listopada 2018 .
- ^ a b „M-Trends Trendy w zakresie bezpieczeństwa cybernetycznego” . Ogniste oko . Źródło 11 sierpnia 2019 .
- ^ „Zagrożenia cybernetyczne dla sektora usług finansowych i ubezpieczeń” (PDF) . Ogniste oko . Zarchiwizowane z oryginału (PDF) w dniu 11 sierpnia 2019 r.
- ^ „Zagrożenia cybernetyczne dla handlu detalicznego i towarów konsumpcyjnych” (PDF) . Ogniste oko . Zarchiwizowane z oryginału (PDF) w dniu 11 sierpnia 2019 r.
- ^ „Zaawansowane uporczywe zagrożenia: perspektywa firmy Symantec” (PDF) . Symantec . Zarchiwizowane z oryginału (PDF) w dniu 8 maja 2018 r.
- ^ a b c „Zaawansowane trwałe zagrożenia (APT)” . Zarządzanie IT .
- ^ „Zaawansowana stała świadomość zagrożeń” (PDF) . TrendMicro Inc .
- ^ „Wyjaśnienie: Zaawansowane trwałe zagrożenie (APT)” . Laboratorium Malwarebytes . 26 lipca 2016 . Źródło 11 sierpnia 2019 .
- ^ „Ocena ruchu wychodzącego w celu wykrycia zaawansowanego trwałego zagrożenia” (PDF) . Instytut Technologiczny SANS . Źródło 14 kwietnia 2013 .
- ^ „Przedstawiamy badania nad cyberzagrożeniami firmy Forrester” . Badania Forrestera. Zarchiwizowane od oryginału w dniu 15 kwietnia 2014 roku . Pobrano 14 kwietnia 2014 .
- ^ Beim Jared (2018). „Egzekwowanie zakazu międzynarodowego szpiegostwa” . Chicago Journal of International Law . 18 : 647–672. ProQuest 2012381493 .
- ^ "Zaawansowane uporczywe zagrożenia: poznaj ABC APT - część A" . SecureWorks . SecureWorks . Źródło 23 stycznia 2017 .
- ^ Olavsrud, Thor (30 kwietnia 2012). „Wzmożone ataki ukierunkowane, stały się bardziej zróżnicowane w 2011 roku” . Magazyn CIO .
- ^ „Rozwijający się kryzys” . Tydzień biznesu. 10 kwietnia 2008 r. Zarchiwizowane z oryginału w dniu 10 stycznia 2010 r . . Źródło 20 stycznia 2010 .
- ^ „Nowe zagrożenie szpiegostwa elektronicznego” . Tydzień biznesu. 10 kwietnia 2008 r. Zarchiwizowane z oryginału w dniu 18 kwietnia 2011 r . . Źródło 19 marca 2011 .
- ^ Rosenbach, Marcel; Schulza, Tomasza; Wagner, Wieland (19 stycznia 2010). „Google atakowany: wysokie koszty prowadzenia interesów w Chinach” . Der Spiegel . Zarchiwizowane z oryginału w dniu 21 stycznia 2010 . Źródło 20 stycznia 2010 .
- ^ „Dowódca omawia dekadę DOD Cyber Power” . DEPARTAMENT OBRONY USA . Źródło 28 sierpnia 2020 .
- ^ „W ramach cyberzagrożenia: Wykonawcy obrony” . Bloomberg.pl . Tydzień biznesu. 6 lipca 2009 r. Zarchiwizowane z oryginału w dniu 11 stycznia 2010 r . . Źródło 20 stycznia 2010 .
- ^ „Zrozumienie zaawansowanego trwałego zagrożenia” . Toma Parkera. 4 lutego 2010 . Pobrano 4 lutego 2010 .
- ^ „Zaawansowane trwałe zagrożenie (lub zinformatyzowane operacje siłowe)” (PDF) . Usenix, Michael K. Daly. 4 listopada 2009 . Źródło 4 listopada 2009 .
- ^ „Anatomia zaawansowanego trwałego zagrożenia (APT)” . Dell SecureWorks . Źródło 21 maja 2012 .
- ^ Ingerman, Bret; Yang, Katarzyna (31 maja 2011). „Dziesięć najważniejszych zagadnień IT, 2011” . Przegląd edukacji.
- ^ Gonzalez, Joaquin Jay, III; Kemp, Roger L. (16 stycznia 2019). Cyberbezpieczeństwo: aktualne pisma dotyczące zagrożeń i ochrony . McFarlanda. P. 69. Numer ISBN 9781476674407.
- ^ McMahon, Dave; Rohoziński, Rafał. "Projekt Dark Space: Defense R&D Canada - Centre for Security Science Contractor Report DRDC CSS CR 2013-007" (PDF) . publikacje.gc.ca . Zarchiwizowane (PDF) od oryginału w dniu 5 listopada 2016 r . Źródło 1 kwietnia 2021 .
- ^ „Wymanewrowanie zaawansowanych i unikających zagrożeń złośliwym oprogramowaniem” . Zabezpieczenia . Informacje o Secureworks . Pobrano 24 lutego 2016 .
- ^ EMAGCOMSECURITY (9 kwietnia 2015). „Grupa APT (zaawansowane trwałe zagrożenie)” . Źródło 15 stycznia 2019 .
- ^ a b „APT1: Ujawnianie jednej z chińskich jednostek cyberszpiegowskich” . Mandant. 2013.
- ^ Blanchard, Ben (19 lutego 2013). „Chiny twierdzą, że oskarżenia o hakowanie w USA nie mają dowodów technicznych” . Reutera.
- ^ „GhostNet” to zakrojona na szeroką skalę cyberszpiegowska operacja” (PDF) .
- ^ RicMessier (30 października 2013). GSEC GIAC Security Essentials Certyfikacja Wszystkie . McGraw Hill Professional, 2013. s. XXV. Numer ISBN 9780071820912.
- ^ „Anatomia ataku APT (Advanced Persistent Threat)” . Ogniste oko . Źródło 14 listopada 2020 .
- ^ „Analiza zagrożeń w aktywnej cyberobronie (część 1)” . Zarejestrowana przyszłość . 18 lutego 2015 . Źródło 10 marca 2021 .
- ^ „Analiza zagrożeń w aktywnej obronie cybernetycznej (część 2)” . Zarejestrowana przyszłość . 24 lutego 2015 . Źródło 10 marca 2021 .
- ^ „Kontekstowe podejście badawcze do phishingu i technologii operacyjnej w przemysłowych systemach sterowania | Journal of Information Warfare” . www.jinfowar.com . Źródło 31 lipca 2021 .
- ^ Mozur, Paweł; Buckley, Chris (26 sierpnia 2021). „Szpiedzy do wynajęcia: nowa rasa hakerów w Chinach łączy szpiegostwo i przedsiębiorczość” . New York Times . ISSN 0362-4331 . Pobrano 27 sierpnia 2021 .
- ^ Kamień, Jeff (5 października 2020). „Zagraniczni szpiedzy wykorzystują przykrywki do ukrywania swoich hakerów, zapożyczając starą taktykę kamuflażu” . cyberscoop.com . Cyberscoop . Źródło 11 października 2020 .
- ^ „Buckeye: strój szpiegowski używał narzędzi grupy równań przed wyciekiem Shadow Brokers” . Symantec . 7 maja 2019 r. Zarchiwizowane z oryginału w dniu 7 maja 2019 r . Źródło 23 lipca 2019 .
- ^ „APT17: Ukrywanie się w Plain Sight - FireEye i Microsoft Expose Obfuscation Tactic” (PDF) . Ogniste oko . Maj 2015.
- ^ van Dantzig, Maarten; Schamper, Erik (19 grudnia 2019). "Wocao APT20" (PDF) . fox-it.com . Grupa NCC .
- ^ Vijayan, Jai (19 grudnia 2019). „Grupa ds. cyberszpiegarstwa z siedzibą w Chinach, która atakuje organizacje w 10 krajach” . www.darkreading.com . Ciemne czytanie . Źródło 12 stycznia 2020 .
- ^ Lyngaas, Sean (10 sierpnia 2021). „Chińscy hakerzy podawali się za Irańczyków, którzy naruszają cele izraelskie, mówi FireEye” . www.cyberscoop.com . Źródło 15 sierpnia 2021 .
- ^ Lyngaas, Sean (12 lutego 2019). „Właściwy kraj, niewłaściwa grupa? Badacze twierdzą, że to nie APT10 zhakował norweską firmę programistyczną” . www.cyberscoop.com . Cyberscoop . Źródło 16 październik 2020 .
- ^ Lyngaas, Sean (16 października 2020 r.). „Google oferuje szczegółowe informacje na temat chińskiej grupy hakerskiej, która zaatakowała kampanię Bidena” . Cyberscoop . Źródło 16 październik 2020 .
- ^ „Double Dragon APT41, podwójna operacja szpiegowska i cyberprzestępcza” . Ogniste oko . 16 października 2019 r . Źródło 14 kwietnia 2020 .
- ^ „Biuro wskazuje winowajców oprogramowania ransomware” . www.taipeitimes.com . Tajpej Czasy. 17 maja 2020 . Źródło 22 maj 2020 .
- ^ Tatar, Mathieu; Smolár, Martin (21 maja 2020 r.). "Brak "Koniec gry" dla Winnti Group" . www.welivesecurity.com . Żyjemy w bezpieczeństwie . Źródło 22 maj 2020 .
- ^ Greenberg, Andy (6 sierpnia 2020). „Chińscy hakerzy splądrowali tajwański przemysł półprzewodników” . Przewodowy . Źródło 7 sierpnia 2020 .
- ^ Chen, Joey (12 maja 2020). "Tropic Trooper's Back: USBferry Attack Targets Air-gaped Environments" . blog.trendmicro.com . Trend Micro . Źródło 16 maj 2020 .
- ^ Cimpanu, Catalin. „Hakerzy biorą na cel powietrzną sieć tajwańskiego i filipińskiego wojska” . ZDnet . Źródło 16 maj 2020 .
- ^ Naraine, Ryan (2 marca 2021). „Microsoft: wielokrotny program Exchange Server zero dni pod atakiem chińskiej grupy hakerskiej” . bezpieczeństwotydzień.com . Przewodowe media biznesowe . Źródło 3 marca 2021 .
- ^ Burt, Tom (2 marca 2021). „Nowe cyberataki państw narodowych” . blogi.microsoft.com . Microsoft . Źródło 3 marca 2021 .
- ^ „Pioneer Kitten APT sprzedaje dostęp do sieci korporacyjnej” . groźbapost.com .
- ^ „Równanie: Gwiazda Śmierci Malware Galaxy” . Kaspersky Lab . 16 lutego 2015 r. Zarchiwizowane z oryginału w dniu 11 lipca 2019 r . Źródło 23 lipca 2019 .
- ^ Gallagher, Sean (3 października 2019). "Kaspersky odkrywa, że Uzbekistan haker op… ponieważ grupa używała Kaspersky AV" . arstechnica.pl . Ars Technica . Źródło 5 październik 2019 .
- ^ Panda, Ankit. „Obraźliwe możliwości cybernetyczne i inteligencja zdrowia publicznego: Wietnam, APT32 i COVID-19” . thedyplomat.pl . Dyplomata . Źródło 29 kwiecień 2020 .
-
^ Tanriverdi, Hakan; Zierera, Maxa; Wetter, Ann-Kathrin; Biermann, Kai; Nguyen, Thi Do (8 października 2020). Nierlego, Wereny; Schöffel, Robert; Wreschniok, Lisa (wyd.). „W kolejce na celowniku wietnamskich hakerów” . Bayerischer Rundfunk .
W przypadku Bui ślady prowadzą do grupy przypuszczalnie działającej w imieniu państwa wietnamskiego. Eksperci mają wiele nazw dla tej grupy: najbardziej znane są APT 32 i Ocean Lotus. W rozmowach z kilkunastoma specjalistami ds. bezpieczeństwa informacji wszyscy zgodzili się, że jest to wietnamska grupa szpiegująca w szczególności własnych rodaków.
Dalsza lektura
- Najlepsze praktyki firmy Gartner w zakresie łagodzenia zaawansowanych uporczywych zagrożeń
- Bell Kanada, Zwalczanie sieci robotów i ich kontrolerów: PSTP08-0107eSec 06 maja 2010 (PSTP)
- Przygotuj się na „świat post-krypto”, ostrzega ojciec chrzestny przed szyfrowaniem
- Badania obronne: Projekt Dark Space APT0 zarchiwizowany 26.07.2020 r. w Wayback Machine
- Gartner: Strategie radzenia sobie z zaawansowanymi atakami ukierunkowanymi
- XM Cyber: Zdalna infekcja plików przez przykład ataku APT
- Secdev, „GhostNet” to zakrojona na szeroką skalę cyberszpiegowska operacja odkryta w marcu 2009 r.
- Secdev, „Cienie w chmurze”. Złożony ekosystem cyberszpiegostwa, które systematycznie atakuje i atakuje systemy komputerowe w Indiach, biura Dalajlamy, ONZ i kilku innych krajach.
- Lista zaawansowanych grup trwałego zagrożenia