Vad är Advanced Persistent Threat (APT)?

Ett avancerat ihållande hot är en riktad attack där skickliga angripare går in i ett nätverk och döljer sig under långa tidsperioder.

Angripare använder en rad moderna tekniska verktyg vid mänskligt beslutsfattande, och många är duktiga på att studera ett system för att komma åt tyst innan de samlar in värdefull data.

Vad du behöver veta:

• En APT är en långsiktig, riktad cyberattack som använder stealth och mänskliga operatörer. Dessa grupper fokuserar på att hålla sig i ett nätverk istället för att orsaka snabb skada.
• Angripare förlitar sig på taktik som nätfiske, zero-day exploits, social ingenjörskonst och AI-assisterade metoder för att få och behålla åtkomst.
• APT:er fokuserar på organisationer, men enskilda personer kan påverkas av exponerad data eller utsatta enheter.
• Stora intrång innefattar ofta personlig information som angripare återanvänder eller säljer.
• APT-attacker utvecklas i etapper och många moderna grupper använder nu AI för att återuppbygga åtkomst om försvarare stänger av en del av attacken.
• Användare kan minska riskerna genom att uppdatera enheter och använda goda datasäkerhetsvanor och beteendebaserade säkerhetsverktyg.
• Nya APT-fall belyser attacker i leveranskedjan och mer realistisk social ingenjörskonst.

Vad betyder en APT inom cybersäkerhet?

An Advanced Persistent Threat (APT) är en riktad attack där en hotaktör får tillgång till ett system och stannar där under en längre tid.

Ordet avancerad syftar på de verktyg och tekniker som används för att bryta in. Zero-day exploits , anpassade skadliga program och AI-assisterade metoder är alla exempel på metoder som bedragare använder. Ihållande betyder att angriparna inte lämnar när de väl har kommit in. De fortsätter att övervaka systemet och återskapa åtkomst om försvarare stänger ute dem. De anpassar och utvecklar sitt förhållningssätt vid behov.

Moderna APT:er är inte helautomatiserade. Mänskliga operatörer styr attacken och reagerar på försvar för att ge en mer riktad inställning. AI spelar en växande roll genom att låta angripare röra sig snabbare och behålla sin närvaro med mindre ansträngning. Det kan också hjälpa dem att dölja sin identitet och undvika att bli upptäckta.

De klassiska beskrivningarna av APT:er i Cybersäkerhet listar ofta fem steg, men dessa steg fortsätter att utvecklas. Nyare attacker lägger till AI-driven uthållighet genom automatisering och flexibla kommando-och-kontrollmetoder kan också göra det möjligt för angriparna att stanna kvar även om en del av deras verksamhet upptäcks.

Varför den mänskliga faktorn betyder något

De flesta APT-attacker börjar med att någon blir lurad. Social ingenjörskonst ger angripare en öppning och det är fortfarande ett av de mest tillförlitliga sätten att få åtkomst.

Även starka tekniska försvar kan brytas om en angripare övertygar en enskild person att klicka på en länk eller avslöja en liten bit av information.

Modern taktik blir mer avancerad och kastar inte ett så brett nät. Nätfiskemeddelanden från Spear använder nu riktiga företagsuppgifter eller stulna e-posttrådar. AI-genererat skrivande kan få dem att se autentiska och professionella ut.

Bete har också utvecklats. Angripare kan använda falska molninloggningssidor och brådskande meddelanden som efterliknar interna system. Dessa tekniker gör det svårare för användarna att upptäcka en fälla, särskilt när meddelanden på ett så övertygande sätt verkar komma från en kollega eller pålitlig partner.

Mänskliga beslut formar de tidiga stadierna av många APT-intrång. Ett ögonblick av distraktion eller ett välarbetat bedrägerimeddelande kan ge angripare den åtkomst de behöver för att bosätta sig i ett nätverk.

Hur fungerar en APT-attack?

En APT-attack utspelar sig i en serie steg som låter angripare komma in i ett nätverk och agera utan att dra uppmärksamhet. De flesta attacker följer ett bekant mönster:

Steg ett: Få tillgång

Åtkomst är det första steget. It-brottslingar tar vanligtvis sig in via ett nätverk, en infekterad fil, skräppost eller en sårbarhet i appar för att föra in skadlig programvara i ett målnätverk. Modern teknik gör att detta steg ofta är automatiserat. Angripare automatiserar, testar flera inkörsporter samtidigt och anpassar tillvägagångssättet när säkerhetsverktyg blockerar ett försök.

Steg två: Upprätta en bas

Cyberbrottslingar planterar in skadlig programvara som gör att de kan skapa ett nätverk av bakdörrar och tunnlar som används för att ta sig runt oupptäckta i systemet. Den skadliga programvaran använder ofta tekniker som att skriva om koden för att hjälpa hackarna att dölja sina spår.

Moderna fotfästen är utformade för att överleva borttagningsförsök och kan automatiskt installera om sig själva. Vissa byter till nya åtkomstvägar när försvarare ingriper.

Steg tre: Fördjupad åtkomst

Väl inne använder hackarna tekniker som lösenordsknäckare för att komma åt administratörsrättigheter så att de kan styra mer av systemet och få ännu högre åtkomstnivåer. Denna process kan nu också styras av automatiska verktyg och skript som mappar behörigheter och snabbt anpassar sig om åtkomst begränsas eller övervakas. Det gör det svårare att utrota angriparna.

Steg fyra: Sidoförflyttning

Med administratörsrättigheter djupare i systemet kan hackarna röra sig som de vill. De kan även försöka få åtkomst till andra servrar och andra säkra delar av nätverket. Detta är ett annat område som fler bedragare har automatiserat för att försöka få ett bredare fotfäste och förståelse för systemet.

Steg fem: Titta, lär och stanna kvar

Väl inne i systemet får angripare en detaljerad förståelse för hur det fungerar och var dess svaga punkter finns. Detta gör att de i tysthet kan samla in den information de är ute efter. Samtidigt anpassar de sig till säkerhetsåtgärder och använder avancerad döljteknik för att stanna kvar i systemet så länge som möjligt.

Hur kan angripare ta sig in och få kontroll?

APT-grupper börjar ofta med att hitta en enskild svag punkt och långsamt dra nytta av den. Detta kan vara ett fel i ett företags system, en personlig enhet eller en onlinetjänst som folk använder varje dag.

Deras metoder blir allt mer övertygande. En zero-day exploit drar fördel av ett programvarufel som inte har åtgärdats ännu och kan påverka både affärsprogramvara och konsumentappar. Vattenhålsattacker innebär att webbplatser som vissa användargrupper besöker regelbundet infekteras. Bete har också utvecklats och innehåller nu ofta falska inloggningssidor för molnet eller brådskande systemmeddelanden som ser riktiga ut och är utformade för att lura både anställda och privata användare.

Många APT-attacker börjar inte med själva huvudmålet. Istället tar angripare ofta in sig på mindre tjänsteleverantörer eller ofta använda programvaruverktyg först. Därifrån kan de nå både organisationer och enskilda användare som är beroende av dessa tjänster, särskilt när jobb och privata konton eller enheter är anslutna.

Angripare skapar vanligtvis fotfäste genom att installera bakdörrar eller fjärrskal. Dessa verktyg hjälper dem att återansluta till systemet när de vill och blockera försök att ta bort deras åtkomst. Bedragare arbetar sedan vanligtvis med att utöka åtkomsten genom att utnyttja interna brister i systemet. De ökar också sina rättigheter att ta kontrollen över fler system.

Hur angripare flyttar, döljer och behåller åtkomst under lång tid

När angripare har fått bättre åtkomst börjar de utforska anslutna system, konton och kommunikationsverktyg medan de förblir dolda. Detta kan innefatta företagsservrar, molntjänster eller till och med hemnätverk och privata nätverk som är anslutna via jobbenheter eller delade konton.

Deras mål är att förstå hur omgivningen fungerar och hur de kan förbli obemärkta medan de orsakar skada. Detta ger dem mer tid att komma åt personlig information, anslutna användarkonton och annan känslig data kopplad till både organisationer och individer.

Angripare stöder sig på tekniker som lämnar få spår. De kan ändra loggar eller ibland använda sofistikerad, fillös skadlig programvara som körs i minnet. Vissa dirigerar sin kommunikation genom krypterade kanaler som är utformade för att smälta in i normal trafik. Vi har också sett användningen av AI-assisterad persistens som kan ändra beteendet när säkerhetsverktyg reagerar och återskapa åtkomst om de tas bort.

Det bästa försvaret är också att använda AI och maskininlärning för att slå tillbaka. Dessa verktyg letar efter ovanligt beteende i dina onlinekonton och nätverk och kan upptäcka inloggningsmönster eller dataaktivitet som inte stämmer med din vanliga användning. Detta har betydelse eftersom många avancerade attacker inte är beroende av uppenbara skadliga program. De smälter in och väntar.

Ur personsäkerhetssynpunkt innebär detta att modernt skydd fokuserar på att minska risker tidigt snarare än att bara reagera efter att något går fel. Säkerhetsverktyg kan upptäcka små varningsskyltar och begränsa åtkomsten innan angripare hinner ta sig längre eller hålla kontakten.

APT-försvar fortsätter att utvecklas

Vissa försvar är fortfarande under utveckling. Kvantresistent kryptering är ett tillvägagångssätt som är på väg att skydda känslig data mot framtida attackmetoder som kan bryta mot dagens krypteringsstandarder. Även om detta inte är något de flesta konsumenter behöver installera själva, används det i allt högre grad bakom kulisserna av tjänsteleverantörer för att stärka det långsiktiga dataskyddet.

Den senaste tidens incidenter visar hur snabbt APT-metoder utvecklas och att den avancerade definitionen av ihållande hot fortsätter att förändras med tekniken. Vid senare attacker har förgiftade programvaruuppdateringar och till och med deepfake-ljud använts för social ingenjörskonst. Vissa har varit oroliga över nya metoder för att ”leva av landet” som är beroende av legitima verktyg i nätverket. Varje fall visar hur flexibla och tålmodiga dessa grupper kan vara.

Även när en APT-verksamhet verkar vara nedlagd kanske hotet inte är borta. Angripare lämnar ofta dolda bakdörrar och sekundära implantat som låter dem komma tillbaka senare. Att förstå en APTs hela livscykel hjälper organisationer och individer att förstå vilken typ av hot de är.

Vilka är angriparna av Advanced Persistent Threats?

APT-attacker utförs vanligtvis av stora och resursstarka grupper snarare än ensamma hackare.

Många är kopplade till nationalstatliga program, där regeringar finansierar långsiktiga cyberoperationer för att samla in underrättelser eller få strategiska fördelar.

Det finns också hybridaktörer som suddar ut gränsen mellan regeringsstödda grupper och kriminella nätverk. Det finns också organiserade cyberbrottsliga grupper som kan använda APT-liknande taktik (bland annat) för att stjäla data eller pressa pengar.

Dessa angripare fokuserar ofta på branscher som stöder kritiska tjänster eller lagrar stora volymer känslig data.

Varför de lanserar APT-kampanjer

APT-grupper är inte likadana – de kör kampanjer av olika anledningar.

Vissa fokuserar på spionage och långtidsövervakning som en del av en politisk vinning. Andra siktar på ekonomisk vinning på kort sikt. Det de delar på är tålamod och planering. Dessa attacker är utformade för att ge värde över tiden, inte snabba vinster.

Påverkar APT-attacker vanliga människor?

APT:s inverkan når ofta vanliga användare som en del av mycket större överträdelser. De kan också attackera personer som har kopplingar till organisationer.

Hur individer blir indirekta offer

När angripare gör intrång i ett företag eller en offentlig tjänst får de ofta tillgång till en hel del personliga register. Även om du inte var det avsedda målet, kan din information fortfarande vara fångad i intrånget. Det är viktigt

Hur personliga enheter kan möjliggöra attacker

Personliga och arbetsrelaterade enheter används ofta som inkörsport. En äventyrad bärbar dator eller hemnätverk kan ge angripare fotfäste i en större miljö när enheter ansluter till företagets system. Eftersom fler hushåll är beroende av anslutna enheter, kan svagheter i hemsäkerheten också utsätta system för smarta hem, personliga nätverk och länkade konton för bredare attacker.

Vilka tecken som vardagliga användare kan lägga märke till

APT-aktivitet är vanligtvis subtilt till sin design. Men vissa tecken kan visas. Dessa kan innefatta oväntade inloggningsvarningar, ovanlig kontoaktivitet och enheter som kör långsammare än normalt. Du bör också vara uppmärksam på upprepade nätfiskeförsök som känns väldigt personliga.

Att ignorera de kontrollanta varningsskyltarna kan ge angriparna mer tid att hålla sig dolda och till och med öka risken för långsiktigt kontoövertagande eller bredare dataexponering.

Hur skiljer sig en APT från vanlig skadlig programvara?

En APT är inte en snabb attack eller ett spridningsgevär. Den är riktad och utformad för att vara smygande och hållas dold under långa tidsperioder.

Vanlig skadlig programvara har vanligen en stor spridning och orsakar omedelbar skada, men APT-grupper väljer specifika offer och arbetar på ett detaljerat och exakt sätt för att undvika upptäckt. De är faktiskt motsatsen till vissa tillvägagångssätt med spridning av skadlig programvara.

Ransomwareattacker kan vara en form av APT och syfta till att låsa filer och kräva betalning inom några timmar. APT-aktörer föredrar tyst åtkomst som låter dem studera system och samla in värdefull data under veckor eller månader. De drar nytta av mänskligt beslutsfattande och tekniker som ändras i takt med att försvarare reagerar. Denna kontrollnivå skiljer dem från grundläggande skadlig programvara som följer ett fast skript.

Hur man upptäcker ett avancerat ihållande hot

Avancerat upptäckt av ihållande hot försvåras av att aktiviteten är utformad för att smälta in i ett normalt beteende. Det betyder inte att det alltid fungerar perfekt eller att det inte går att upptäcka och många tecken kan fortfarande ge dig en varning i förväg. Var uppmärksam för udda beteenden:

• Filer som nås vid udda tillfällen
• Oväntade eller oförklarliga dataöverföringar
• Konton som loggar in från obekanta platser
• Långsammare enhetsprestanda
• Hög nätverksanvändning
• Inställningar som ändras utan din input kan också tyda på problem

Du bör också kontrollera om det finns okända appar eller bakgrundsuppgifter du inte installerade. Övervakning av viktiga filer och konfigurationer kan hjälpa dig att märka små ändringar tidigt, innan angripare sprids vidare.

Traditionella antivirus- och brandväggar var till stor del beroende av kända signaturer för skadlig programvara. Våra säkerhetsverktyg har ändrats mot beteendebaserad och AI-driven övervakning som letar efter ovanliga åtgärder istället för att bara söka efter välbekanta hot.

Kasperskys experthotidentifiering och expertkontroll och borttagning av virus kan hjälpa till att skydda konsumenter och ta bort alla hot som har tagit sig igenom försvaret.

Säkerhetsvarningar och kontoövervakning

Aktivera inloggningsvarningar för dina viktigaste konton för att varna dig om någon försöker komma in på ditt konto. Kontrollera aktivitetsloggarna på alla dina onlinekonton och verktyg för att bekräfta att det bara är du som loggar in. Dessa varningar kan ge dig tidig varning om någon försöker använda stulna autentiseringsuppgifter.

Identifieringsverktyg som hjälper

Använd sofistikerad säkerhetsprogramvara som övervakar misstänkt beteende, inte bara kända signaturer av skadlig programvara. Beteendebaserade och AI-baserade verktyg kan upptäcka avvikelser tidigare och stoppa angripare från att ta sig djupare in i ditt system.

Se till att alltid ha automatiska uppdateringar aktiverade så att din enhet har de senaste skydden mot nya APT-tekniker. Kasperskys verktyg kan också skydda dig från falska webbplatser och e-postmeddelanden som skapats av cyberbrottslingar för att stjäla din identitet och pengar.

Hur kan enskilda skydda sig mot APT-taktik?

Regelbundna programuppdateringar, flerfaktorsautentisering, starka lösenord och konstant nätfiskemedvetenhet tar bort många av de möjligheter som dessa grupper är beroende av.

Även ett enskilt blockerat försök kan förhindra angripare från att få den åtkomst de behöver för att ta sig djupare in i ett nätverk. Även om dessa attacker vanligtvis riktar sig till stora organisationer, är personliga vanor fortfarande viktiga. Det krävs robusta försvar över hela linjen. Hemenheter, personliga e-postkonton och återanvända lösenord är ofta den svagaste länken som angripare utnyttjar för att nå större system.

Att använda modern säkerhetsprogramvara minskar risken. Dagens verktyg fokuserar mindre på att upptäcka kända skadliga program och mer på att begränsa misstänkt beteende och förhindra obehöriga ändringar. Detta hjälper till att minska exponeringen över tiden, snarare än att reagera först efter att skadan har skett.

Nyare skyddsmetoder dyker också upp tack vare tekniska framsteg. Vissa plattformar använder nu blockkedjebaserad spårning för att skapa manipulationssäkra register över systemaktivitet och filändringar. Genom att logga händelser på ett sätt som inte kan ändras i tysthet, gör dessa system det svårare för angripare att dölja ändringar eller skriva om historiken efter att ha fått åtkomst. Dessa tekniker gör det svårare för angripare att ändra filer eller dölja sin aktivitet.

Vad ska man göra om man misstänker att en kompromiss har gått igenom?

Om du tror att din enhet eller dina konton har äventyrats är det viktigaste att agera snabbt.

Koppla först från nätverket. Byt lösenord från en säker enhet och kontrollera din kontoaktivitet efter okända inloggningar eller inställningar. Kör en fullständig säkerhetsgenomsökning med programvara som kan upptäcka ovanligt beteende och faktiska moderna hot .

Om problemen fortsätter att återkomma, eller om känsliga konton öppnats, är det viktigt att förstå att avancerade angripare kan ha lämnat dolda bakdörrar. Dessa gör att de kan återfå åtkomst även efter att vissa problem verkar vara åtgärdade.

I de fall där upprepade tecken på intrång kvarstår kan en fullständig avtorkning och ren installation vara det säkraste alternativet. Detta kan ta bort dolda verktyg som är svåra att upptäcka och som kan fortsätta att hota din säkerhet.

Goda cybersäkerhetsvanor är fortfarande viktiga. Aktivera flerfaktorsautentisering när det är möjligt för att vara skyddad. Granska kontoaktivitet för inloggningar eller återställningsalternativ som du inte känner igen.

Nya APT-exempel visar hur dessa attacker fungerar

Detta är inte ett abstrakt hot. De senaste incidenterna med APT ger en tydlig bild av hur riktiga angripare i tysthet rör sig genom nätverk.

Större incidenter sedan 2020

Solvindar:

Ett av de mest omtalade fallen var SolarWinds Orion-attacken 2020, då angripare visade sig ”ha kunnat lägga till en skadlig modifiering av SolarWinds Orions produkter som gjorde det möjligt för dem att skicka kommandon på administratörsnivå till eventuell berörd installation.”

När kunder installerade den uppdateringen gav de omedvetet angriparna fjärråtkomst till deras interna nätverk. Angriparna valde vilka offer de skulle gå djupare in på och använde ytterligare verktyg för att utöka åtkomsten och upprätthålla uthålligheten.

MOVEit:

Ännu på senare tid visade dataintrånget i MOVEit 2023 på risken med hanterade filöverföringsverktyg. En ransomware-grupp utnyttjade en noll-day-sårbarhet i programvaran MOVEit för att installera webbskal på utsatta servrar, och stal sedan i tysthet data från tusentals organisationer innan problemet blev allmänt känt.

Vad dessa incidenter lär konsumenterna

De visar att angripare inte alltid går direkt efter enskilda personer. De äventyrar ofta tillförlitliga program- eller tjänsteleverantörer, och använder sedan den positionen för att nå många organisationer på en gång.

Likaså visar de också hur uthållighet i flera steg fungerar i praktiken. Dessa exempel visar att angripare installerade bakdörrar eller använde dolda webbskal. De gick över system för att hitta värdefull information.

Lärdomen för vanliga användare är enkel: du är beroende av fler system än de du äger . Starka personliga säkerhetsvanor och snabba åtgärder när du får incidentmeddelanden hjälper till att minska risken för din data över tiden.

Relaterade artiklar:

• Vad är Zero-day bedrifter?
• Vad är slutpunktsäkerhet?
• Vad är cybersäkerhet?
• Hur skyddar man sig från AI-hackning?

Relaterade produkter:

• Kaspersky Enterprise Solutions
• Kaspersky Premium
• Ladda ner en kostnadsfri provperiod i 30 dagar på vår premiumplan

Vanliga frågor

Hur länge stannar APT-angripare vanligtvis i ett system?

APT-angripare kan stanna i ett system i veckor eller till och med år. Deras mål är att förbli obemärkt så länge som möjligt så att de kan fortsätta samla in data och se hur organisationen fungerar.

Varför är APT-attacker så svåra att upptäcka?

Attacker som dessa är svåra att upptäcka eftersom de använder smygtaktik som anpassade verktyg och normal utseende systemaktivitet. De bäddar in sina attacker i den dagliga nätverkstrafiken.

Är APT-grupper anslutna till specifika länder?

Många APT-grupper tros vara kopplade till eller stödjas av specifika nationalstater, medan andra är kriminella grupper som kan arbeta över gränserna. Offentliga rapporter använder ofta kodnamn istället för att namnge länder direkt.

Hur väljer APT-angripare sina offer?

De väljer oftast mål som innehåller värdefull data eller som har tillgång till viktiga system. Det är vanligare att man ser statliga myndigheter och stora företag riktade än oanslutna personer. Ibland inriktas mindre organisationer på först eftersom de ger en väg in i ett större nätverk.