Расширенная постоянная угроза

Набор скрытых и непрерывных процессов компьютерного взлома

Расширенная постоянная угроза ( APT ) — это скрытый субъект угрозы , обычно государство или спонсируемая государством группа, который получает несанкционированный доступ к компьютерной сети и остается незамеченным в течение длительного периода времени. ^{[1] [2]} В последнее время этот термин может также относиться к группам, не спонсируемым государством, осуществляющим крупномасштабные целевые вторжения для достижения конкретных целей. ^[3]

Мотивы таких субъектов угроз обычно носят политический или экономический характер. ^[4] В каждом крупном бизнес-секторе зафиксированы случаи кибератак со стороны продвинутых субъектов с конкретными целями: украсть, шпионить или нарушить работу. Эти целевые сектора включают правительство, оборону , финансовые услуги , юридические услуги , промышленность , телекоммуникации , потребительские товары и многие другие. ^{[5] [6] [7]} Некоторые группы используют традиционные векторы шпионажа , включая социальную инженерию , человеческий интеллект и проникновение , чтобы получить доступ к физическому местоположению для проведения сетевых атак. Целью этих атак является установка специального вредоносного ПО (вредоносного программного обеспечения) . ^[8]

APT-атаки на мобильные устройства также стали законной проблемой, поскольку злоумышленники могут проникать в облачную и мобильную инфраструктуру для подслушивания, кражи и подделки данных. ^[9]

Среднее время пребывания, то есть время, в течение которого APT-атака остается незамеченной, сильно различается в зависимости от региона. FireEye сообщила, что среднее время пребывания в 2018 году в Северной и Южной Америке составило 71 день, в регионе EMEA — 177 дней и в Азиатско-Тихоокеанском регионе — 204 дня. ^[5] Такое длительное время пребывания позволяет злоумышленникам значительное количество времени пройти цикл атаки, распространиться и достичь своей цели.

Определение

Определения того, что такое APT, могут различаться, но их можно резюмировать с помощью названных требований ниже:

• Продвинутый уровень  : операторы, стоящие за угрозой, имеют в своем распоряжении полный спектр методов сбора разведывательной информации. Они могут включать в себя коммерческие технологии и методы компьютерного вторжения с открытым исходным кодом, но могут также включать в себя разведывательный аппарат государства. Хотя отдельные компоненты атаки не могут считаться особенно «продвинутыми» (например, компоненты вредоносного ПО , созданные из общедоступных комплектов для самостоятельной сборки вредоносных программ или использование легко приобретаемых материалов для эксплойтов), их операторы обычно могут получить доступ к более продвинутым компонентам и разработать их. инструменты по мере необходимости. Они часто комбинируют несколько методов, инструментов и приемов таргетинга, чтобы достичь и скомпрометировать свою цель, а также сохранить к ней доступ. Операторы также могут демонстрировать намеренное внимание к операционной безопасности, что отличает их от «менее продвинутых» угроз. ^{[3] [10] [11]}
• Настойчивость  – у операторов есть конкретные цели, а не оппортунистический поиск информации для получения финансовой или другой выгоды. Это различие подразумевает, что злоумышленники руководствуются внешними объектами. Таргетирование осуществляется посредством постоянного мониторинга и взаимодействия для достижения поставленных целей. Это не означает шквал постоянных атак и обновлений вредоносного ПО. На самом деле подход «низко и медленно» обычно более успешен. Если оператор теряет доступ к своей цели, он обычно пытается получить доступ повторно, и чаще всего успешно. Одна из целей оператора — поддерживать долгосрочный доступ к цели, в отличие от угроз, которым доступ нужен только для выполнения конкретной задачи. ^{[10] [12]}
• Угроза  . APT представляют собой угрозу, поскольку у них есть как возможности, так и намерения. APT-атаки выполняются скоординированными действиями человека, а не бессмысленными и автоматизированными фрагментами кода. Операторы имеют конкретную цель и являются квалифицированными, мотивированными, организованными и хорошо финансируемыми. Действующие лица не ограничиваются группами, спонсируемыми государством. ^{[3] [10]}

История и цели

Предупреждения против целевых, социально-инженерных электронных писем, содержащих трояны для кражи конфиденциальной информации, были опубликованы организациями CERT Великобритании и США в 2005 году. Этот метод использовался в начале 1990-х годов и сам по себе не является APT. Термин «расширенная постоянная угроза» был придуман ВВС США в 2006 году ^[13], а полковник Грег Рэттрей был назван человеком, который придумал этот термин. ^[14]

Компьютерный червь Stuxnet , нацеленный на компьютерное оборудование ядерной программы Ирана , является одним из примеров APT-атаки. В этом случае иранское правительство может рассматривать создателей Stuxnet как серьезную постоянную угрозу. ^{[ нужна ссылка ] [15]}

В сообществе компьютерной безопасности и все чаще в средствах массовой информации этот термин почти всегда используется в отношении долгосрочной модели эксплуатации сложных компьютерных сетей, направленной против правительств, компаний и политических активистов, и, в более широком смысле, также для приписывания A , P и T атрибуты групп, стоящих за этими атаками. ^[16] Термин «усовершенствованная постоянная угроза» (APT) может сместить акцент на компьютерный взлом из-за растущего числа случаев. PC World сообщил о росте на 81 процент с 2010 по 2011 год количества особо сложных целевых компьютерных атак. ^[17]

Во многих странах киберпространство используется как средство сбора разведывательной информации об отдельных лицах и группах лиц, представляющих интерес. ^{[18] [19] [20]} Киберкомандованию США поручено координировать наступательные и оборонительные кибероперации американских вооруженных сил . ^[21]

Многочисленные источники утверждают, что некоторые группы APT связаны с правительствами суверенных государств или являются их агентами . ^{[22] [23] [24]} Предприятия, владеющие большим количеством личной информации, подвергаются высокому риску стать жертвой сложных постоянных угроз, в том числе: ^[25]

• Сельское хозяйство ^[26]
• Энергия
• Финансовые институты
• Здравоохранение
• Высшее образование ^[27]
• Производство
• Технологии
• Телекоммуникации
• Транспорт

Исследование Bell Canada предоставило глубокое исследование анатомии APT и выявило их широкое присутствие в канадском правительстве и критически важной инфраструктуре. Установлена ​​атрибуция китайским и российским актерам. ^[28]

Жизненный цикл

Диаграмма, изображающая поэтапный жизненный цикл сложной постоянной угрозы (APT), которая повторяется после завершения.

Действующие лица, стоящие за продвинутыми постоянными угрозами, создают растущий и меняющийся риск для финансовых активов, интеллектуальной собственности и репутации организаций ^[29] , следуя непрерывному процессу или цепочке действий :

1. Ориентируйтесь на конкретные организации для достижения единственной цели
2. Попытка закрепиться в среде (обычная тактика включает в себя целевую фишинговую рассылку)
3. Используйте скомпрометированные системы для доступа к целевой сети.
4. Разверните дополнительные инструменты, помогающие достичь цели атаки.
5. Прикрытие для сохранения доступа для будущих инициатив

Глобальный ландшафт APT из всех источников иногда упоминается в единственном числе как «APT», как и ссылки на субъекта, стоящего за конкретным инцидентом или серией инцидентов, но определение APT включает как субъекта, так и метод. ^[30]

В 2013 году компания Mandiant представила результаты своего исследования предполагаемых китайских атак с использованием метода APT в период с 2004 по 2013 год ^[31] , которые имели схожий жизненный цикл:

• Первоначальная компрометация  – осуществляется с помощью социальной инженерии и целевого фишинга по электронной почте с использованием вирусов нулевого дня . Еще одним популярным методом заражения было размещение вредоносного ПО на веб-сайте, который с большой вероятностью будут посещать сотрудники жертвы. ^[32]
• Установите точку опоры  – внедрите программное обеспечение для удаленного администрирования в сеть жертвы, создайте сетевые бэкдоры и туннели, обеспечивающие скрытый доступ к ее инфраструктуре.
• Повышение привилегий  — используйте эксплойты и взлом паролей, чтобы получить права администратора на компьютере жертвы и, возможно, расширить их до учетных записей администратора домена Windows .
• Внутренняя разведка  — сбор информации об окружающей инфраструктуре, доверительных отношениях, структуре домена Windows .
• Двигайтесь в сторону  — расширяйте контроль над другими рабочими станциями, серверами и элементами инфраструктуры и осуществляйте сбор данных на них.
• Поддерживать присутствие  — обеспечить постоянный контроль над каналами доступа и учетными данными, полученными на предыдущих этапах.
• Выполните миссию  – извлеките украденные данные из сети жертвы.

В инцидентах, проанализированных Mandiant, средний период, в течение которого злоумышленники контролировали сеть жертвы, составлял один год, а самый продолжительный — почти пять лет. ^[31] Проникновения предположительно были осуществлены базирующимся в Шанхае подразделением 61398 Народно -освободительной армии Китая . Китайские официальные лица отрицают свою причастность к этим нападениям. ^[33]

В предыдущих отчетах Secdev уже были обнаружены и замешаны китайские актеры. ^[34]

Стратегии смягчения последствий

Существуют десятки миллионов разновидностей вредоносного ПО, ^[35] что делает чрезвычайно сложной задачу защиты организаций от APT. Хотя действия APT скрыты и их трудно обнаружить, сетевой трафик управления и контроля , связанный с APT, можно обнаружить на уровне сети с помощью сложных методов. Глубокий анализ журналов и корреляция журналов из различных источников имеют ограниченную полезность при обнаружении активности APT. Трудно отделить шум от законного трафика. Традиционные технологии и методы безопасности оказались неэффективными для обнаружения или смягчения последствий APT. ^[36] Активная киберзащита позволила повысить эффективность обнаружения и преследования APT (найти, исправить, уничтожить) при применении разведки о киберугрозах для охоты и преследования противника. ^{[37] [38]} Кибер-уязвимости, созданные человеком (HICV), представляют собой слабое кибер-звено, которое недостаточно изучено и не смягчено, и представляют собой значительный вектор атаки. ^[39]

APT-группы

Китай

С тех пор как Си Цзиньпин стал генеральным секретарем Коммунистической партии Китая в 2012 году, Министерство государственной безопасности получило больше ответственности за кибершпионаж по отношению к Народно-освободительной армии Китая и в настоящее время курирует различные группы APT. ^[40] По словам исследователя безопасности Тимо Стеффенса, «ландшафт APT в Китае управляется по принципу «вся страны», используя навыки университетов, отдельных лиц, а также частного и государственного секторов». ^[41]

• Бакай (также известный как APT3) ^[42]
• Команда Codoso (также известная как APT19)
• Двойной дракон ^[43] (также известный как APT41, Winnti Group, Barium или Axiom) ^{[44] [45] [46]}
• Гафний ^{[47] [48]}
• LightBasin ^{[49] [50]} (также известный как UNC1945)
• Нумерованная Панда (также известная как APT12)
• Группа Перископ (также известная как APT40)
• НОАК отряд 61398 (также известный как APT1)
• НОАК отряд 61486 (также известный как APT2)
• НОАК Unit 78020 (также известный как APT30 и Naikon)
• Красный Аполлон (также известный как APT10)
• АПТ 27 ^[51]
• ДепутатДог (также известный как APT17) ^[52]
• Драконий мост ^[53]
• Тропический солдат ^{[54] [55]}
• Вольт Тайфун ^[56]
• Wocao (также известный как APT20) ^{[57] [58]}
• Цирконий ^[59] (также известный как APT31) ^[60]

Иран

• Очаровательный котенок (также известный как APT35)
• Команда Elfin (также известная как APT33)
• Helix Kitten (также известный как APT34)
• Котенок-пионер ^[61]
• Remix Kitten (также известный как APT39, ITG07 или Chafer) ^{[62] [63]}

Северная Корея

• Кимсуки
• Lazarus Group (также известная как APT38)
• Рикошет Чоллима (также известный как APT37)

Россия

• Берсерк Медведь
• Уютный мишка (также известный как APT29)
• Fancy Bear (также известный как APT28)
• ФИН7
• Гамаредон ^[64] (также известный как Примитивный Медведь ) ^[а]
• Песчаный червь
• Ядовитый медведь ^[67]

Турция

• StrongPity (также известный как APT-C-41 или ПРОМЕТИУМ) ^[68]

Соединенные Штаты

• Группа уравнений ^[69]

Узбекистан

• SandCat, связанный со СГБ по версии Касперского ^[70]

Вьетнам

• OceanLotus (также известный как APT32 ) ^{[71] [72]}

Именование

Несколько организаций могут присваивать разные имена одному и тому же субъекту. Поскольку каждый из отдельных исследователей может иметь свои собственные оценки группы APT, такие компании, как CrowdStrike , Kaspersky , Mandiant и Microsoft , среди прочих, имеют свои собственные внутренние схемы именования. ^{[73] На основании} различных собранных данных названия разных организаций могут относиться к пересекающимся, но в конечном итоге к разным группам.

CrowdStrike распределяет животных по национальным государствам или другим категориям, например «Котенок» для Ирана и «Паук» для групп, занимающихся киберпреступностью. ^[74] Другие компании назвали группы на основе этой системы — например, Rampant Kitten была названа Check Point, а не CrowdStrike. ^[75]

Драгос основывает свои названия групп APT на минералах. ^[73]

Mandiant присваивает нумерованные аббревиатуры трем категориям: APT, FIN и UNC, в результате чего получаются имена APT, такие как FIN7 . Другие компании, использующие подобную систему, включают Proofpoint (TA) и IBM (ITG и Hive). ^[73]

Microsoft раньше присваивала имена из периодической таблицы , часто стилизованные заглавными буквами (например, КАЛИЙ ); в апреле 2023 года Microsoft изменила свою схему именования, чтобы использовать имена, основанные на погоде (например, Volt Typhoon). ^[76]

Смотрите также

• Бюро 121
• Деятельность китайской разведки за рубежом
• Кибершпионаж
• Даркотель
• Бесфайловое вредоносное ПО
• Призрачная сеть
• Цепь убийств
• НетСпектр
• Операция Аврора
• Операция Шейди РАТ
• Проактивная киберзащита
• Целевой фишинг
• Шпионское ПО
• Стакснет
• Индивидуальные операции доступа
• Блок 180
• Блок 8200

Примечания

1. Активен с 2013 года, в отличие от большинства APT, Gamaredon широко нацелен на всех пользователей по всему миру (помимо того, что он фокусируется на определенных жертвах, особенно на украинских организациях ^[65] ) и, похоже, предоставляет услуги другим APT. ^[66] Например, группа угроз InvisiMole атаковала отдельные системы, которые Gamaredon ранее взломал и снял отпечатки пальцев. ^[65]

Рекомендации

1. «Что такое продвинутая постоянная угроза (APT)?». www.kaspersky.com . Проверено 11 августа 2019 г.
2. «Что такое продвинутая постоянная угроза (APT)?». Циско . Проверено 11 августа 2019 г.
3. Мэлони, Сара. «Что такое продвинутая постоянная угроза (APT)?» . Проверено 9 ноября 2018 г.
4. Коул., Эрик (2013). Расширенная постоянная угроза: понимание опасности и способы защиты вашей организации . Сингресс. ОКЛК  939843912.
5. «Тенденции кибербезопасности M-Trends». Огненный Глаз . Проверено 11 августа 2019 г.
6. «Киберугрозы индустрии финансовых услуг и страхования» (PDF) . Огненный Глаз . Архивировано из оригинала (PDF) 11 августа 2019 года.
7. «Киберугрозы розничной торговле и индустрии потребительских товаров» (PDF) . Огненный Глаз . Архивировано из оригинала (PDF) 11 августа 2019 года.
8. «Продвинутые постоянные угрозы: взгляд Symantec» (PDF) . Симантек . Архивировано из оригинала (PDF) 8 мая 2018 года.
9. Ау, Ман Хо (2018). «Операция с персональными данными с сохранением конфиденциальности в мобильном облаке — шансы и проблемы, связанные с продвинутыми постоянными угрозами». Компьютерные системы будущего поколения . 79 : 337–349. doi :10.1016/j.future.2017.06.021.
10. «Расширенные постоянные угрозы (APT)» . Управление IT .
11. «Расширенное постоянное понимание угроз» (PDF) . ТрендМикро Инк .
12. «Объяснение: продвинутая постоянная угроза (APT)» . Лаборатория Малваребайтс . 26 июля 2016 года . Проверено 11 августа 2019 г.
13. «Оценка исходящего трафика для выявления продвинутых постоянных угроз» (PDF) . Технологический институт SANS. Архивировано из оригинала (PDF) 26 июня 2013 года . Проверено 14 апреля 2013 г.
14. «Представляем исследование Forrester по разведке киберугроз» . Исследования Форрестера. Архивировано из оригинала 15 апреля 2014 года . Проверено 14 апреля 2014 г.
15. Бейм, Джаред (2018). «Усиление запрета на международный шпионаж» . Чикагский журнал международного права . 18 : 647–672. ПроКвест  2012381493.
16. «Продвинутые постоянные угрозы: изучите азбуку APT - Часть A» . SecureWorks . Проверено 23 января 2017 г.
17. Олавсруд, Тор (30 апреля 2012 г.). «В 2011 году количество целевых атак увеличилось, они стали более разнообразными». Журнал ИТ-директоров . Архивировано из оригинала 14 апреля 2021 года . Проверено 14 апреля 2021 г.
18. «Развивающийся кризис». БизнесУик. 10 апреля 2008 г. Архивировано из оригинала 10 января 2010 г. Проверено 20 января 2010 г.
19. «Новая угроза электронного шпионажа». БизнесУик. 10 апреля 2008 г. Архивировано из оригинала 18 апреля 2011 г. . Проверено 19 марта 2011 г.
20. Розенбах, Марсель; Шульц, Томас; Вагнер, Виланд (19 января 2010 г.). «Google под атакой: высокая стоимость ведения бизнеса в Китае». Дер Шпигель . Архивировано из оригинала 21 января 2010 года . Проверено 20 января 2010 г.
21. «Командир обсуждает десятилетие кибермощи Министерства обороны» . МИНИСТЕРСТВО ОБОРОНЫ США . Проверено 28 августа 2020 г.
22. «Под киберугрозой: оборонные подрядчики». Bloomberg.com . БизнесУик. 6 июля 2009 года. Архивировано из оригинала 11 января 2010 года . Проверено 20 января 2010 г.
23. «Понимание продвинутой постоянной угрозы». Том Паркер. 4 февраля 2010 г. Проверено 4 февраля 2010 г.
24. «Расширенная постоянная угроза (или информатизированные силовые операции)» (PDF) . Усеникс, Майкл К. Дейли. 4 ноября 2009 года . Проверено 4 ноября 2009 г.
25. «Анатомия продвинутой постоянной угрозы (APT)» . Делл Секьюрворкс. Архивировано из оригинала 5 марта 2016 года . Проверено 21 мая 2012 г.
26. Гонсалес, Хоакин Джей III; Кемп, Роджер Л. (16 января 2019 г.). Кибербезопасность: текущие статьи об угрозах и защите. МакФарланд. п. 69. ИСБН 978-1-4766-7440-7.
27. Ингерман, Брет; Ян, Кэтрин (31 мая 2011 г.). «Десять главных IT-проблем, 2011». Обзор образования.
28. МакМахон, Дэйв; Рогозинский, Рафаль. «Проект темного космоса: оборонные исследования и разработки Канады - отчет подрядчика Центра наук о безопасности DRDC CSS CR 2013-007» (PDF) . публикации.gc.ca . Архивировано (PDF) из оригинала 5 ноября 2016 г. Проверено 1 апреля 2021 г.
29. «Перехитрить сложные и уклончивые вредоносные угрозы». Безопасные работы . Аналитика Secureworks. Архивировано из оригинала 7 апреля 2019 года . Проверено 24 февраля 2016 г. .
30. EMAGCOMSECURITY (9 апреля 2015 г.). «Группа APT (Advanced Persistent Threat)» . Проверено 15 января 2019 г.
31. «APT1: Разоблачение одного из китайских подразделений кибершпионажа» . Мандиант. 2013. Архивировано из оригинала 2 февраля 2015 года . Проверено 19 февраля 2013 г.
32. «Что такое методы первоначального доступа MITRE ATT&CK» . GitGuardian — автоматическое обнаружение секретов . 8 июня 2021 г. Проверено 13 октября 2023 г.
33. Бланшар, Бен (19 февраля 2013 г.). «Китай заявляет, что обвинения США во взломе не имеют технических доказательств». Рейтер.
34. Дейберт, Р.; Рогозинский Р.; Манчанда, А.; Вильнев, Н.; Уолтон, Дж. (28 марта 2009 г.). «Отслеживание GhostNet: расследование сети кибершпионажа». Центр международных исследований Мунка при Университете Торонто . Проверено 27 декабря 2023 г.
35. РикМессье (30 октября 2013 г.). Сертификация GSEC GIAC Security Essentials All. McGraw Hill Professional, 2013. с. XXV. ISBN  978-0-07-182091-2.
36. «Анатомия атаки APT (расширенная постоянная угроза)» . Огненный Глаз . Проверено 14 ноября 2020 г.
37. «Аналитика угроз в активной киберзащите (Часть 1)» . Записанное будущее . 18 февраля 2015 года . Проверено 10 марта 2021 г.
38. «Аналитика угроз в активной киберзащите (Часть 2)» . Записанное будущее . 24 февраля 2015 года . Проверено 10 марта 2021 г.
39. «Контекстно-ориентированный исследовательский подход к фишингу и эксплуатационным технологиям в системах промышленного контроля | Журнал информационной войны» . www.jinfowar.com . Проверено 31 июля 2021 г.
40. Мозур, Пол; Бакли, Крис (26 августа 2021 г.). «Шпионы по найму: новое поколение хакеров в Китае сочетает в себе шпионаж и предпринимательство». Нью-Йорк Таймс . ISSN  0362-4331 . Проверено 27 августа 2021 г.
41. Стоун, Джефф (5 октября 2020 г.). «Иностранные шпионы используют подставные компании, чтобы замаскировать свои хакерские атаки, заимствуя старую тактику маскировки». www.cyberscoop.com . Киберсовок . Проверено 11 октября 2020 г.
42. «Buckeye: шпионская экипировка использовала инструменты группы уравнений до утечки информации о Shadow Brokers» . Симантек . 7 мая 2019 г. Архивировано из оригинала 7 мая 2019 г. . Проверено 23 июля 2019 г.
43. «Double Dragon APT41, операция по двойному шпионажу и киберпреступности» . Огненный Глаз . 16 октября 2019 года. Архивировано из оригинала 7 мая 2021 года . Проверено 14 апреля 2020 г.
44. «Бюро называет виновников программ-вымогателей» . www.taipeitimes.com . Тайбэй Таймс. 17 мая 2020 г. Проверено 22 мая 2020 г.
45. Тартар, Матье; Смолар, Мартин (21 мая 2020 г.). «Для Winnti Group нет« игры окончена »». www.welivesecurity.com . Мы живем в безопасности . Проверено 22 мая 2020 г.
46. Гринберг, Энди (6 августа 2020 г.). «Китайские хакеры разграбили тайваньскую полупроводниковую промышленность». Проводной . Проверено 7 августа 2020 г.
47. Нарейн, Райан (2 марта 2021 г.). «Microsoft: несколько серверов Exchange нулевых дней подверглись атаке китайской хакерской группы». Securityweek.com . Проводные деловые СМИ . Проверено 3 марта 2021 г.
48. Берт, Том (2 марта 2021 г.). «Новые кибератаки национальных государств». blogs.microsoft.com . Майкрософт . Проверено 3 марта 2021 г.
49. Николс, Шон (20 октября 2021 г.). «Хакеры LightBasin 5 лет скрывались в телекоммуникационных сетях» . ТехТаржет . Проверено 8 апреля 2022 г.
50. Илашку, Ионут (19 октября 2021 г.). «Хакерская группа LightBasin за два года взломала 13 глобальных телекоммуникационных компаний» . Пипящий компьютер . Проверено 8 апреля 2022 г.
51. Лингаас, Шон (10 августа 2021 г.). «Китайские хакеры выдавали себя за иранцев, чтобы взломать израильские объекты, — сообщает FireEye». www.cyberscoop.com . Проверено 15 августа 2021 г.
52. «APT17: Прячемся на виду — FireEye и Microsoft раскрывают тактику запутывания» (PDF) . Огненный Глаз . Май 2015.
53. Сабин, Сэм (26 октября 2022 г.). «Новая прокитайская кампания дезинформации нацелена на выборы 2022 года: отчет» . Аксиос . Проверено 27 октября 2022 г.
54. Чен, Джоуи (12 мая 2020 г.). «Спина тропического солдата: атака USBferry нацелена на среду с воздушным зазором». blog.trendmicro.com . Тренд Микро . Проверено 16 мая 2020 г.
55. Чимпану, Каталин. «Хакеры нацелены на закрытые сети тайваньских и филиппинских вооруженных сил». ЗДнет . Проверено 16 мая 2020 г.
56. Разведка, угроза Microsoft (24 мая 2023 г.). «Вольт Тайфун нацелен на критически важную инфраструктуру США с помощью методов жизни за счет земли» . Блог Microsoft по безопасности . Проверено 26 мая 2023 г.
57. ван Данциг, Маартен; Шампер, Эрик (19 декабря 2019 г.). «Wocao APT20» (PDF) . fox-it.com . Группа компаний НКЦ . Архивировано из оригинала (PDF) 22 марта 2021 года . Проверено 23 декабря 2019 г.
58. Виджаян, Джай (19 декабря 2019 г.). «Китайская группа кибершпионажа, нацеленная на организации в 10 странах». www.darkreading.com . Мрачное чтение . Проверено 12 января 2020 г.
59. Лингаас, Шон (12 февраля 2019 г.). «Правильная страна, не та группа? Исследователи говорят, что не APT10 взломал норвежскую фирму-разработчик программного обеспечения». www.cyberscoop.com . Киберсовок . Проверено 16 октября 2020 г.
60. Лингаас, Шон (16 октября 2020 г.). «Google предлагает подробную информацию о китайской хакерской группе, атаковавшей кампанию Байдена». Киберсовок . Проверено 16 октября 2020 г.
61. «Pioneer Kitten APT продает доступ к корпоративной сети» . Threatpost.com . Сентябрь 2020.
62. «APT39, ITG07, Chafer, Remix Kitten, Группа G0087 | MITRE ATT&CK®» . Attack.mitre.org . Проверено 30 декабря 2022 г.
63. «Отчет о глобальных угрозах Crowdstrike 2020» (PDF) . www.crowdstrike.com . 2020. Архивировано (PDF) из оригинала 14 марта 2020 года . Проверено 30 декабря 2020 г.
64. Кайл Олспах (4 февраля 2022 г.). «Microsoft раскрывает новые подробности о российской хакерской группировке Gamaredon». ВенчурБит . Проверено 22 марта 2022 г.
65. Чарли Осборн (21 марта 2022 г.). «Украина предупреждает об атаках InvisiMole, связанных с спонсируемыми государством российскими хакерами». ЗДНет . Проверено 22 марта 2022 г.
66. Уоррен Мерсер; Витор Вентура (23 февраля 2021 г.). «Гамаредон - Когда национальные государства не оплачивают все счета». Циско . Проверено 22 марта 2022 г.
67. «Противник: Ядовитый Медведь - Актер-Угроза» . Вселенная противоборства Crowdstrike . Проверено 22 марта 2022 г.
68. Уоррен Мерсер; Пол Расканьерес; Витор Вентура (29 июня 2020 г.). «PROMETHIUM расширяет глобальное присутствие с помощью StrongPity3 APT». Циско . Проверено 22 марта 2022 г.
69. «Уравнение: Звезда Смерти галактики вредоносных программ» . Лаборатория Касперского . 16 февраля 2015 года. Архивировано из оригинала 11 июля 2019 года . Проверено 23 июля 2019 г.
70. Галлахер, Шон (3 октября 2019 г.). «Касперский обнаружил хакерскую операцию в Узбекистане… потому что группа использовала Kaspersky AV». arstechnica.com . Арс Техника . Проверено 5 октября 2019 г.
71. Панда, Анкит. «Наступательные кибервозможности и разведка общественного здравоохранения: Вьетнам, APT32 и COVID-19». thediplomat.com . Дипломат . Проверено 29 апреля 2020 г.
72. Танриверди, Хакан; Зирер, Макс; Веттер, Анн-Катрин; Бирманн, Кай; Нгуен, Ти До (8 октября 2020 г.). Ньерле, Верена; Шеффель, Роберт; Решниок, Лиза (ред.). «Оказалась в прицеле у вьетнамских хакеров». Баварский Рундфунк . В случае Буи следы ведут к группе, предположительно действующей от имени вьетнамского государства. У специалистов есть много названий этой группы: наиболее известны APT 32 и Ocean Lotus. В разговорах с десятком специалистов по информационной безопасности все сошлись во мнении, что это вьетнамская группировка, шпионящая, в частности, за собственными соотечественниками.
73. «Схемы именования групп угроз в разведке киберугроз». Кураторский интеллект . Проверено 21 января 2024 г.
74. «Отчет о глобальных угрозах CrowdStrike 2023» (PDF) . КраудСтрайк . Проверено 21 января 2024 г.
75. "Буйный котенок". Агентство развития электронных транзакций Таиланда . Проверено 21 января 2024 г.
76. Ламберт, Джон (18 апреля 2023 г.). «Microsoft переходит к новой таксономии именования субъектов угроз» . Майкрософт . Проверено 21 января 2024 г.

дальнейшее чтение

• Рекомендации Gartner по смягчению сложных постоянных угроз
• Bell Canada, Борьба с сетями роботов и их контроллерами: PSTP08-0107eSec, 6 мая 2010 г. (PSTP)
• Готовьтесь к «посткриптомиру», предупреждает крестный отец о шифровании
• Оборонные исследования: Проект темного космоса APT0. Архивировано 26 июля 2020 г. в Wayback Machine.
• Gartner: стратегии борьбы с продвинутыми целевыми атаками
• XM Cyber: пример удаленного заражения файлов с помощью APT-атаки
• Secdev, «GhostNet» — крупномасштабная операция кибершпионажа, обнаруженная в марте 2009 года.
• Секдев, «Тени в облаке». Сложная экосистема кибершпионажа, которая систематически атаковала и компрометировала компьютерные системы в Индии, офисах Далай-ламы, Организации Объединенных Наций и ряде других стран.

Списки групп APT

• FireEye: расширенные постоянные группы угроз
• Сообщество безопасности MITRE ATT&CK отследило страницы расширенных постоянных групп