Per definitie is eengeavanceerde persistente dreiging (APT)een langdurige, gerichte aanval op een specifiek slachtoffer met de bedoeling om hun systeem te compromitteren en informatie van of over dat doelwit te verkrijgen.
Ongeveer tien jaar geleden werd de term vooral gebruikt voor door de staat gesponsorde bedreigingsactoren. Ik gebruik hier de term 'bedreigingsactoren', omdat ze in de staat waar ze actief zijn en waarvoor ze werken, niet als cybercriminelen worden gezien. Die perceptie verandert natuurlijk wanneer je zelf het slachtoffer wordt van een dergelijke aanval.
Toen deze bedreigingen voor het eerst werden geïdentificeerd, waren hun doelwitten overheden en militaire organisaties. Tegenwoordig kan het doelwit elke persoon, organisatie of onderneming zijn. We zien vaak aanvallen op de gezondheidszorg, telecommunicatie, financiële instellingen, MSP's, SaaS-platforms en leveranciers in de toeleveringsketen.
"APT" wordt vaak gebruikt als een dramatische benaming voor elke ernstige inbreuk, zelfs als deze van korte duur of opportunistisch was. Laten we de naam eens ontleden om te zien wat nu echt als een APT kan worden aangemerkt.
Advanced
Advanced niet noodzakelijkerwijs hacken op Hollywood-niveau, maar wel dat de aanvallers doelbewust en goed voorbereid te werk gaan. Ze combineren vaak verschillende technieken: ze kopen of ontdekken nieuwe, onbekende softwarefouten (zogenaamde zero-day-kwetsbaarheden), misbruiken oude maar niet-gepatchte bugs en stellen zeer overtuigende phishing-e-mails op die eruitzien als echte berichten van collega's of partners. Ze kunnen ook gebruikmaken van legitieme beheertools die al in het netwerk aanwezig zijn, waardoor hun activiteiten moeilijker te herkennen zijn omdat ze eruitzien als normaal IT-werk, zogenaamde LOLbins(Living Off the Land Binaries).
In de praktijk gaat 'geavanceerd' niet zozeer over het gebruik van de meest geavanceerde tools, maar meer over het kiezen van de juiste mix van tools en tactieken voor een specifiek slachtoffer. Een APT-groep kan wekenlang de mensen, systemen en leveranciers van een doelwit bestuderen en die gegevens vervolgens analyseren met behulp van AI. Op die manier is de kans het grootst dat hun aanval bij de eerste poging slaagt.
Aanhoudend
Doorzettingsvermogen maakt APT's zo gevaarlijk. Deze aanvallers zijn niet geïnteresseerd in een snelle hit-and-run-aanval. Ze willen inbreken, binnen blijven en blijven terugkomen zolang ze toegang hebben. Als verdedigers hun activiteiten ontdekken en ze uit één systeem verwijderen, kunnen ze een andere achterdeur gebruiken die ze eerder hebben voorbereid, of zich gewoon hergroeperen en een nieuwe manier zoeken om binnen te komen.
Door hun volharding gaan ze ook langzaam en stil te werk. Aanvallers kunnen maandenlang het netwerk verkennen, meerdere verborgen toegangspunten creëren en regelmatig terugkomen om te kijken of er nieuwe gegevens zijn verschenen die het stelen waard zijn. Vanuit het oogpunt van de verdediger verandert het incident hierdoor van een eenmalige gebeurtenis in een voortdurende campagne. Je moet ervan uitgaan dat de aanvallers het opnieuw zullen proberen, zelfs als je denkt dat je ze hebt verwijderd.
Bedreiging
Het woord 'bedreiging' impliceert niet dat er slechts één soortmalwarein het spel is. Een APT omvat meestal verschillende soorten aanvallen. Het verwijst naar de hele operatie: de mensen, hun tools en hun infrastructuur, niet slechts één stukje malware.
Een APT kan bestaan uit phishing, het misbruiken van kwetsbaarheden, het installeren van tools voor externe toegang en het stelen of misbruiken van wachtwoorden. Samen vormen deze activiteiten een bedreiging voor de systemen en gegevens van de organisatie.
Achter de dreiging zit een team met een doel (bijvoorbeeld het stelen van gevoelige ontwerpen, het afluisteren van communicatie of het voorbereiden van toekomstige verstoringen) en met het geduld en de middelen om door te gaan totdat ze dat doel hebben bereikt.
Hoe blijf ik veilig
Om te voorkomen dat u het slachtoffer wordt van een APT, moet u ervan uitgaan dat u te maken kunt krijgen met een geduchte tegenstander.
- Wees voorzichtig met onverwachte e-mails, berichten en bijlagen, niet alleen op het werk.
- Gebruik waar mogelijk passkeys en sterke, unieke wachtwoorden waar dat niet mogelijk is, en een wachtwoordbeheerder.
- Schakel waar mogelijk multi-factor authenticatie (MFA) in.
- Houd uw software en hardware up-to-date, met name netwerkapparatuur die in contact staat met het publiek.
- Gebruik een actuele, realtime anti-malwareoplossing, bij voorkeur met een webbeveiligingscomponent.
- Let op alles wat afwijkt van de normale gang van zaken en meld het, want zelfs kleine details kunnen later belangrijk blijken te zijn.
We rapporteren niet alleen over bedreigingen - we verwijderen ze ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.
