Mehatxu Aurreratu Iraunkorra (APT)

Mehatxu aurreratu iraunkorrek (Advanced Persistent Threat edo APT, ingelesezko siglengatik) isilpean jarduten dute eta aktibo eta ezkutuan egoten dira denbora luzez. Helburua sare batean infiltratzea da espiatzeko, datuak lortzeko edo erakunde baten baliabideak aldatzeko. Sarri gobernuetako bulegoek edo Estatu baten menpe dauden organismoek babesten dituzte.

Mehatxu aurreratu iraunkorra:

  • Baliabide ekonomiko eta teknologiko aurreratuak ditu, eta, gehienetan, gobernuko erakunderen batek eskainiak dira.
  • Bere helburuak behin eta berriz lortu nahi ditu denbora luzez.
  • Babesteko eta hautemateko neurri eta ekintzetara egokitzen da.

APT erasoak informazio oso baliotsua kudeatzen duten sektore estrategikoetako enpresa eta erakundeei zuzenduta egoten dira normalean, hala nola defentsa nazionalera, manufaktura-industriara, ikerketa zientifikora edo finantza-industriara. Geroz eta ohikoagoa da erasotzaileek azken-xedetzat duten enpresaren hornidura-kateko enpresak jartzea arriskuan, babes-neurri arinagoak izaten dituztelako sarritan.

Zibereraso arrunt batean, erasotzailea ahalik eta azkarren sartu eta sistemak infektatu edo nahi duen informazioa lortzen ahalegintzen da. ATP eraso batean, aldiz, helburua ez da besterik gabe sartzea, baizik eta etengabeko sarbidea lortzea helburu jakin bat bete ahal izateko. Sarbide hori hauteman gabe mantentzeko, erasotzaileak hainbat teknika erabiltzen ditu, hala nola tresna propioak, erabilitako softwarearen kodea berridaztea edo ihes egiteko teknika sofistikatuak. Eraso horien ondorioak izan ohi dira:

Jabetza intelektuala lapurtzea (esaterako, merkataritzako edo patenteen sekretuak).

  • Informazio konfidentziala arriskuan jartzea (esaterako, langileen eta erabiltzaileen datu pribatuak).
  • Erakundearen funtsezko azpiegiturak saboteatzea (adibidez, datu-baseak ezabatzea).
  • Erakundearen guneak erabat bereganatzea (esaterako, webgunea edo intraneta).

APT erasoek hainbat etapa izan ohi dituzte:

  1. Sarbidea: Gehienetan, Interneten dauden zerbitzuen bitartez, sistemaren bat infektatuta edo baimenduta dauden erabiltzaileen kontuak eskuratuz lortu ohi dute. Esaterako, kalteberatasunak ustiatuz edo ingeniaritza sozialaren bitartez lor daiteke hori.
  2. Infiltrazioa: Sartu ostean, erasotzaileak urruneko sarbidea eduki ahal izateko malwarea ezartzen dute. Batzuetan, softwarearen kodea berridazteko teknika erabiltzen dute arrastoa ezkutatzeko.
  3. Sarbidea hobetzea: Infiltratu ondoren, sistemaren barruko pribilegioak handitzen ahalegintzen dira hainbat teknikaren bitartez, hala nola pasahitzak berreskuratzen.
  4. Alboko desplazamendua: Sistemetan pribilegioak lortu ondotik, beste sistema batzuetara edo sarearen eremuetara sartzen ahalegintzeko erabil daitezke.
  5. Egon, erreparatu eta informazioa bildu: Sarera sartu ostean, eta beti ere kontuan izanda ezin dituztela hauteman, erasotzaileak sistemen funtzionamendua ulertzen eta nahi duten informazioa edo eragina lortzen saiatzen dira. Helburua da sarbide hori denbora-mugarik gabe mantentzea edo helburu jakin bat lortu ostean erretiratzea.

Eraso sofistikatuak eta hautemateko zailak diren arren, sistema APT eraso baten biktima izan dela adierazten duten zantzuetako batzuk dira hauek:

  • Espero gabe saioa hastea
  • Datuen mugimendu susmagarriak edo baimendu gabeak
  • Iruzurrezko mezu elektronikoak bidaltzea

2020 eta 2021ean, ikerketa zientifikoarekin edo osasunaren kudeaketarekin lotutako erakundeen aurkako APT taldeen kanpainak areagotu ziren COVID-19aren pandemiaren ondorioz. Ekintza batzuen helburua jabetza intelektuala, informazio korporatiboa eta datu sentiberak lapurtzea izan zen.