APT on vakoojan kybertyökalu

Kyberuhkatoimijoita kutsutaan kansainvälisesti lyhenteellä APT eli Advanced Threat Actor. APT-lyhenne tulee englanninkielisistä sanoista Advanced Persistent Threat. Vakoilua harjoittavat valtiot eivät julkista tietoja hyväkseen työskentelevistä kybervakoiluyksiköistä, vaan kyberuhkatoimijoita on nimetty sitä mukaa, kun on tunnistettu samankaltaisuuksia kyberhyökkäyksissä. Näihin toimintatapoihin luetaan esimerkiksi tietojenkalasteluviestit, kohdejärjestelmän (reuna)verkossa olevien laitteiden tai kohteen käyttämien ohjelmistojen haavoittuvuuksien sekä varastettujen käyttäjätunnusten hyödyntäminen.

Advanced – kehittynyt, edistyksellinen

APT-käsite omaksuttiin aikana, jolloin valtiollisten kybervakoiluoperaatioiden tavoitteena oli päästä kohteeseen ja pysyä siellä kenenkään havaitsematta mahdollisimman kauan. Kybervakoiluoperaatioissa käytettiin hyväksi kohdejärjestelmien ohjelmistohaavoittuvuuksia. Operaatiot pyrkivät piilottamaan käytettävän haittakoodin kohdejärjestelmään. Kybervakoiluoperaatioissa käytettävät menetelmät ovat varsin edistyksellisiä, mitä täydentää julkaistujen haavoittuvuuksien nopea hyväksikäyttö.

Persistent – sitkeä  

Taloudellisen motiivin innoittamalle verkkorikollisuudelle käy mikä tahansa haavoittuva kohde, jota rikollinen voi käyttää hyväksi hankkiakseen taloudellista hyötyä. Kybervakoilussa tilanne on toinen. Operaation tarkoituksena on päästä juuri tiettyyn kohteeseen. Siksi tekijän intresseissä on kokeilla sitkeästi eri menetelmiä, kunnes toimiva löytyy – ja säilyttää tämä pääsy mahdollisimman pitkään. Pääsyn kohteeseen voi löytää myös kohdejärjestelmän läheisyydessä olevasta heikommin suojatusta tahosta tai järjestelmästä. 

Threat – uhka 

Kybervakoilu on kansallista turvallisuutta uhkaavaa toimintaa. Tavoitteena on hankkia kohdevaltiosta tietoa, joka kaventaa sen kansainvälistä liikkumatilaa tai vaikuttaa sen asemaan globaalissa kilpailussa. Lisäksi kyberuhkatoimijan tavoitteena voi olla kohdemaan poliittiseen ilmapiiriin vaikuttaminen valeuutisilla tai muilla yhteiskuntaa lamauttavilla toimilla.  

Miten APT-operaatiot nimetään?

Kunkin APT:n on nimennyt julkisen tunnistuksen tehnyt taho eli yleensä tietoturvayritys. Yhdellä APT:lla voi olla useita eri nimiä, koska eri yritykset ovat tehneet nimeämisen kukin oman datansa pohjalta. Yhteys eri APT-operaatioiden välillä on saatettu löytää vasta myöhemmin. Usein nimi on muotoa APT ja numero, mutta ei suinkaan aina. Esimerkiksi APT28:ksi nimetty Venäjän sotilastiedustelun GRU:n operaatio tunnetaan myös nimellä Sofacy.

Onko APT hakkeriryhmä? 

Ei. APT on osa ohjattua, suunnitelmallista valtiollista kybervakoilua, jonka taustalla on lähtökohtaisesti tiedustelupalvelu. APT voi tehdä yhteistyötä niin kutsuttujen hakkeriryhmien kanssa esimerkiksi pääsyjen hankkimiseksi.

Onko APT haittaohjelma?

Ei. Kybervakoiluoperaatiossa voidaan käyttää kohteeseen lähetettävää haittakoodia, mutta on myös mahdollista, ettei mitään havaittavissa olevaa koodia käytetä. Operaatio voidaan toteuttaa myös verkon yli antamalla käsin komentoja kohdejärjestelmän aidoille ohjelmistoille, joita esimerkiksi järjestelmän ylläpitäjät käyttävät päivittäin.

Miten APT toimii?

Kuten fyysisessä maailmassakin, murtautumisesta jää kohteeseen jälkiä, esimerkiksi syntyneistä tietoliikenneyhtyksistä. Jotta operaation takana oleva valtio ei paljastuisi, hyökkääjä tarvitsee verkkoinfrastruktuuria jälkiensä peittämiseen. Tietoliikenneyhteydet reititetään usein useamman valtion verkossa sijaitsevan ja harmittomalta näyttävän verkkoliittymän – kuten kotireitittimen – kautta, jottei operaatio yhdistyisi tekijävaltioon.