Постоянная угроза повышенной сложности

Набор скрытых и непрерывных процессов компьютерного взлома

Продвинутая постоянная угроза ( APT ) — это скрытый субъект угрозы , как правило, государство или спонсируемая государством группа, которая получает несанкционированный доступ к компьютерной сети и остается незамеченной в течение длительного периода. ^{[1] [2]} В последнее время этот термин может также относиться к не спонсируемым государством группам, осуществляющим крупномасштабные целевые вторжения для достижения определенных целей. ^[3]

Мотивы таких субъектов угроз обычно политические или экономические. ^[4] В каждом крупном секторе бизнеса зафиксированы случаи кибератак со стороны продвинутых субъектов с конкретными целями, будь то кража, шпионаж или нарушение. К этим целевым секторам относятся правительство, оборона , финансовые услуги , юридические услуги , промышленность , телекоммуникации , потребительские товары и многие другие. ^{[5] [6] [7]} Некоторые группы используют традиционные векторы шпионажа , включая социальную инженерию , человеческую разведку и проникновение , чтобы получить доступ к физическому местоположению для осуществления сетевых атак. Целью этих атак является установка пользовательского вредоносного ПО (вредоносного программного обеспечения) . ^[8]

APT-атаки на мобильные устройства также стали предметом обоснованной обеспокоенности, поскольку злоумышленники могут проникать в облачную и мобильную инфраструктуру, чтобы прослушивать, красть и фальсифицировать данные. ^[9]

Медианное «время пребывания», время, в течение которого APT-атака остается незамеченной, сильно различается в разных регионах. FireEye сообщила, что среднее время пребывания в 2018 году в Америке составило 71 день, в регионе EMEA — 177 дней, а в регионе APAC — 204 дня. ^[5] Такое длительное время пребывания дает злоумышленникам значительное количество времени для прохождения цикла атаки, распространения и достижения своих целей.

Определение

Определения того, что именно представляет собой APT, могут различаться, но их можно обобщить с помощью перечисленных ниже требований:

• Продвинутый  – Операторы, стоящие за угрозой, имеют в своем распоряжении полный спектр методов сбора разведывательной информации. Они могут включать коммерческие и открытые технологии и методы компьютерного вторжения, но также могут распространяться на разведывательный аппарат государства. Хотя отдельные компоненты атаки могут не считаться особенно «продвинутыми» (например, компоненты вредоносного ПО, созданные из общедоступных наборов для самостоятельного создания вредоносного ПО, или использование легкодоступных материалов для эксплойтов), их операторы обычно могут получать доступ и разрабатывать более продвинутые инструменты по мере необходимости. Они часто объединяют несколько методов, инструментов и методов нацеливания, чтобы достичь и скомпрометировать свою цель и сохранить доступ к ней. Операторы также могут демонстрировать преднамеренную сосредоточенность на операционной безопасности, что отличает их от «менее продвинутых» угроз. ^{[3] [10] [11]}
• Постоянный  – операторы имеют определенные цели, а не оппортунистически ищут информацию для финансовой или иной выгоды. Это различие подразумевает, что злоумышленники руководствуются внешними субъектами. Нацеливание осуществляется посредством постоянного мониторинга и взаимодействия для достижения определенных целей. Это не означает шквал постоянных атак и обновлений вредоносного ПО. Фактически, подход «низкий и медленный» обычно более успешен. Если оператор теряет доступ к своей цели, он обычно пытается получить доступ повторно, и чаще всего успешно. Одна из целей оператора – поддерживать долгосрочный доступ к цели, в отличие от угроз, которым доступ нужен только для выполнения определенной задачи. ^{[10] [12]}
• Угроза  – APT-атаки представляют собой угрозу, поскольку обладают как возможностями, так и намерениями. APT-атаки выполняются посредством скоординированных действий человека, а не бездумных и автоматизированных фрагментов кода. У операторов есть конкретная цель, они квалифицированы, мотивированы, организованы и хорошо финансируются. Участники не ограничиваются спонсируемыми государством группами. ^{[3] [10]}

История и цели

Предупреждения против целевых, социально-инженерных писем, сбрасывающих трояны для извлечения конфиденциальной информации, были опубликованы организациями CERT Великобритании и США в 2005 году. Этот метод использовался в начале 1990-х годов и сам по себе не является APT. Термин «продвинутая постоянная угроза» был упомянут как возникший в ВВС США в 2006 году ^[13], а полковник Грег Рэттрей был упомянут как человек, который придумал этот термин. ^[14]

Компьютерный червь Stuxnet , нацеленный на компьютерное оборудование ядерной программы Ирана , является одним из примеров атаки APT. В этом случае иранское правительство может посчитать создателей Stuxnet передовой постоянной угрозой. ^{[ необходима цитата ] [15]}

В сообществе компьютерной безопасности и все чаще в средствах массовой информации этот термин почти всегда используется в отношении долгосрочной модели сложной эксплуатации компьютерных сетей, направленной на правительства, компании и политических активистов, и, в более широком смысле, также для приписывания атрибутов A, P и T группам, стоящим за этими атаками. ^[16] Термин Advanced Permanent Threat (APT) может сместить фокус на компьютерный хакерский взлом из-за растущего числа случаев. PC World сообщил о 81-процентном увеличении с 2010 по 2011 год особенно сложных целевых компьютерных атак. ^[17]

Во многих странах киберпространство использовалось как средство сбора разведывательной информации об отдельных лицах и группах лиц, представляющих интерес. ^{[18] [19] [20]} Киберкомандование США занимается координацией наступательных и оборонительных киберопераций вооруженных сил США . [ ^21]

Многочисленные источники утверждают, что некоторые группы APT связаны с правительствами суверенных государств или являются их агентами . ^{[22] [23] [24]} Компании, хранящие большой объем персонально идентифицируемой информации , подвергаются высокому риску стать объектом постоянных угроз, в том числе: ^[25]

• Сельское хозяйство ^[26]
• Энергия
• Финансовые учреждения
• Здравоохранение
• Высшее образование ^[27]
• Производство
• Технологии
• Телекоммуникации
• Транспорт

Исследование Bell Canada предоставило глубокое исследование анатомии APT и раскрыло широкое присутствие в канадском правительстве и критической инфраструктуре. Была установлена ​​приписываемость китайским и российским субъектам. ^[28]

Жизненный цикл

Диаграмма, иллюстрирующая поэтапный подход к жизненному циклу сложной постоянной угрозы (APT), которая повторяется после своего завершения.

Лица, стоящие за сложными постоянными угрозами, создают растущий и меняющийся риск для финансовых активов, интеллектуальной собственности и репутации организаций ^[29] , следуя непрерывному процессу или цепочке уничтожения :

1. Нацельтесь на конкретные организации для достижения единой цели
2. Попытка закрепиться в среде (распространенная тактика включает в себя адресный фишинг )
3. Использовать скомпрометированные системы как доступ в целевую сеть
4. Развертывание дополнительных инструментов, помогающих достичь цели атаки.
5. Скрыть пути, чтобы сохранить доступ для будущих инициатив

В 2013 году компания Mandiant представила результаты своего исследования предполагаемых китайских атак с использованием метода APT в период с 2004 по 2013 год ^[30], которые имели схожий жизненный цикл:

• Первоначальный взлом  – осуществлялся с использованием социальной инженерии и фишинга по электронной почте с использованием вирусов нулевого дня . Другим популярным методом заражения было размещение вредоносного ПО на веб-сайте, который, скорее всего, будут посещать сотрудники жертвы. ^[31]
• Закрепиться  – внедрить программное обеспечение удаленного администрирования в сеть жертвы, создать сетевые бэкдоры и туннели, обеспечивающие скрытый доступ к ее инфраструктуре.
• Повысить привилегии  — использовать эксплойты и взлом паролей , чтобы получить права администратора на компьютере жертвы и, возможно, расширить их до учетных записей администраторов домена Windows .
• Внутренняя разведка  — сбор информации об окружающей инфраструктуре, доверительных отношениях, структуре домена Windows .
• Двигайтесь горизонтально  — расширяйте контроль на другие рабочие станции, серверы и элементы инфраструктуры и выполняйте сбор данных на них.
• Поддерживайте присутствие  — обеспечьте постоянный контроль над каналами доступа и учетными данными, полученными на предыдущих этапах.
• Выполнить миссию  — извлечь украденные данные из сети жертвы.

В инцидентах, проанализированных Mandiant, средний период, в течение которого злоумышленники контролировали сеть жертвы, составлял один год, а самый долгий – почти пять лет. ^[30] Внедрения предположительно были осуществлены базирующимся в Шанхае подразделением 61398 Народно -освободительной армии . Китайские официальные лица отрицают какую-либо причастность к этим атакам. ^[32]

Предыдущие отчеты Secdev уже раскрывали и указывали на причастность китайских деятелей. ^[33]

Стратегии смягчения последствий

Существуют десятки миллионов разновидностей вредоносного ПО, ^[34] что делает чрезвычайно сложной задачу защиты организаций от APT. Хотя действия APT скрытны и их трудно обнаружить, сетевой трафик командования и управления, связанный с APT, можно обнаружить на уровне сетевого уровня с помощью сложных методов. Глубокий анализ журналов и корреляция журналов из различных источников имеют ограниченную полезность для обнаружения действий APT. Сложно отделить шумы от законного трафика. Традиционные технологии и методы безопасности оказались неэффективными для обнаружения или смягчения последствий APT. ^[35] Активная киберзащита дала большую эффективность в обнаружении и преследовании APT (найти, исправить, завершить) при применении разведки киберугроз для охоты и преследования противника. ^{[36] [37]} Киберуязвимости, созданные человеком (HICV), представляют собой слабое киберзвено, которое не изучено и не смягчено, представляя собой значительный вектор атаки. ^[38]

APT-группы

Китай

• Подразделение НОАК 61398 (также известное как APT1)
• Подразделение НОАК 61486 (также известное как APT2)
• Бакай (также известный как APT3) ^[39]
• Красный Аполлон (также известный как APT10)
• Пронумерованная Панда (также известная как APT12)
• ДепутатПес (также известный как APT17) ^[40]
• Динамитная Панда или Скандий (также известная как APT18, подразделение Военно-морского флота Народно-освободительной армии ) ^[41]
• Команда Codoso (также известная как APT19)
• Wocao (также известный как APT20) ^{[42] [43]}
• APT22 (он же Муха-сосун) ^[44]
• APT26 (он же Turbine Panda) ^[45]
• АПТ 27 ^[46]
• Подразделение НОАК 78020 (также известное как APT30 и Naikon)
• Цирконий ^[47] (также известный как APT31 и Фиолетовый Тайфун) ^{[48] [49] [50]}
• Группа Periscope (также известная как APT40)
• Двойной Дракон ^[51] (также известный как APT41, Winnti Group, Barium или Axiom) ^{[52] [53]}
• Спамуфляж (также известный как Драконий мост или Шторм 1376) ^{[54] [55]}
• Гафний ^{[56] [57]}
• LightBasin ^{[58] [59]} (Также известен как UNC1945)
• Тропический солдат ^[60]
• Вольт Тайфун ^[61]
• Льняной тайфун ^[62]
• Угольный тайфун (также известный как ХРОМ) ^{[63] [64]}
• Лососевый тайфун (также известный как НАТРИЙ) ^{[63] [64]}
• Соляной тайфун (также известный как GhostEmperor или FamousSparrow) ^{[65] [66]}

Иран

• Очаровательный котенок (также известный как APT35)
• Команда Elfin (также известная как APT33)
• Helix Kitten (также известный как APT34)
• Котенок-первопроходец ^[67]
• Remix Kitten (также известный как APT39, ITG07 или Chafer) ^{[68] [69]}

Северная Корея

• Кимсуки
• Группа Lazarus (также известная как APT38)
• Рикошет Чоллима (также известный как APT37)

Россия

• Берсерк Медведь
• Уютный медведь (также известный как APT29)
• Fancy Bear (также известный как APT28)
• ФИН7
• Гамаредон ^[70] (также известный как Примитивный Медведь ) ^[а]
• Песчаный червь
• Ядовитый медведь ^[73]

Türkiye

• StrongPity (также известный как APT-C-41 или ПРОМЕТИЙ) ^[74]

Соединенные Штаты

• Группа уравнений ^[75]

Узбекистан

• SandCat, связанный с Государственной службой безопасности по данным Касперского ^[76]

Вьетнам

• OceanLotus (также известный как APT32 ) ^{[77] [78]}

Нейминг

Несколько организаций могут присваивать разные имена одному и тому же субъекту. Поскольку отдельные исследователи могут иметь свои собственные различные оценки группы APT, такие компании, как CrowdStrike , Kaspersky , Mandiant и Microsoft , среди прочих, имеют свои собственные внутренние схемы именования. ^[79] Имена между разными организациями могут относиться к перекрывающимся, но в конечном итоге разным группам, на основе различных собранных данных.

CrowdStrike присваивает животным названия по национальному государству или другой категории, например, «Котенок» для Ирана и «Паук» для групп, занимающихся киберпреступностью. ^[80] Другие компании называли группы на основе этой системы — например, Rampant Kitten была названа Check Point, а не CrowdStrike. ^[81]

Названия групп APT Драгос основывает на минералах. ^[79]

Mandiant присваивает пронумерованные аббревиатуры трем категориям: APT, FIN и UNC, что приводит к названиям APT, таким как FIN7 . Другие компании, использующие похожую систему, включают Proofpoint (TA) и IBM (ITG и Hive). ^[79]

Раньше Microsoft присваивала названия из периодической таблицы , часто стилизованные под заглавные буквы (например, КАЛИЙ ); в апреле 2023 года Microsoft изменила схему наименования, чтобы использовать названия, основанные на погоде (например, Вольт Тайфун). ^[82]

Смотрите также

• Бюро 121
• Деятельность китайской разведки за рубежом
• Кибершпионаж
• Darkhotel
• Вредоносное ПО без файлов
• Призрачная сеть
• Цепь убийств
• NetSpectre
• Операция Аврора
• Операция Shady RAT
• Проактивная киберзащита
• Целевой фишинг
• Шпионское ПО
• Stuxnet
• Операции по индивидуальному доступу
• Блок 180
• Блок 8200

Примечания

1. Действуя с 2013 года, в отличие от большинства APT-групп, Gamaredon широко нацелен на всех пользователей по всему миру (в дополнение к фокусировке на определенных жертвах, особенно на украинских организациях ^[71] ) и, по-видимому, предоставляет услуги другим APT-группам. ^[72] Например, группа угроз InvisiMole атаковала отдельные системы, которые Gamaredon ранее скомпрометировал и отпечатал. ^[71]

Ссылки

1. «Что такое Advanced Persistent Threat (APT)?». www.kaspersky.com . Архивировано из оригинала 22 марта 2021 г. . Получено 11 августа 2019 г. .
2. "Что такое усовершенствованная постоянная угроза (APT)?". Cisco . Архивировано из оригинала 22 марта 2021 г. Получено 11 августа 2019 г.
3. Maloney, Sarah. «Что такое Advanced Persistent Threat (APT)?». Архивировано из оригинала 7 апреля 2019 г. Получено 9 ноября 2018 г.
4. Коул, Эрик (2013). Продвинутая постоянная угроза: понимание опасности и как защитить вашу организацию . Syngress. OCLC  939843912.
5. "M-Trends Cyber ​​Security Trends". FireEye . Архивировано из оригинала 21 сентября 2021 г. Получено 11 августа 2019 г.
6. "Киберугрозы для финансовых услуг и страховой отрасли" (PDF) . FireEye . Архивировано из оригинала (PDF) 11 августа 2019 г.
7. "Киберугрозы для розничной торговли и потребительских товаров" (PDF) . FireEye . Архивировано из оригинала (PDF) 11 августа 2019 г.
8. "Advanced Persistent Threats: A Symantec Perspective" (PDF) . Symantec . Архивировано из оригинала (PDF) 8 мая 2018 г.
9. Ау, Ман Хо (2018). «Операции с сохранением конфиденциальности персональных данных в мобильном облаке — Шансы и проблемы передовых постоянных угроз». Future Generation Computer Systems . 79 : 337–349. doi : 10.1016/j.future.2017.06.021.
10. "Advanced Persistent Threats (APTs)". IT Governance . Архивировано из оригинала 11 августа 2019 . Получено 11 августа 2019 .
11. "Advanced persistent Threat Awareness" (PDF) . TrendMicro Inc . Архивировано (PDF) из оригинала 10 июня 2016 г. . Получено 11 августа 2019 г. .
12. "Объяснение: Advanced Persistent Threat (APT)". Malwarebytes Labs . 26 июля 2016 г. Архивировано из оригинала 9 мая 2019 г. Получено 11 августа 2019 г.
13. "Оценка исходящего трафика для выявления передовых постоянных угроз" (PDF) . SANS Technology Institute. Архивировано из оригинала (PDF) 26 июня 2013 г. . Получено 14 апреля 2013 г. .
14. "Представляем Forrester's Cyber ​​Threat Intelligence Research". Forrester Research. Архивировано из оригинала 15 апреля 2014 года . Получено 14 апреля 2014 года .
15. Бейм, Джаред (2018). «Обеспечение запрета на международный шпионаж» . Chicago Journal of International Law . 18 : 647–672. ProQuest  2012381493. Архивировано из оригинала 22 мая 2021 г. Получено 18 января 2023 г.
16. "Advanced Persistent Threats: Learn the ABC of APTs - Part A". SecureWorks . Архивировано из оригинала 7 апреля 2019 г. Получено 23 января 2017 г.
17. Олавсруд, Тор (30 апреля 2012 г.). «Целевые атаки увеличились, стали более разнообразными в 2011 году». Журнал CIO . Архивировано из оригинала 14 апреля 2021 г. Получено 14 апреля 2021 г.
18. "Развивающийся кризис". BusinessWeek. 10 апреля 2008 г. Архивировано из оригинала 10 января 2010 г. Получено 20 января 2010 г.
19. "Новая угроза электронного шпионажа". BusinessWeek. 10 апреля 2008 г. Архивировано из оригинала 18 апреля 2011 г. Получено 19 марта 2011 г.
20. Розенбах, Марсель; Шульц, Томас; Вагнер, Виланд (19 января 2010 г.). «Google под ударом: высокая стоимость ведения бизнеса в Китае». Der Spiegel . Архивировано из оригинала 21 января 2010 г. Получено 20 января 2010 г.
21. "Commander Discusses a Decade of DOD Cyber ​​Power". МИНИСТЕРСТВО ОБОРОНЫ США . Архивировано из оригинала 19 сентября 2020 года . Получено 28 августа 2020 года .
22. "Under Cyberthreat: Defense Contractors". Bloomberg.com . BusinessWeek. 6 июля 2009 г. Архивировано из оригинала 11 января 2010 г. Получено 20 января 2010 г.
23. «Понимание передовой постоянной угрозы». Том Паркер. 4 февраля 2010 г. Архивировано из оригинала 18 февраля 2010 г. Получено 4 февраля 2010 г.
24. "Advanced Persistent Threat (or Informationized Force Operations)" (PDF) . Usenix, Michael K. Daly. 4 ноября 2009 г. Архивировано (PDF) из оригинала 11 мая 2021 г. . Получено 4 ноября 2009 г. .
25. "Анатомия усовершенствованной постоянной угрозы (APT)". Dell SecureWorks. Архивировано из оригинала 5 марта 2016 года . Получено 21 мая 2012 года .
26. Гонсалес, Хоакин Джей III; Кемп, Роджер Л. (16 января 2019 г.). Кибербезопасность: текущие работы об угрозах и защите. Макфарланд. стр. 69. ISBN 978-1-4766-7440-7.
27. Ингерман, Брет; Янг, Кэтрин (31 мая 2011 г.). «Десять главных ИТ-проблем, 2011». Обзор Educause. Архивировано из оригинала 14 апреля 2021 г. . Получено 14 апреля 2021 г. .
28. Макмахон, Дэйв; Рогозински, Рафал. "The Dark Space Project: Defense R&D Canada – Centre for Security Science Contractor Report DRDC CSS CR 2013-007" (PDF) . publications.gc.ca . Архивировано (PDF) из оригинала 5 ноября 2016 г. . Получено 1 апреля 2021 г. .
29. "Outmaneuvering Advanced and Evasive Malware Threats". Secureworks . Secureworks Insights. Архивировано из оригинала 7 апреля 2019 г. Получено 24 февраля 2016 г.
30. "APT1: Разоблачение одного из подразделений кибершпионажа Китая". Mandiant. 2013. Архивировано из оригинала 2 февраля 2015 года . Получено 19 февраля 2013 года .
31. «Что такое методы первоначального доступа MITRE ATT&CK». GitGuardian — Автоматическое обнаружение секретов . 8 июня 2021 г. Архивировано из оригинала 29 ноября 2023 г. Получено 13 октября 2023 г.
32. Бланшар, Бен (19 февраля 2013 г.). «Китай заявляет, что обвинения США в хакерских атаках не имеют технических доказательств». Reuters. Архивировано из оригинала 14 апреля 2021 г. Получено 14 апреля 2021 г.
33. Deibert, R.; Rohozinski, R.; Manchanda, A.; Villeneuve, N.; Walton, G (28 марта 2009 г.). «Отслеживание GhostNet: расследование сети кибершпионажа». Центр международных исследований имени Мунка, Университет Торонто . Архивировано из оригинала 27 декабря 2023 г. . Получено 27 декабря 2023 г. .
34. RicMessier (30 октября 2013 г.). Сертификация GSEC GIAC Security Essentials All. McGraw Hill Professional, 2013. стр. xxv. ISBN 978-0-07-182091-2.
35. "Анатомия атаки APT (Advanced Persistent Threat)". FireEye . Архивировано из оригинала 7 ноября 2020 г. . Получено 14 ноября 2020 г. .
36. "Threat Intelligence in an Active Cyber ​​Defense (Part 1)". Записано Future . 18 февраля 2015 г. Архивировано из оригинала 20 июня 2021 г. Получено 10 марта 2021 г.
37. "Threat Intelligence in an Active Cyber ​​Defense (Part 2)". Записано Future . 24 февраля 2015 г. Архивировано из оригинала 27 февраля 2021 г. Получено 10 марта 2021 г.
38. «Контекстно-ориентированный исследовательский подход к фишингу и операционным технологиям в промышленных системах управления | Журнал информационной войны». www.jinfowar.com . Архивировано из оригинала 31 июля 2021 г. . Получено 31 июля 2021 г. .
39. "Buckeye: Espionage Outfit Used Equation Group Tools Before To Shadow Brokers Leak". Symantec . 7 мая 2019 г. Архивировано из оригинала 7 мая 2019 г. Получено 23 июля 2019 г.
40. "APT17: Hiding in Plain Sight - FireEye и Microsoft раскрывают тактику сокрытия информации" (PDF) . FireEye . Май 2015. Архивировано (PDF) из оригинала 24 ноября 2023 г. . Получено 21 января 2024 г. .
41. "China-Based Threat Actors" (PDF) . Министерство здравоохранения и социальных служб США, Управление информационной безопасности . 16 августа 2023 г. Архивировано (PDF) из оригинала 29 декабря 2023 г. . Получено 29 апреля 2024 г. .
42. ван Данциг, Маартен; Шампер, Эрик (19 декабря 2019 г.). «Wocao APT20» (PDF) . fox-it.com . Группа компаний НКЦ . Архивировано из оригинала (PDF) 22 марта 2021 года . Проверено 23 декабря 2019 г.
43. Виджаян, Джай (19 декабря 2019 г.). «Китайская группа кибершпионажа атакует организации в 10 странах». www.darkreading.com . Dark Reading. Архивировано из оригинала 7 мая 2021 г. . Получено 12 января 2020 г. .
44. Барт, Брэдли (16 марта 2016 г.). ««Муха» в мази: китайская APT-группа крадет сертификаты подписи кода». SC Media . Архивировано из оригинала 24 сентября 2024 г. Получено 24 сентября 2024 г.
45. «В отчете говорится, что при создании китайского самолета Comac C919 было задействовано много хакерских атак». ZDNET . Архивировано из оригинала 15 ноября 2019 г. . Получено 24 сентября 2024 г. .
46. Lyngaas, Sean (10 августа 2021 г.). «Китайские хакеры выдавали себя за иранцев, чтобы взломать израильские объекты, утверждает FireEye». www.cyberscoop.com . Архивировано из оригинала 29 ноября 2023 г. . Получено 15 августа 2021 г. .
47. Lyngaas, Sean (12 февраля 2019 г.). «Правильная страна, неправильная группа? Исследователи говорят, что это не APT10 взломала норвежскую фирму-разработчика программного обеспечения». www.cyberscoop.com . Cyberscoop. Архивировано из оригинала 7 мая 2021 г. . Получено 16 октября 2020 г. .
48. Lyngaas, Sean (16 октября 2020 г.). «Google предлагает сведения о китайской хакерской группе, которая атаковала кампанию Байдена». Cyberscoop . Архивировано из оригинала 7 мая 2021 г. Получено 16 октября 2020 г.
49. «Как Microsoft называет субъектов угроз». Microsoft. 16 января 2024 г. Архивировано из оригинала 10 июля 2024 г. Получено 21 января 2024 г.
50. «Министерство финансов ввело санкции против связанных с Китаем хакеров, атакующих критически важную инфраструктуру США». Министерство финансов США . 19 марта 2024 г. Архивировано из оригинала 25 марта 2024 г. Получено 25 марта 2024 г.
51. "Double Dragon APT41, операция двойного шпионажа и киберпреступности". FireEye . 16 октября 2019 г. Архивировано из оригинала 7 мая 2021 г. Получено 14 апреля 2020 г.
52. «Бюро называет виновников вирусов-вымогателей». Taipei Times . 17 мая 2020 г. Архивировано из оригинала 22 марта 2021 г. Получено 22 мая 2020 г.
53. Гринберг, Энди (6 августа 2020 г.). «Китайские хакеры разграбили полупроводниковую промышленность Тайваня». Wired . ISSN  1059-1028. Архивировано из оригинала 22 марта 2021 г. Получено 14 июля 2024 г.
54. Сабин, Сэм (26 октября 2022 г.). «Новая прокитайская дезинформационная кампания нацелена на выборы 2022 года: отчет». Axios . Архивировано из оригинала 26 октября 2022 г. Получено 27 октября 2022 г.
55. Milmo, Dan (5 апреля 2024 г.). «Microsoft предупреждает, что Китай будет использовать ИИ для срыва выборов в США, Южной Корее и Индии». The Guardian . ISSN  0261-3077. Архивировано из оригинала 25 мая 2024 г. Получено 7 апреля 2024 г.
56. Нарейн, Райан (2 марта 2021 г.). «Microsoft: несколько уязвимостей нулевого дня на серверах Exchange подверглись атаке китайской хакерской группировки». securityweek.com . Wired Business Media. Архивировано из оригинала 6 июля 2023 г. . Получено 3 марта 2021 г. .
57. Берт, Том (2 марта 2021 г.). «Новые кибератаки на уровне наций и государств». blogs.microsoft.com . Microsoft. Архивировано из оригинала 2 марта 2021 г. . Получено 3 марта 2021 г. .
58. Николс, Шон (20 октября 2021 г.). «Хакеры „LightBasin“ провели 5 лет, скрываясь в сетях телекоммуникаций». TechTarget . Архивировано из оригинала 29 ноября 2023 г. Получено 8 апреля 2022 г.
59. Илашку, Ионут (19 октября 2021 г.). «Хакерская группа LightBasin взломала 13 глобальных телекоммуникационных компаний за два года». Bleeping Computer . Архивировано из оригинала 24 июля 2023 г. Получено 8 апреля 2022 г.
60. Cimpanu, Catalin. «Хакеры атакуют изолированные сети тайваньских и филиппинских военных». ZDnet . Архивировано из оригинала 22 марта 2021 г. Получено 16 мая 2020 г.
61. Разведка, Microsoft Threat (24 мая 2023 г.). «Volt Typhoon атакует критически важную инфраструктуру США с помощью методов выживания вне пределов суши». Блог Microsoft по безопасности . Архивировано из оригинала 17 января 2024 г. Получено 26 мая 2023 г.
62. Такер, Эрик (18 сентября 2024 г.). «ФБР прерывает китайскую кибероперацию, нацеленную на критически важную инфраструктуру в США». Associated Press . Архивировано из оригинала 24 сентября 2024 г. Получено 18 сентября 2024 г.
63. "Пресечение злонамеренного использования ИИ государственными субъектами угроз". 14 февраля 2024 г. Архивировано из оригинала 16 февраля 2024 г. Получено 16 февраля 2024 г.
64. «Опережение акторов угроз в эпоху ИИ». Microsoft . 14 февраля 2024 г. Архивировано из оригинала 16 февраля 2024 г. Получено 16 февраля 2024 г.
65. Крауз, Сара; Макмиллан, Роберт; Волц, Дастин (25 сентября 2024 г.). «Связанные с Китаем хакеры взломали американских интернет-провайдеров в новой кибератаке «Соляной тайфун»» . The Wall Street Journal . Получено 25 сентября 2024 г.
66. Крауз, Сара; Волц, Дастин; Вишваната, Аруна; Макмиллан, Роберт (5 октября 2024 г.). «Системы прослушивания телефонных разговоров США стали объектом хакерской атаки, связанной с Китаем» . The Wall Street Journal . Архивировано из оригинала 5 октября 2024 г. Получено 5 октября 2024 г.
67. Монтальбано, Элизабет (1 сентября 2020 г.). «Pioneer Kitten APT Sells Corporate Network Access». Угроза . Архивировано из оригинала 22 марта 2021 г. Получено 3 сентября 2020 г.
68. "APT39, ITG07, Chafer, Remix Kitten, Group G0087 | MITRE ATT&CK®". attack.mitre.org . Архивировано из оригинала 30 декабря 2022 г. . Получено 30 декабря 2022 г. .
69. "Crowdstrike Global Threat Report 2020" (PDF) . crowdstrike.com . 2020. Архивировано (PDF) из оригинала 14 марта 2020 г. . Получено 30 декабря 2020 г. .
70. Кайл Олспах (4 февраля 2022 г.). «Microsoft раскрывает новые подробности о российской хакерской группе Gamaredon». VentureBeat . Архивировано из оригинала 6 февраля 2022 г. Получено 22 марта 2022 г.
71. Charlie Osborne (21 марта 2022 г.). «Украина предупреждает об атаках InvisiMole, связанных с спонсируемыми государством российскими хакерами». ZDNet . Архивировано из оригинала 22 марта 2022 г. Получено 22 марта 2022 г.
72. Уоррен Мерсер; Витор Вентура (23 февраля 2021 г.). «Gamaredon — Когда национальные государства не платят по всем счетам». Cisco . Архивировано из оригинала 19 марта 2022 г. Получено 22 марта 2022 г.
73. "Adversary: ​​Venomous Bear - Threat Actor". Вселенная Adversary от Crowdstrike . Получено 22 марта 2022 г.
74. Уоррен Мерсер; Пол Раскагнерес; Витор Вентура (29 июня 2020 г.). «PROMETHIUM расширяет глобальный охват с помощью StrongPity3 APT». Cisco . Архивировано из оригинала 22 марта 2022 г. Получено 22 марта 2022 г.
75. "Equation: The Death Star of Malware Galaxy". Kaspersky Lab . 16 февраля 2015 г. Архивировано из оригинала 11 июля 2019 г. Получено 23 июля 2019 г.
76. Галлахер, Шон (3 октября 2019 г.). «Kaspersky обнаруживает хакерскую операцию в Узбекистане… потому что группа использовала Kaspersky AV». arstechnica.com . Ars Technica. Архивировано из оригинала 22 марта 2021 г. . Получено 5 октября 2019 г. .
77. Панда, Анкит. «Наступательные кибервозможности и разведка общественного здравоохранения: Вьетнам, APT32 и COVID-19». thediplomat.com . The Diplomat. Архивировано из оригинала 22 марта 2021 г. . Получено 29 апреля 2020 г. .
78. Танриверди, Хакан; Цирер, Макс; Веттер, Энн-Катрин; Бирманн, Кай; Нгуен, Тхи До (8 октября 2020 г.). Нирле, Верена; Шёффель, Роберт; Врешниок, Лиза (ред.). «Выстроились в прицел вьетнамских хакеров». Bayerischer Rundfunk . Архивировано из оригинала 22 марта 2021 г. . Получено 11 октября 2020 г. . В случае Буи следы ведут к группе, предположительно действующей от имени вьетнамского государства. Эксперты называют эту группу по-разному: наиболее известны APT 32 и Ocean Lotus. В беседах с дюжиной специалистов по информационной безопасности все они сошлись во мнении, что это вьетнамская группа, шпионящая, в частности, за своими соотечественниками.
79. BushidoToken (20 мая 2022 г.). «Схемы именования групп угроз в разведке киберугроз». Curated Intelligence. Архивировано из оригинала 8 декабря 2023 г. Получено 21 января 2024 г.
80. "CrowdStrike 2023 Global Threat Report" (PDF) . CrowdStrike. Архивировано (PDF) из оригинала 26 марта 2024 г. . Получено 21 января 2024 г. .
81. "Rampant Kitten". Агентство по развитию электронных транзакций Таиланда. Архивировано из оригинала 29 ноября 2022 года . Получено 21 января 2024 года .
82. Ламберт, Джон (18 апреля 2023 г.). «Microsoft переходит на новую таксономию именования субъектов угроз». Microsoft. Архивировано из оригинала 22 января 2024 г. Получено 21 января 2024 г.

Внешние ссылки

Списки групп APT

• Mandiant: Группы с повышенной постоянной угрозой
• Сообщество безопасности MITRE ATT&CK отслеживает страницы Advanced Persistent Group