APT on kybervakoojan työkalupakki
Kybervakoiluoperaatiot nimetään usein lyhenteellä APT, johon liittyy numeroyhdistelmä. Suomessa lyhenne tuli tutuksi eduskuntaan tehdyn APT31-kybervakoiluoperaation yhteydessä. Suojelupoliisi koosti kysymyksiä ja vastauksia APT-operaatioista.
Kybervakoiluoperaation toteuttaja tarvitsee avukseen työkaluja, joiden avulla tunkeutua tietojärjestelmään. Tietojärjestelmästä etsitään ja kopioidaan tietoa, joka lopulta kuljetetaan kenenkään havaitsematta ulos.
Kohteeseen otetuista yhteyksistä jää usein jälki. Jotta operaation takana oleva valtio ei paljastuisi, toteuttaja tarvitsee myös verkkoinfrastruktuuria jälkiensä peittämiseen. Tietoliikenneyhteydet voidaan kierrättää useamman valtion verkkoavaruudessa sijaitsevan ja harmittomalta näyttävän verkkoliittymän kautta, jottei operaatio yhdisty heti tekijävaltioon.
Lyhennettä APT käytetään kuvaamaan tällaisia kybervakoiluoperaatioita. Se ei ole esimerkiksi henkilöiden muodostama ryhmä, vaan teknisten jälkien joukko.
Tietoturvayhteisö ja turvallisuusviranomaiset tunnistavat toisiinsa liittyvät kyberoperaatiot niissä käytettyjen menetelmien, ohjelmistotyökalujen ja verkkoinfrastruktuurin jättämien jälkien avulla. Tunnistetut operaatiot voidaan nimetä julkisesti. APT-tunnisteet antavat usein varsin vahvoja viitteitä kybervakoiluoperaation taustalla olevasta valtiosta ja useimmiten myös tiedustelupalvelusta.
Mistä sanoista lyhenne tulee?
APT-lyhenne tulee englanninkielisistä sanoista Advanced Persistent Threat.
Advanced – kehittynyt, edistyksellinen
APT-käsite omaksuttiin aikana, jolloin valtiollisten kybervakoiluoperaatioiden tavoitteena oli päästä kohteeseen ja pysyä siellä kenenkään havaitsematta mahdollisimman kauan. Kybervakoiluoperaatiossa käytettiin hyväksi kohdejärjestelmien ohjelmistohaavoittuvuuksia.
Operaatiot pyrkivät piilottamaan käytettävän haittakoodin kohdejärjestelmään. Kybervakoiluoperaatioissa käytettävä koodi oli varsin edistyksellistä.
Nykyään kehittyneen sijaan kuvaavampi termi olisi tavoitteellinen. Osa operaatioista pyrkii yhä hankkimaan pitkäaikaisen pääsyn kohteeseen ja toimimaan havaitsematta, mutta osassa silmiinpistävää on alkeellinen menetelmä ja tarmokas yrittäminen. Onkin todennäköistä, että tällaisten operaatioiden tarkoitus on enemmän viestinnällinen kuin tiedonhankinnallinen.
Persistent – sitkeä
Taloudellisen motiivin innoittamalle verkkorikollisuudelle käy mikä tahansa haavoittuva kohde, jota rikollinen voi käyttää hyväksi hankkiakseen taloudellista hyötyä. Kybervakoilussa tilanne on toinen. Operaation tarkoituksena on päästä juuri tiettyyn kohteeseen. Siksi tekijän intresseissä on kokeilla sitkeästi eri menetelmiä, kunnes toimiva löytyy.
Threat – uhka
Kybervakoilu on kansallista turvallisuutta uhkaavaa toimintaa. Tavoitteena on hankkia kohdevaltiosta tietoa, joka kaventaa sen kansainvälistä liikkumatilaa tai vaikuttaa sen asemaan globaalissa kilpailussa.
Miten APT-operaatiot nimetään?
Kunkin APT:n on nimennyt julkisen tunnistuksen tehnyt taho eli yleensä tietoturvayritys. Usealla APT:lla on monta eri nimeä, koska eri yritykset ovat tehneet nimeämisen kukin oman datansa pohjalta. Yhteys eri APT-operaatioiden välillä on saatettu löytää vasta myöhemmin.
Usein nimi on muotoa APT ja numero, mutta ei suinkaan aina. Esimerkiksi APT28:ksi nimetty Venäjän sotilastiedustelun GRU:n operaatio tunnetaan myös nimellä Sofacy.
Onko APT hakkeriryhmä?
Ei. APT on osa ohjattua, suunnitelmallista valtiollista kybervakoilua.
Onko APT haittaohjelma?
Ei. Kybervakoiluoperaatiossa voidaan käyttää kohteeseen lähetettävää haittakoodia, mutta on myös mahdollista, ettei mitään havaittavissa olevaa koodia käytetä. Operaatio voidaan toteuttaa myös verkon yli antamalla käsin komentoja kohdejärjestelmän ohjelmistoille.