在眾多種惡意程式之中,APT 近年越來越受到企業重視,原因很簡單,因為它所造成的傷害比起一般惡意程式更加嚴重!全名為 Advanced Persistent Threat (APT) 的進階長期威脅惡意程式,是罪犯精心策劃、長時間入侵的惡意攻擊,一般採用比較先進的技術,擁有高隱蔽性特點。以下筆者將以早前在日本被發現,大規模入侵當地政府部門及企業的 Blue Termite 作為實例,看看 APT 在入侵目標後是如何運作。
向具體目標發動針對性攻擊
APT 與一般惡意程式的最大分別在於發動攻擊前,已經有具體的攻擊目標,例如:政府部門、金融機構或能源相關企業等。鎖定對象然後展開深入的入侵工作,長時間的潛入工作盜取價值相對較高的資料。以 Blue Termite 為例,因為黑客入侵日本養老金機構而東窗事發,經過卡巴斯基實驗室作進一步調查,發現 Blue Termite 針對政府、國防、能源、製造、金融和傳媒企業或部門,以電郵作為病毒散佈的橋樑。
精英黑客集體行動
發動 APT 攻擊的黑客,通常以組織形式行動。由於規模較大、而且技術要求相對較高,所以單獨一人難以成事。在 Blue Termite 事件中,卡巴斯基實驗室發現病毒的 C&C(Command and Control) 伺服器 93% 存放在日本本土,而針對的目標大部份也是國內企業,雖然暫時仍未找出幕後罪犯,但從表面證據推斷犯人可能是地區性黑客組織。今次事件改變了一般人對 APT 黑客組織的概念,「犯人把 C&C 伺服器架設在海外的外國人」並非必然,亦有機會是本地黑客組織向本地企業發動 APT 攻擊。因此,若果以為自己是本土中小企業而心存僥倖,無疑等同向黑客打開大門一樣。
APT運作流程(Blue Termite)
善用現有 IT 資源對抗 APT
應付越來越精密的網絡攻擊,企業保安自然要加把勁,但是大部份 IT 人員均面對資源緊絀的問題,在有限的環境下,中小企業又應該如何保護自己? 7月底將有一個由卡巴斯基贊助的「IT 人咖啡聚會」,屆時將有專家探討如何善用現有 IT 資源拆解 APT 攻擊,擔心自己成為下一個攻擊目標的中小企業,歡迎在此 登記 參與聚會,交流對抗 APT 的最新情報。