APT är en spionerande stats cyberverktyg

Aktörerna bakom en cyberspionageoperation kallas internationellt APT, dvs. Advanced Threat Actor. APT-förkortningen kommer från engelskans Advanced Persistent Threat. Spionerande stater offentliggör inga uppgifter om cyberspionageenheter som arbetar för dem, utan cyberspionageoperationerna har namngetts allteftersom likheter har identifierats vid cyberangrepp. Till dessa metoder räknas till exempel bluffmeddelanden, utnyttjande av sårbarheter i enheter i målsystemets (kant)nät eller i program som används i objektet samt utnyttjande av stulen användaridentifikation.

Advanced – avancerat 

Begreppet APT började användas vid en tidpunkt då syftet med statliga cyberspionageoperationer var att göra intrång i ett objekt och stanna där så länge som möjligt utan att bli upptäckt. I cyberspionageoperationerna utnyttjades programvarusårbarheter i målsystemen. Operationerna strävade efter att gömma ett sabotageprogram i målsystemet. Metoderna som används i cyberspionageoperationer är mycket avancerade. Utöver detta utnyttjas offentliggjorda sårbarheter snabbt.

Persistent – enträget 

För nätbrottslighet inspirerad av ett ekonomiskt motiv duger vilket sårbart objekt som helst som brottslingen kan utnyttja för att skaffa ekonomisk vinning. När det gäller cyberspionage är situationen en annan. Syftet med operationen är att göra intrång i ett visst objekt. Därför ligger det i brottslingens intresse att enträget testa olika metoder tills en fungerande hittas – och säkerställa åtkomsten så länge som möjligt. Det kan också gå att tränga in i ett objekt via en sämre skyddad anordning eller ett sämre skyddat system i närheten av målsystemet.

Threat – hot 

Cyberspionage är verksamhet som hotar den nationella säkerheten. Målet är att skaffa information om målstaten som begränsar dess internationella rörelsefrihet eller påverkar dess ställning i den globala konkurrensen. Dessutom kan målet med cyberspionageoperationen vara att påverka det politiska klimatet i mållandet med falska nyheter eller andra åtgärder som förlamar samhället. 

Hur namnges APT-operationerna? 

Varje APT-operation har namngetts av den aktör som har identifierat den offentligt, dvs. i allmänhet ett informationssäkerhetsföretag. En APT-operation kan ha flera olika namn, eftersom olika företag har gett den ett namn utifrån sina egna data. Sambandet mellan olika APT-operationer kan ha hittats först senare. Ofta har namnet formen APT och ett nummer, men inte alltid. Till exempel den ryska militärunderrättelsen GRU:s operation, som fått namnet APT28, kallas också Sofacy. 

Är APT en hackargrupp? 

Nej. APT är en del av lett, planmässigt statligt cyberspionage, som vanligen styrs av en underrättelsetjänst. APT kan samarbeta med s.k. hackargrupper till exempel för att skaffa åtkomst.

Är APT ett skadligt program? 

Nej. I en cyberspionageoperation kan ett skadligt program skickas till objektet, men det kan också hända att inget märkbart program används. Operationen kan också genomföras över nätet genom manuella kommandon till det utsatta systemets äkta programvara som till exempel systemadministratörerna använder dagligen.

Hur fungerar APT?

Precis som i den fysiska världen lämnar ett intrång spår efter sig, till exempel av de dataförbindelser som uppstått. För att den stat som ligger bakom operationen inte ska avslöjas, behöver angriparen nätinfrastruktur för att dölja sina spår. Dataförbindelserna styrs ofta via en nätanslutning som finns i flera staters nät och som verkar harmlös – till exempel en hemrouter – för att operationen inte ska kunna kopplas till den stat som ligger bakom den.