APT-hackare och hur de stjäl världens mest värdefulla hemligheter

Vad är APT och hur kan du försvara dig mot statligt sponsrade cyberattacker?

APT (Advanced Persistent Threat) är en term som används för att beskriva professionella hackergrupper eller nationella cyberstyrkor som är mycket skickliga på att infiltrera datornätverk och förbli oupptäckta under långa tider.

APT, advanced persistent threat är en attack som är riktad direkt mot en viss person eller en viss typ av information och där angriparen ofta är ett land eller grupp som har större resurser. Inom cybersäkerhet ger man benämingen APT till en individuell eller grupp som använder sofistikerade tekniker för att använda sårbarheter  (exploits) på offrets dator och använder ett externt control and command system.

Statligt sponsrade cyberattacker är särskilt farliga på grund av deras avancerade natur och de resurser som ligger bakom dem. Dessa angripare använder en mängd olika tekniker, från sofistikerad skadlig kod till social ingenjörskonst, för att infiltrera nätverk och stjäla värdefull information, inklusive patent, design, affärsstrategier och forskningsdata.

Syftet är att komma åt värdefull data i nätverket. Immateriell egendom är ofta en organisations mest värdefulla tillgång. Det kan omfatta allt från programvarukoder till produktionsprocesser och hemliga formler. Genom att stjäla denna information kan statligt sponsrade aktörer ge betydande fördelar till inhemska industrier, underminera konkurrens och till och med påverka globala marknader.

Tekniker som används är tex nätfiske, och trojaner med bakluckor. Utvecklingen med intrång av kriminella organisationer har ökat under senare år vilket innebär större ansvar för användarna att skydda sina digitala identiteter och personliga information från hackare. Samtidigt bör man vara medveten om att underrättelseinformation är värdefull information och något som många är beredda att betala mycket pengar för att ta del av.

Hur Kinas APT-hackare stal världens mest värdefulla hemligheter

APT 1

APT1: APT1, också känd som ”Comment Crew” eller ”Shanghai Group”, är en APT-grupp som sägs ha förbindelser till den kinesiska regeringen och ägnar sig åt skadliga nätverks operationer. Gruppen har dåligt rykte för att ha genomfört en mängd olika hack mot företag och organisationer i USA och andra länder. Den första offentligt identifierade gruppen (PLA Unit 61398).

Troligtvis är det People’s Liberation Army (PLA’s) Unit 61398 baserat på deras syfte och cyberförmågor. Sedan 2014 har de attackerat 141 företag inom 20 olika branscher.
Ladda ner PFD- dokument från FireEye.

APT3: APT3, också känd som ”Gothic Panda” eller ”UPHC”, är en APT-grupp som också sägs ha förbindelser till den kinesiska regeringen.

APT10

APT10: APT10, också känd som ”Red Apollo” eller ”Stone Panda”, är en APT-grupp som sägs ha förbindelser till den kinesiska regeringen.

Amerikanska justitiedepartementet har identifierat två kinesiska medborgare som var verksamamma i en omfattande hacking kampanj under 12 år och drabbat 45 Tech företag och myndigheter över hela landet.

Enligt åtalet hävdar de att Zhu Hua och Zang Shilong, var medlemmar i en grupp som kallas ”Advanced ihållande hot 10 ” (APT 10) som agerade på uppdrag av Kinas underrättelsetjänst. APT10 gick även under benämningen Red Apollo, CVNX, Stone Panda, MenuPass, Pottasium från Kina som enligt de amerikanska domstolshandlingarna jobbade för Huaying Haitai Science och kinesiska säkerhetsdepartmentet. Metoderna de använt var spearfishing för att infektera datorer med malware som Poison Ivy och Keystroke loggers.

Dynamite Panda (APT 18) – Kina: Målinriktad mot medicinska, tillverknings-, regerings- och teknikorganisationer i USA, känd för att ha brutit sig in och stulit HIPAA-skyddade data 2014

Tidigare cyberspionage från Kina

Fram till för några år sedan använde den kinsiska regeringen militära styrkor genom folkets befrielsearmé (FBA) sofistikerade cybermetoder för att infiltrera amerikanska företag och stjäla teknik. Kinesiska tjänstemän förnekade aktiviteterna tills president Barack Obama och president XI Jinping träffade i Kalifornien i juni 2013. Obama visade XI detaljerade bevis från sitt egna cyberspionage. De enades om att den kinesiska regeringen inte längre skulle använda PLA eller andra myndigheter för att stjäla USA-teknik. Även om det är svårt att veta med säkerhet.

Nordkorea

• Lazarus Group – Även känd som APT38, finansiellt motiverad SocradarFlashpoint.Denna grupp har kopplats till Nordkoreas regering och är känd för sin attack mot Sony 2014, samt spridningen av WannaCry ransomware som uppmärksammades av PwC. De riktar sig främst mot Sydkorea och USA
• Kimsuky – Även känd som Thallium, Velvet Chollima, Black Banshee SocradarGoogle Docs
• APT37 – Även känd som Scarcruft, Group123 Advanced persistent threat – Wikipedia
• APT43 – Kombinerar espionage med cyberbrottslighet Advanced persistent threat – Wikipedia

Specialiserade undergrupper:

• Andariel – Industriell malware som Nestdoor och Dora RAT
• Moonstone Sleet – Använder falska företag
• APT-C-60 – Riktar sig mot Japan-relaterade individer

Ryska APT grupper

Statliga grupper:

• APT29 – Cozy Bear, kopplad till SVR (utrikesunderrättelsetjänsten) Nation-State Cyber Actors | Cybersecurity and Infrastructure Security Agency CISA. APT29: APT29, också känd som ”Cozy Bear” eller ”The Dukes”, är en APT-grupp som sägs ha förbindelser till den ryska regeringen. Gruppen har hackat en mängd olika organisationer, inklusive politiska partier och regeringsorganisationer i USA. Läs mer om cozy bear.
• APT28 – Fancy Bear, kopplad till GRU (militära underrättelsetjänsten) APT Groups
• Gamaredon (Primitive Bear) – Riktar sig mot ukrainska militären APT Quarterly Highlights : Q1 – 2024 – CYFIRMA
• Star Blizzard – Aktiv inom geopolitisk espionage Top 10 Advanced Persistent Threat (APT) Groups That Dominated 2024 – SOCRadar® Cyber Intelligence Inc.

Finansiellt motiverade grupper:

• FIN7 – Även känd som Carbon Spider, ELBRUS, Sangria Tempest

Iranska APT-grupper

Huvudgrupper:

• APT33 (Elfin) – Fokuserar på flyg-, luftfarts- och energisektorn Nation-State Cyber Actors | Cybersecurity and Infrastructure Security Agency CISA. Elfin (APT 33) – Iran: Elfin har riktat in sig på flyg-, rymd- och energisektorer i USA, Saudiarabien och Sydkorea och har skapat egna skadliga program som Shamoon och Mimikatz
• APT34 (OilRig, HelixKitten, Crambus) – Riktar sig mot olika sektorer Nation-State Cyber Actors | Cybersecurity and Infrastructure Security Agency CISA
• APT35 (Newscaster Team, Charming Kitten) – Som du nämnde i din lista
• APT42 (Mint Sandstorm) – Använder TAMECAT och NICECURL backdoors Advanced persistent threat – Wikipedia

Andra iranska grupper:

• MuddyWater – Fokuserar på Mellanöstern
• Void Manticore (Storm-842) – Destruktiva attacker
• Tortoiseshell – Riktar sig mot försvars- och rymdsektorn
• Charming Kitten – Iran: Riktade attackerna främst mot individer i Iran inom aktivism, media och akademi, men har också riktat sig mot Israel, USA och Storbritannien. De har genomfört spionkampanjer mot politiska figurer i USA

Andra betydande grupper

Pakistan:

• Mythic Leopard – Riktar sig mot indiska regeringsenheter APT Groups

Turkiet:

• StealthFalcon – Espionage-fokuserade operationer

Hur får de sina namn?

Olika säkerhetsföretag använder sina egna namnkonventioner: APT Groups and Operations – Google Sheets

• CrowdStrike: Använder djurnamn baserat på land (t.ex. Panda för Kina, Bear för Ryssland, Kitten för Iran)
• Microsoft: Använder väderrelaterade namn (Typhoon, Blizzard)
• Mandiant: Använder APT-nummer och kategorier (APT, FIN, UNC)
• Palo Alto Networks: Använder stjärnbilder ([X] Taurus, [X] Serpens)

De mest aktiva grupperna under 2024 inkluderar Salt Typhoon, Lazarus Group, APT31, APT41, Kimsuky, APT29, Star Blizzard, APT28, Flax Typhoon och Volt Typhoon

Hur du skyddar företaget mot de olika APT hoten

Dessa attacker, ofta sofistikerade och välfinansierade, riktas inte bara mot regeringar utan även mot privata företag för att stjäla immateriell egendom. För att skydda sina värdefulla tillgångar, måste organisationer fortsätta att stärka sina försvar.

För att skydda sig mot dessa hot, måste organisationer anta en flerdimensionell säkerhetsstrategi:

• Undvik cloudtjänster för kommersiell information och om det används så se till att ni använder två faktors authenticiering
• Implementera avancerade säkerhetslösningar som brandväggar, inkräktardetekteringssystem och krypteringstekniker
• Regelbundna säkerhetsbedömningar: Genomför kontinuerliga bedömningar och penetrationstester för att upptäcka och åtgärda sårbarheter.
• Var medveten om att allting som du säger i telefon eller över Skype kan avlyssnas
• Använd anti-virusprogram (samtidigt kan virusprogramen i sig innehålla bakdörrar…)
• Var kritiskt till allting som du läser och i synnerhet om du får mail från någon du inte känner
• Samarbeta med andra organisationer och regeringar för att dela information om hot och bästa praxis.
• Var kritisk om du får mail från någon du känner som inte verkar vara ok – eftersom det finns sociala tekniker genom att hacka sociala nätverk
• Undvik ladda ner skadliga filer som du inte vet vad de innehåller exempelvis attachments i mail (pdf filer kan innehålla virus i synnerhet om du har javascript aktiverat)
• Använd säkra lösenord och förvara dessa på ett säkert sätt
• Du kan ladda ner tillägg till din webbläsare för att utöka din säkerhet. Det finns tex addons som Noscript gör att du inte av misstag laddar ner skadlig kod och https everywhere som krypterar informationen.
• Använd 2 olika webbläsare där den ena använder du bara för känslig information exempelvis bankärenden
• Incidentberedskap: Utveckla och öva en incidenthanteringsplan för att snabbt reagera på och återhämta sig från säkerhetsincidenter.
• Utbilda anställda i cybersäkerhetspraxis och att identifiera potentiella hot, som phishing och social ingenjörskonst.

Företag specialiserade på skydd mot APT

Företag som är specialiserade på APT. Israeliska säkerhetsföretaget CyberArk är specialiserade på APT protection.