APT är cyberspionens verktygslåda

Cyberspionageoperationer benämns ofta med förkortningen APT plus en sifferkombination. I Finland blev förkortningen bekant i samband med cyberspionageoperationen APT31 mot riksdagen. Skyddspolisen har nu sammanställt frågor och svar om APT-operationer.

Den som genomför en cyberspionageoperation behöver verktyg för att ta sig in i it-system. De som tar sig in i systemet söker efter och kopierar information, som sedan förs ut ur systemet utan att någon upptäcker det. 

Det finns ofta kvar spår efter kontakterna med föremålet för attacken. För att den stat som ligger bakom operationen inte ska avslöjas behöver aktören också nätinfrastruktur för att sopa igen spåren efter sig. Datakommunikationen kan i cyberrymden gå via flera stater och där via nätanslutningar som ter sig harmlösa. Syftet är att operationen inte genast ska gå att koppla till den stat som genomför operationen.

Förkortningen APT används för att beskriva sådana cyberspionageoperationer. Det rör sig exempelvis inte om en grupp personer, utan en samling tekniska spår. 

Datasäkerhetsgemenskapen och säkerhetsmyndigheterna identifierar sammankopplade cyberoperationer med hjälp av spåren efter metoder, programverktyg och nätinfrastruktur. Identifierade operationer kan benämnas offentligt. Indikatorerna på APT ger ofta en rätt tydlig fingervisning om vilken stat och oftast också om vilken underrättelsetjänst som ligger bakom cyberspionageoperationen.

Vilka ord kommer förkortningen från?

Förkortningen APT kommer från engelskans Advanced Persistent Threat. 

Advanced – avancerat

Begreppet APT började användas vid en tidpunkt då syftet med statliga cyberspionageoperationer var att nå föremålet för attacken och stanna där så länge som möjligt utan att bli upptäckt. Cyberspionageoperationerna genomfördes genom att utnyttja målsystemens programvarusårbarheter. 

Syftet var att gömma i målsystemet skadlig kod som i fråga om cyberspionageoperationer brukade vara av synnerligen avancerat slag.

I nuläget skulle målinriktat vara mer beskrivande som term än avancerat. Det utförs fortfarande också operationer där syftet är ett långvarigt och dolt dataintrång, men en del operationer präglas däremot tydligt av en primitiv metod och energiska försök. Det är därför sannolikt att det då handlar mer om att signalera något än om att inhämta information. 

Persistent – ihärdigt, långvarigt

Vid it-brottslighet med ekonomiska motiv duger alla sårbara målobjekt som kan utnyttjas för att nå ekonomisk vinning. När det gäller cyberspionage är situationen en annan. Syftet med en operation är uttryckligen dataintrång i ett specifikt objekt. Därför ligger det i attackerarens intresse att ihärdigt testa olika metoder tills någon av dem fungerar. 

Threat – hot 

Cyberspionage är verksamhet som utgör ett hot mot den nationella säkerheten. Målet är att inhämta sådan information om målstaten som begränsar dess internationella rörelsefrihet eller påverkar dess ställning i den globala konkurrensen.

Hur namnges APT-operationer?

Varje APT har namngetts av den aktör som gjort den offentliga identifieringen, dvs. vanligen ett it-säkerhetsföretag. Flera APT har många olika namn, eftersom olika företag namngett dem utifrån sina egna data. Kopplingen mellan de olika APT-operationerna kan ha upptäckts först senare. 

Namnen har ofta formen APT plus ett nummer, men långt ifrån alltid. Exempelvis operationen vid namn APT28, som attribuerats till den ryska militära underrättelsetjänsten GRU, går också under benämningen Sofacy.

Är APT en hackargrupp? 

Nej. APT ingår som en del i systematiskt, statligt styrt cyberspionage. 

Är APT ett skadeprogram?

Nej. Cyberspionageoperationer kan innebära användning av skadlig kod som sänds till föremålet för attacken, men det är också möjligt att ingen kod som går att upptäcka används. Operationen kan också genomföras över nätet genom manuella kommandon till målsystemets programvara.