Ugrás a tartalomhoz

advanced persistent threat

A Wikiszótárból, a nyitott szótárból
(APT szócikkből átirányítva)

Angol


Főnév

advanced persistent threat (tsz. advanced persistent threats)

  1. (informatika) Az Advanced Persistent Threat (röviden APT) egy olyan hosszú távú, kifinomult kibertámadási forma, amelyet gyakran államilag támogatott csoportok vagy magasan szervezett hackercsoportok hajtanak végre. Az APT célja általában nem az azonnali károkozás, hanem hosszú távú, titkos hozzáférés fenntartása érzékeny rendszerekhez – kémkedés, adatlopás, vagy akár kritikus infrastruktúra manipuláció céljából.


1. Fogalmi alapok

  • Advanced (fejlett): A támadók magas szintű technikai tudással és erőforrásokkal rendelkeznek. Saját exploitokat, nulladik napi (0-day) sérülékenységeket is alkalmazhatnak.
  • Persistent (állandó): A támadás célja a tartós, észrevétlen jelenlét. A támadók elkerülik a felfedezést, és évekig bent lehetnek a célrendszerben.
  • Threat (fenyegetés): A támadók intelligens és szándékos műveleteket hajtanak végre. Nem automatizált botnet, hanem célzott emberi beavatkozás jellemzi őket.


2. APT támadási ciklus

Az APT támadás több lépésből álló, strukturált folyamat, amit gyakran a Cyber Kill Chain modell alapján írunk le:

1. Felderítés (Reconnaissance)

  • Nyílt forrású információgyűjtés (OSINT): e-mailek, alkalmazottak, IP-címek, szoftververziók
  • Social media profilok elemzése
  • Alkalmazott célszemélyek kiválasztása (spear phishing célpont)

2. Behatolás (Initial Compromise)

  • Spear phishing e-mailek rosszindulatú melléklettel vagy linkkel
  • Drive-by download, fertőzött weboldalak
  • Zero-day exploit alkalmazása egy sérülékeny rendszerkomponens ellen

3. Initial Access + C2 (Command & Control)

  • Hátsó kapu (backdoor) telepítése
  • C&C szerverrel titkosított kommunikáció kiépítése (pl. HTTPS, DNS tunneling)

4. Oldalbeli mozgás (Lateral Movement)

  • Hitelesítő adatok megszerzése (pl. Mimikatz)
  • Windows hálózatban: Kerberos ticketek, RDP, PsExec
  • Linux rendszerekben: SSH kulcsok ellopása, Sudo exploit

5. Tartósság elérése (Persistence)

  • Szolgáltatások vagy registry bejegyzések manipulálása
  • Rootkit telepítése, firmware módosítása
  • Legit szolgáltatásokba ágyazás (pl. Scheduled Tasks, GPO-k)

6. Adatlopás (Exfiltration)

  • Titkosított csatornán keresztüli adatküldés
  • USB eszközre másolás
  • Cloud-alapú C2 szerverekbe töltés (Dropbox, AWS, stb.)

7. Törlés és elrejtés (Cleanup + Evasion)

  • Naplók manipulálása, fájlok törlése
  • Anti-forenzikus technikák
  • Biztonsági eszközök megkerülése (AV, EDR, SIEM)


3. Híres APT-csoportok

Csoport Állítólagos eredet Célpontok Eszközök
APT28 (Fancy Bear) Oroszország NATO, USA, Ukrajna X-Agent, Sofacy
APT29 (Cozy Bear) Oroszország Kormányzati szervek WellMess, SolarWinds
APT1 Kína Kritikus iparágak világszerte Gh0st RAT
Lazarus Group Észak-Korea Pénzügyi és katonai célpontok WannaCry, Destover
APT33 Irán Légiközlekedés, energetika Shamoon, DropShot


4. Célpontok

APT-k támadása nem véletlenszerű, hanem erősen célzott:

  • Kormányzati szervek, minisztériumok
  • Katonai és hírszerzési infrastruktúra
  • Energiaipar (pl. SCADA rendszerek, olaj- és gázipar)
  • Bankok, pénzügyi szolgáltatók
  • Technológiai vállalatok (pl. IP lopás céljából)
  • Kutatóintézetek (pl. vakcinakutatás, energetika)


5. Védekezési módszerek

a) Hálózati szegmentálás

Külön alhálózatokra osztás, hogy egyetlen gép kompromittálása ne járjon az egész hálózat elvesztésével.

b) Többszintű hitelesítés (MFA)

Jelszó mellett második faktor, pl. token, mobil app, biometria.

c) Folyamatos naplózás és SIEM

  • Napi audit, eseménynaplók gyűjtése
  • Anomáliák felismerése gépi tanulással (UEBA)

d) Threat Hunting

Proaktív keresés olyan jelek után, amelyek egy APT támadás jelenlétére utalnak, még mielőtt kár történik.

e) EDR/XDR rendszerek

Endpoint Detection and Response – felismerik és blokkolják a gyanús folyamatokat, például privilege escalation vagy lateral movement során.


6. APT vs hagyományos malware

Jellemző APT Hagyományos Malware
Célzás Nagyon célzott Gyakran véletlenszerű
Technikai összetettség Magas Alacsony–közepes
Támadók motivációja Kémkedés, ipari titkok, politikai cél Pénzszerzés
Időtartam Hónapok/évek Rövid, gyakran napok
Eszközhasználat Egyedi exploitok, saját fejlesztésű toolok Közkézen forgó eszközök


7. Példák a valós életből

a) Stuxnet (2010)

– Egyik első APT, amelyet ipari vezérlőberendezések (Siemens PLC-k) ellen használtak, az iráni urándúsítók célba vétele érdekében. Valószínűleg amerikai-izraeli együttműködésben készült.

b) SolarWinds (2020)

– Az APT29 (Cozy Bear) által elkövetett támadás során a SolarWinds frissítési szerverén keresztül több ezer amerikai és nemzetközi célpont kompromittálódott (beleértve az USA kormányzati szerveit).

c) Operation Aurora (2009–2010)

– A Google és több más tech vállalat elleni támadás. Feltételezett kínai eredetű APT.


8. APT és geopolitika

Az APT-k nem csupán technikai kihívást jelentenek, hanem geopolitikai eszközök is:

  • Kiberkémkedés államközi konfliktusokban
  • Kritikus infrastruktúrák zsarolása vagy zavarása
  • Politikai befolyásolás (pl. választási rendszerek támadása)


9. APT detekciós nehézségek

  • A támadók gyakran legitim folyamatokba rejtőznek (living off the land)
  • A malware viselkedésalapú észlelése gyakran nem elég hatékony
  • Az APT gyakran rendszergazdai jogosultságokat használ, így a védelmi rendszerek sem mindig tudják megkülönböztetni


10. Összegzés

Az Advanced Persistent Threat az egyik legveszélyesebb támadási forma a kibertérben. Nem véletlenszerű, hanem tudatosan célzott, stratégiai célokat szolgál. Különösen veszélyeztetettek az állami és nagyvállalati rendszerek, ahol a támadók hónapokig vagy akár évekig is rejtve maradhatnak. A védekezéshez technikai, szervezeti és emberi tényezők együttes megerősítése szükséges, és az APT-kkel szembeni védelem napjaink legnagyobb IT-biztonsági kihívásai közé tartozik.

További információk

A lap eredeti címe: „https://hu.wiktionary.org/w/index.php?title=advanced_persistent_threat&oldid=3504141