Набор скрытых и непрерывных процессов компьютерного взлома
Расширенная постоянная угроза ( APT ) — это скрытый субъект угрозы , обычно государство или спонсируемая государством группа, который получает несанкционированный доступ к компьютерной сети и остается незамеченным в течение длительного периода времени. [1] [2] В последнее время этот термин может также относиться к группам, не спонсируемым государством, осуществляющим крупномасштабные целевые вторжения для достижения конкретных целей. [3]
APT-атаки на мобильные устройства также стали законной проблемой, поскольку злоумышленники могут проникать в облачную и мобильную инфраструктуру для подслушивания, кражи и подделки данных. [9]
Среднее время пребывания, то есть время, в течение которого APT-атака остается незамеченной, сильно различается в зависимости от региона. FireEye сообщила, что среднее время пребывания в 2018 году в Северной и Южной Америке составило 71 день, в регионе EMEA — 177 дней и в Азиатско-Тихоокеанском регионе — 204 дня. [5] Такое длительное время пребывания позволяет злоумышленникам значительное количество времени пройти цикл атаки, распространиться и достичь своей цели.
Определение
Определения того, что такое APT, могут различаться, но их можно резюмировать с помощью названных требований ниже:
Продвинутый уровень : операторы, стоящие за угрозой, имеют в своем распоряжении полный спектр методов сбора разведывательной информации. Они могут включать в себя коммерческие технологии и методы компьютерного вторжения с открытым исходным кодом, но могут также включать в себя разведывательный аппарат государства. Хотя отдельные компоненты атаки не могут считаться особенно «продвинутыми» (например, компоненты вредоносного ПО , созданные из общедоступных комплектов для самостоятельной сборки вредоносных программ или использование легко приобретаемых материалов для эксплойтов), их операторы обычно могут получить доступ к более продвинутым компонентам и разработать их. инструменты по мере необходимости. Они часто комбинируют несколько методов, инструментов и приемов таргетинга, чтобы достичь и скомпрометировать свою цель, а также сохранить к ней доступ. Операторы также могут демонстрировать намеренное внимание к операционной безопасности, что отличает их от «менее продвинутых» угроз. [3] [10] [11]
Настойчивость – у операторов есть конкретные цели, а не оппортунистический поиск информации для получения финансовой или другой выгоды. Это различие подразумевает, что злоумышленники руководствуются внешними объектами. Таргетирование осуществляется посредством постоянного мониторинга и взаимодействия для достижения поставленных целей. Это не означает шквал постоянных атак и обновлений вредоносного ПО. На самом деле подход «низко и медленно» обычно более успешен. Если оператор теряет доступ к своей цели, он обычно пытается получить доступ повторно, и чаще всего успешно. Одна из целей оператора — поддерживать долгосрочный доступ к цели, в отличие от угроз, которым доступ нужен только для выполнения конкретной задачи. [10] [12]
Угроза . APT представляют собой угрозу, поскольку у них есть как возможности, так и намерения. APT-атаки выполняются скоординированными действиями человека, а не бессмысленными и автоматизированными фрагментами кода. Операторы имеют конкретную цель и являются квалифицированными, мотивированными, организованными и хорошо финансируемыми. Действующие лица не ограничиваются группами, спонсируемыми государством. [3] [10]
История и цели
Предупреждения против целевых, социально-инженерных электронных писем, содержащих трояны для кражи конфиденциальной информации, были опубликованы организациями CERT Великобритании и США в 2005 году. Этот метод использовался в начале 1990-х годов и сам по себе не является APT. Термин «расширенная постоянная угроза» был придуман ВВС США в 2006 году [13], а полковник Грег Рэттрей был назван человеком, который придумал этот термин. [14]
Компьютерный червь Stuxnet , нацеленный на компьютерное оборудование ядерной программы Ирана , является одним из примеров APT-атаки. В этом случае иранское правительство может рассматривать создателей Stuxnet как серьезную постоянную угрозу. [ нужна ссылка ] [15]
В сообществе компьютерной безопасности и все чаще в средствах массовой информации этот термин почти всегда используется в отношении долгосрочной модели эксплуатации сложных компьютерных сетей, направленной против правительств, компаний и политических активистов, и, в более широком смысле, также для приписывания A , P и T атрибуты групп, стоящих за этими атаками. [16] Термин «усовершенствованная постоянная угроза» (APT) может сместить акцент на компьютерный взлом из-за растущего числа случаев. PC World сообщил о росте на 81 процент с 2010 по 2011 год количества особо сложных целевых компьютерных атак. [17]
Во многих странах киберпространство используется как средство сбора разведывательной информации об отдельных лицах и группах лиц, представляющих интерес. [18] [19] [20] Киберкомандованию США поручено координировать наступательные и оборонительные кибероперации американских вооруженных сил . [21]
Многочисленные источники утверждают, что некоторые группы APT связаны с правительствами суверенных государств или являются их агентами . [22] [23] [24]
Предприятия, владеющие большим количеством личной информации, подвергаются высокому риску стать жертвой сложных постоянных угроз, в том числе: [25]
Исследование Bell Canada предоставило глубокое исследование анатомии APT и выявило их широкое присутствие в канадском правительстве и критически важной инфраструктуре. Установлена атрибуция китайским и российским актерам. [28]
Жизненный цикл
Диаграмма, изображающая поэтапный жизненный цикл сложной постоянной угрозы (APT), которая повторяется после завершения.
Действующие лица, стоящие за продвинутыми постоянными угрозами, создают растущий и меняющийся риск для финансовых активов, интеллектуальной собственности и репутации организаций [29] , следуя непрерывному процессу или цепочке действий :
Ориентируйтесь на конкретные организации для достижения единственной цели
Попытка закрепиться в среде (обычная тактика включает в себя целевую фишинговую рассылку)
Используйте скомпрометированные системы для доступа к целевой сети.
Разверните дополнительные инструменты, помогающие достичь цели атаки.
Прикрытие для сохранения доступа для будущих инициатив
Глобальный ландшафт APT из всех источников иногда упоминается в единственном числе как «APT», как и ссылки на субъекта, стоящего за конкретным инцидентом или серией инцидентов, но определение APT включает как субъекта, так и метод. [30]
В 2013 году компания Mandiant представила результаты своего исследования предполагаемых китайских атак с использованием метода APT в период с 2004 по 2013 год [31] , которые имели схожий жизненный цикл:
Первоначальная компрометация – осуществляется с помощью социальной инженерии и целевого фишинга по электронной почте с использованием вирусов нулевого дня . Еще одним популярным методом заражения было размещение вредоносного ПО на веб-сайте, который с большой вероятностью будут посещать сотрудники жертвы. [32]
Повышение привилегий — используйте эксплойты и взлом паролей, чтобы получить права администратора на компьютере жертвы и, возможно, расширить их до учетных записей администратора домена Windows .
Внутренняя разведка — сбор информации об окружающей инфраструктуре, доверительных отношениях, структуре домена Windows .
Двигайтесь в сторону — расширяйте контроль над другими рабочими станциями, серверами и элементами инфраструктуры и осуществляйте сбор данных на них.
Поддерживать присутствие — обеспечить постоянный контроль над каналами доступа и учетными данными, полученными на предыдущих этапах.
Выполните миссию – извлеките украденные данные из сети жертвы.
В инцидентах, проанализированных Mandiant, средний период, в течение которого злоумышленники контролировали сеть жертвы, составлял один год, а самый продолжительный — почти пять лет. [31] Проникновения предположительно были осуществлены базирующимся в Шанхае подразделением 61398 Народно -освободительной армии Китая . Китайские официальные лица отрицают свою причастность к этим нападениям. [33]
В предыдущих отчетах Secdev уже были обнаружены и замешаны китайские актеры. [34]
Стратегии смягчения последствий
Существуют десятки миллионов разновидностей вредоносного ПО, [35] что делает чрезвычайно сложной задачу защиты организаций от APT. Хотя действия APT скрыты и их трудно обнаружить, сетевой трафик управления и контроля , связанный с APT, можно обнаружить на уровне сети с помощью сложных методов. Глубокий анализ журналов и корреляция журналов из различных источников имеют ограниченную полезность при обнаружении активности APT. Трудно отделить шум от законного трафика. Традиционные технологии и методы безопасности оказались неэффективными для обнаружения или смягчения последствий APT. [36] Активная киберзащита позволила повысить эффективность обнаружения и преследования APT (найти, исправить, уничтожить) при применении разведки о киберугрозах для охоты и преследования противника. [37] [38] Кибер-уязвимости, созданные человеком (HICV), представляют собой слабое кибер-звено, которое недостаточно изучено и не смягчено, и представляют собой значительный вектор атаки. [39]
Несколько организаций могут присваивать разные имена одному и тому же субъекту. Поскольку каждый из отдельных исследователей может иметь свои собственные оценки группы APT, такие компании, как CrowdStrike , Kaspersky , Mandiant и Microsoft , среди прочих, имеют свои собственные внутренние схемы именования. [73] На основании различных собранных данных названия разных организаций могут относиться к пересекающимся, но в конечном итоге к разным группам.
CrowdStrike распределяет животных по национальным государствам или другим категориям, например «Котенок» для Ирана и «Паук» для групп, занимающихся киберпреступностью. [74] Другие компании назвали группы на основе этой системы — например, Rampant Kitten была названа Check Point, а не CrowdStrike. [75]
Драгос основывает свои названия групп APT на минералах. [73]
Mandiant присваивает нумерованные аббревиатуры трем категориям: APT, FIN и UNC, в результате чего получаются имена APT, такие как FIN7 . Другие компании, использующие подобную систему, включают Proofpoint (TA) и IBM (ITG и Hive). [73]
Microsoft раньше присваивала имена из периодической таблицы , часто стилизованные заглавными буквами (например, КАЛИЙ ); в апреле 2023 года Microsoft изменила свою схему именования, чтобы использовать имена, основанные на погоде (например, Volt Typhoon). [76]
^ Активен с 2013 года, в отличие от большинства APT, Gamaredon широко нацелен на всех пользователей по всему миру (помимо того, что он фокусируется на определенных жертвах, особенно на украинских организациях [65] ) и, похоже, предоставляет услуги другим APT. [66] Например, группа угроз InvisiMole атаковала отдельные системы, которые Gamaredon ранее взломал и снял отпечатки пальцев. [65]
Рекомендации
^ «Что такое продвинутая постоянная угроза (APT)?». www.kaspersky.com . Проверено 11 августа 2019 г.
^ «Что такое продвинутая постоянная угроза (APT)?». Циско . Проверено 11 августа 2019 г.
^ abc Мэлони, Сара. «Что такое продвинутая постоянная угроза (APT)?» . Проверено 9 ноября 2018 г.
^ Коул., Эрик (2013). Расширенная постоянная угроза: понимание опасности и способы защиты вашей организации . Сингресс. ОКЛК 939843912.
^ ab «Тенденции кибербезопасности M-Trends». Огненный Глаз . Проверено 11 августа 2019 г.
^ «Киберугрозы индустрии финансовых услуг и страхования» (PDF) . Огненный Глаз . Архивировано из оригинала (PDF) 11 августа 2019 года.
^ «Киберугрозы розничной торговле и индустрии потребительских товаров» (PDF) . Огненный Глаз . Архивировано из оригинала (PDF) 11 августа 2019 года.
^ «Продвинутые постоянные угрозы: взгляд Symantec» (PDF) . Симантек . Архивировано из оригинала (PDF) 8 мая 2018 года.
^ Ау, Ман Хо (2018). «Операция с персональными данными с сохранением конфиденциальности в мобильном облаке — шансы и проблемы, связанные с продвинутыми постоянными угрозами». Компьютерные системы будущего поколения . 79 : 337–349. doi :10.1016/j.future.2017.06.021.
^ abc «Расширенные постоянные угрозы (APT)» . Управление IT .
^ «Объяснение: продвинутая постоянная угроза (APT)» . Лаборатория Малваребайтс . 26 июля 2016 года . Проверено 11 августа 2019 г.
^ «Оценка исходящего трафика для выявления продвинутых постоянных угроз» (PDF) . Технологический институт SANS. Архивировано из оригинала (PDF) 26 июня 2013 года . Проверено 14 апреля 2013 г.
^ «Представляем исследование Forrester по разведке киберугроз» . Исследования Форрестера. Архивировано из оригинала 15 апреля 2014 года . Проверено 14 апреля 2014 г.
^ Бейм, Джаред (2018). «Усиление запрета на международный шпионаж» . Чикагский журнал международного права . 18 : 647–672. ПроКвест 2012381493.
^ «Продвинутые постоянные угрозы: изучите азбуку APT - Часть A» . SecureWorks . Проверено 23 января 2017 г.
↑ Олавсруд, Тор (30 апреля 2012 г.). «В 2011 году количество целевых атак увеличилось, они стали более разнообразными». Журнал ИТ-директоров . Архивировано из оригинала 14 апреля 2021 года . Проверено 14 апреля 2021 г.
^ «Развивающийся кризис». БизнесУик. 10 апреля 2008 г. Архивировано из оригинала 10 января 2010 г. Проверено 20 января 2010 г.
^ «Новая угроза электронного шпионажа». БизнесУик. 10 апреля 2008 г. Архивировано из оригинала 18 апреля 2011 г. . Проверено 19 марта 2011 г.
^ Розенбах, Марсель; Шульц, Томас; Вагнер, Виланд (19 января 2010 г.). «Google под атакой: высокая стоимость ведения бизнеса в Китае». Дер Шпигель . Архивировано из оригинала 21 января 2010 года . Проверено 20 января 2010 г.
^ «Командир обсуждает десятилетие кибермощи Министерства обороны» . МИНИСТЕРСТВО ОБОРОНЫ США . Проверено 28 августа 2020 г.
^ «Под киберугрозой: оборонные подрядчики». Bloomberg.com . БизнесУик. 6 июля 2009 года. Архивировано из оригинала 11 января 2010 года . Проверено 20 января 2010 г.
^ «Понимание продвинутой постоянной угрозы». Том Паркер. 4 февраля 2010 г. Проверено 4 февраля 2010 г.
^ «Расширенная постоянная угроза (или информатизированные силовые операции)» (PDF) . Усеникс, Майкл К. Дейли. 4 ноября 2009 года . Проверено 4 ноября 2009 г.
^ «Анатомия продвинутой постоянной угрозы (APT)» . Делл Секьюрворкс. Архивировано из оригинала 5 марта 2016 года . Проверено 21 мая 2012 г.
^ Гонсалес, Хоакин Джей III; Кемп, Роджер Л. (16 января 2019 г.). Кибербезопасность: текущие статьи об угрозах и защите. МакФарланд. п. 69. ИСБН978-1-4766-7440-7.
^ Ингерман, Брет; Ян, Кэтрин (31 мая 2011 г.). «Десять главных IT-проблем, 2011». Обзор образования.
^ МакМахон, Дэйв; Рогозинский, Рафаль. «Проект темного космоса: оборонные исследования и разработки Канады - отчет подрядчика Центра наук о безопасности DRDC CSS CR 2013-007» (PDF) . публикации.gc.ca . Архивировано (PDF) из оригинала 5 ноября 2016 г. Проверено 1 апреля 2021 г.
^ «Перехитрить сложные и уклончивые вредоносные угрозы». Безопасные работы . Аналитика Secureworks. Архивировано из оригинала 7 апреля 2019 года . Проверено 24 февраля 2016 г. .
^ EMAGCOMSECURITY (9 апреля 2015 г.). «Группа APT (Advanced Persistent Threat)» . Проверено 15 января 2019 г.
^ ab «APT1: Разоблачение одного из китайских подразделений кибершпионажа» . Мандиант. 2013. Архивировано из оригинала 2 февраля 2015 года . Проверено 19 февраля 2013 г.
^ «Что такое методы первоначального доступа MITRE ATT&CK» . GitGuardian — автоматическое обнаружение секретов . 8 июня 2021 г. Проверено 13 октября 2023 г.
↑ Бланшар, Бен (19 февраля 2013 г.). «Китай заявляет, что обвинения США во взломе не имеют технических доказательств». Рейтер.
^ Дейберт, Р.; Рогозинский Р.; Манчанда, А.; Вильнев, Н.; Уолтон, Дж. (28 марта 2009 г.). «Отслеживание GhostNet: расследование сети кибершпионажа». Центр международных исследований Мунка при Университете Торонто . Проверено 27 декабря 2023 г.
^ РикМессье (30 октября 2013 г.). Сертификация GSEC GIAC Security Essentials All. McGraw Hill Professional, 2013. с. XXV. ISBN978-0-07-182091-2.
^ «Анатомия атаки APT (расширенная постоянная угроза)» . Огненный Глаз . Проверено 14 ноября 2020 г.
^ «Аналитика угроз в активной киберзащите (Часть 1)» . Записанное будущее . 18 февраля 2015 года . Проверено 10 марта 2021 г.
^ «Аналитика угроз в активной киберзащите (Часть 2)» . Записанное будущее . 24 февраля 2015 года . Проверено 10 марта 2021 г.
^ «Контекстно-ориентированный исследовательский подход к фишингу и эксплуатационным технологиям в системах промышленного контроля | Журнал информационной войны» . www.jinfowar.com . Проверено 31 июля 2021 г.
^ Мозур, Пол; Бакли, Крис (26 августа 2021 г.). «Шпионы по найму: новое поколение хакеров в Китае сочетает в себе шпионаж и предпринимательство». Нью-Йорк Таймс . ISSN 0362-4331 . Проверено 27 августа 2021 г.
↑ Стоун, Джефф (5 октября 2020 г.). «Иностранные шпионы используют подставные компании, чтобы замаскировать свои хакерские атаки, заимствуя старую тактику маскировки». www.cyberscoop.com . Киберсовок . Проверено 11 октября 2020 г.
^ «Buckeye: шпионская экипировка использовала инструменты группы уравнений до утечки информации о Shadow Brokers» . Симантек . 7 мая 2019 г. Архивировано из оригинала 7 мая 2019 г. . Проверено 23 июля 2019 г.
^ «Double Dragon APT41, операция по двойному шпионажу и киберпреступности» . Огненный Глаз . 16 октября 2019 года. Архивировано из оригинала 7 мая 2021 года . Проверено 14 апреля 2020 г.
^ «Бюро называет виновников программ-вымогателей» . www.taipeitimes.com . Тайбэй Таймс. 17 мая 2020 г. Проверено 22 мая 2020 г.
^ Тартар, Матье; Смолар, Мартин (21 мая 2020 г.). «Для Winnti Group нет« игры окончена »». www.welivesecurity.com . Мы живем в безопасности . Проверено 22 мая 2020 г.
↑ Гринберг, Энди (6 августа 2020 г.). «Китайские хакеры разграбили тайваньскую полупроводниковую промышленность». Проводной . Проверено 7 августа 2020 г.
^ Нарейн, Райан (2 марта 2021 г.). «Microsoft: несколько серверов Exchange нулевых дней подверглись атаке китайской хакерской группы». Securityweek.com . Проводные деловые СМИ . Проверено 3 марта 2021 г.
↑ Берт, Том (2 марта 2021 г.). «Новые кибератаки национальных государств». blogs.microsoft.com . Майкрософт . Проверено 3 марта 2021 г.
↑ Николс, Шон (20 октября 2021 г.). «Хакеры LightBasin 5 лет скрывались в телекоммуникационных сетях» . ТехТаржет . Проверено 8 апреля 2022 г.
↑ Илашку, Ионут (19 октября 2021 г.). «Хакерская группа LightBasin за два года взломала 13 глобальных телекоммуникационных компаний» . Пипящий компьютер . Проверено 8 апреля 2022 г.
↑ Лингаас, Шон (10 августа 2021 г.). «Китайские хакеры выдавали себя за иранцев, чтобы взломать израильские объекты, — сообщает FireEye». www.cyberscoop.com . Проверено 15 августа 2021 г.
^ «APT17: Прячемся на виду — FireEye и Microsoft раскрывают тактику запутывания» (PDF) . Огненный Глаз . Май 2015.
↑ Сабин, Сэм (26 октября 2022 г.). «Новая прокитайская кампания дезинформации нацелена на выборы 2022 года: отчет» . Аксиос . Проверено 27 октября 2022 г.
↑ Чен, Джоуи (12 мая 2020 г.). «Спина тропического солдата: атака USBferry нацелена на среду с воздушным зазором». blog.trendmicro.com . Тренд Микро . Проверено 16 мая 2020 г.
^ Чимпану, Каталин. «Хакеры нацелены на закрытые сети тайваньских и филиппинских вооруженных сил». ЗДнет . Проверено 16 мая 2020 г.
↑ Разведка, угроза Microsoft (24 мая 2023 г.). «Вольт Тайфун нацелен на критически важную инфраструктуру США с помощью методов жизни за счет земли» . Блог Microsoft по безопасности . Проверено 26 мая 2023 г.
^ ван Данциг, Маартен; Шампер, Эрик (19 декабря 2019 г.). «Wocao APT20» (PDF) . fox-it.com . Группа компаний НКЦ . Архивировано из оригинала (PDF) 22 марта 2021 года . Проверено 23 декабря 2019 г.
↑ Виджаян, Джай (19 декабря 2019 г.). «Китайская группа кибершпионажа, нацеленная на организации в 10 странах». www.darkreading.com . Мрачное чтение . Проверено 12 января 2020 г.
↑ Лингаас, Шон (12 февраля 2019 г.). «Правильная страна, не та группа? Исследователи говорят, что не APT10 взломал норвежскую фирму-разработчик программного обеспечения». www.cyberscoop.com . Киберсовок . Проверено 16 октября 2020 г.
↑ Лингаас, Шон (16 октября 2020 г.). «Google предлагает подробную информацию о китайской хакерской группе, атаковавшей кампанию Байдена». Киберсовок . Проверено 16 октября 2020 г.
^ «Pioneer Kitten APT продает доступ к корпоративной сети» . Threatpost.com . Сентябрь 2020.
^ «APT39, ITG07, Chafer, Remix Kitten, Группа G0087 | MITRE ATT&CK®» . Attack.mitre.org . Проверено 30 декабря 2022 г.
^ «Отчет о глобальных угрозах Crowdstrike 2020» (PDF) . www.crowdstrike.com . 2020. Архивировано (PDF) из оригинала 14 марта 2020 года . Проверено 30 декабря 2020 г.
^ Кайл Олспах (4 февраля 2022 г.). «Microsoft раскрывает новые подробности о российской хакерской группировке Gamaredon». ВенчурБит . Проверено 22 марта 2022 г.
↑ ab Чарли Осборн (21 марта 2022 г.). «Украина предупреждает об атаках InvisiMole, связанных с спонсируемыми государством российскими хакерами». ЗДНет . Проверено 22 марта 2022 г.
^ Уоррен Мерсер; Витор Вентура (23 февраля 2021 г.). «Гамаредон - Когда национальные государства не оплачивают все счета». Циско . Проверено 22 марта 2022 г.
^ «Противник: Ядовитый Медведь - Актер-Угроза» . Вселенная противоборства Crowdstrike . Проверено 22 марта 2022 г.
^ Уоррен Мерсер; Пол Расканьерес; Витор Вентура (29 июня 2020 г.). «PROMETHIUM расширяет глобальное присутствие с помощью StrongPity3 APT». Циско . Проверено 22 марта 2022 г.
^ «Уравнение: Звезда Смерти галактики вредоносных программ» . Лаборатория Касперского . 16 февраля 2015 года. Архивировано из оригинала 11 июля 2019 года . Проверено 23 июля 2019 г.
↑ Галлахер, Шон (3 октября 2019 г.). «Касперский обнаружил хакерскую операцию в Узбекистане… потому что группа использовала Kaspersky AV». arstechnica.com . Арс Техника . Проверено 5 октября 2019 г.
^ Панда, Анкит. «Наступательные кибервозможности и разведка общественного здравоохранения: Вьетнам, APT32 и COVID-19». thediplomat.com . Дипломат . Проверено 29 апреля 2020 г.
^ Танриверди, Хакан; Зирер, Макс; Веттер, Анн-Катрин; Бирманн, Кай; Нгуен, Ти До (8 октября 2020 г.). Ньерле, Верена; Шеффель, Роберт; Решниок, Лиза (ред.). «Оказалась в прицеле у вьетнамских хакеров». Баварский Рундфунк . В случае Буи следы ведут к группе, предположительно действующей от имени вьетнамского государства. У специалистов есть много названий этой группы: наиболее известны APT 32 и Ocean Lotus. В разговорах с десятком специалистов по информационной безопасности все сошлись во мнении, что это вьетнамская группировка, шпионящая, в частности, за собственными соотечественниками.
^ abc «Схемы именования групп угроз в разведке киберугроз». Кураторский интеллект . Проверено 21 января 2024 г.
^ «Отчет о глобальных угрозах CrowdStrike 2023» (PDF) . КраудСтрайк . Проверено 21 января 2024 г.
^ "Буйный котенок". Агентство развития электронных транзакций Таиланда . Проверено 21 января 2024 г.
↑ Ламберт, Джон (18 апреля 2023 г.). «Microsoft переходит к новой таксономии именования субъектов угроз» . Майкрософт . Проверено 21 января 2024 г.
дальнейшее чтение
Рекомендации Gartner по смягчению сложных постоянных угроз
Bell Canada, Борьба с сетями роботов и их контроллерами: PSTP08-0107eSec, 6 мая 2010 г. (PSTP)
Готовьтесь к «посткриптомиру», предупреждает крестный отец о шифровании
Оборонные исследования: Проект темного космоса APT0. Архивировано 26 июля 2020 г. в Wayback Machine.
Gartner: стратегии борьбы с продвинутыми целевыми атаками
XM Cyber: пример удаленного заражения файлов с помощью APT-атаки
Secdev, «GhostNet» — крупномасштабная операция кибершпионажа, обнаруженная в марте 2009 года.
Секдев, «Тени в облаке». Сложная экосистема кибершпионажа, которая систематически атаковала и компрометировала компьютерные системы в Индии, офисах Далай-ламы, Организации Объединенных Наций и ряде других стран.
Списки групп APT
FireEye: расширенные постоянные группы угроз
Сообщество безопасности MITRE ATT&CK отследило страницы расширенных постоянных групп