Clear
Lead Graphic Papers

APT ภัยคุกคามใหม่หรือแค่ชื่อใหม่ของภัยเดิม

วันที่เผยแพร่: 9 ก.ย. 2554
ปรับปรุงล่าสุด: 9 ก.ย. 2554

Share on Facebook Share on Twitter Share on Google+

APT หรือ Advanced Persistent Threat คือประเภทหนึ่งของอาชญากรรมทางคอมพิวเตอร์ ที่มีเป้าหมายเพื่อโจมตีหน่วยงานที่มีข้อมูลสำคัญ เช่น หน่วยงานทางทหารหรือหน่วยงานทางด้านความมั่นคงปลอดภัยของประเทศ หน่วยงานทางการเมือง หรือองค์กรธุรกิจขนาดใหญ่ รูปแบบการโจมตีแบบ APT ส่วนใหญ่ผู้ดำเนินการมักจะเป็นกลุ่มบุคคลมากกว่าเป็นการดำเนินการของบุคคลใดบุคคลหนึ่ง ซึ่งอาจเป็นไปได้ว่า กลุ่มบุคคลนี้มักจะมีองค์กรหรือรัฐบาลของประเทศใดประเทศหนึ่งคอยให้การสนับสนุนอยู่เบื้องหลัง การโจมตีมีเป้าหมายที่แน่ชัด ผู้โจมตีมักพยายามแฝงตัวอยู่ในระบบของเป้าหมายให้ได้นานที่สุด และใช้ทุกวิถีทางเพื่อให้การโจมตีสำเร็จผล

คำนิยามของ APT นั้นค่อนข้างหลากหลาย แต่สามารถสรุปคร่าวๆ ได้ดังนี้ [1] [2]

Advanced - ผู้ที่โจมตี มีความสามารถและมีทรัพยากรณ์ที่พร้อมสำหรับการโจมตี วิธีการโจมตีจะใช้เครื่องมือและเทคนิคหลายอย่างด้วยกัน ซึ่งเป็นไปได้ตั้งแต่การใช้ความรู้ทางคอมพิวเตอร์ขั้นสูงเพื่อเจาะระบบ ไปจนถึงการใช้เทคนิคพื้นฐาน เช่น Social Engineering ซึ่งเป็นการโจมตีโดยอาศัยหลักจิตวิทยาเพื่อหลอกลวงคนให้เปิดเผยข้อมูลสำคัญ [3]

Persistent - การโจมตีจะเป็นแบบค่อยเป็นค่อยไปและสม่ำเสมอ เนื่องจากผู้โจมตีต้องแฝงเข้าไปอยู่ในระบบโดยไม่ให้เป้าหมายรู้ตัว เพื่อสร้างความเสียหายหรือรวบรวมข้อมูลที่ต้องการให้ได้มากที่สุด

Threat - จัดเป็นภัยคุกคามที่เกิดขึ้นกับระบบเทคโนโลยีสารสนเทศและการสื่อสาร

ตัวอย่างการโจมตีแบบ APT

Operation Aurora - Google ประกาศเมื่อวันที่ 12 มกราคม 2553 ว่าถูกโจมตีด้วยวิธี APT ตั้งแต่ช่วงกลางปี 2552 ถึงเดือนธันวาคม 2552 โดยที่มาของการโจมตีมาจากประเทศจีน [4] [5] สาเหตุการโจมตีคาดว่าเกิดจากกลุ่มผู้โจมตีไม่พอใจที่ Google ไม่ยอมรับเงื่อนไขของรัฐบาลจีนว่าให้เซ็นเซอร์ผลการค้นหาข้อมูลจากเว็บไซต์ Google ประเทศจีน จากการสืบสวนพบว่า ผู้โจมตีใช้ช่องโหว่ที่ค้นพบแต่ยังไม่มีการแก้ไข (Zero-day) ของ Internet Explorer โดยมีเป้าหมายคือข้อมูลใน Gmail ของนักสิทธิมนุษยชนในประเทศจีน ผลจากการโจมตีครั้งนี้ ทำให้ Google ตัดสินใจถอนตัวและย้ายสำนักงานใหญ่ออกจากประเทศจีน

ภัยคุกคามใหม่หรือแค่ชื่อใหม่ของภัยเดิม

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยบางกลุ่มไม่เห็นด้วยกับการจัดให้ APT เป็นภัยคุกคามประเภทใหม่ เนื่องจากเห็นว่าเป็นการสร้างคำใหม่เพื่อหวังผลทางการตลาดของหน่วยงานที่เกี่ยวข้องกับระบบความมั่นคงปลอดภัย [6] [7] ด็อกเตอร์ Anup Ghosh ผู้ก่อตั้งบริษัท Invincea ซึ่งเป็นบริษัทพัฒนาซอฟต์แวร์เพิ่มความปลอดภัยให้กับเบราว์เซอร์และไฟล์เอกสาร ได้ให้สัมภาษณ์กับเว็บไซต์ eWEEK.com ว่า การโจมตีแบบ APT นั้นไม่ใช่การโจมตีรูปแบบใหม่แต่อย่างใด เป็นแค่การอาศัยช่องโหว่ของระบบที่ไม่ได้รับการปรับปรุงเรื่องความมั่นคงปลอดภัย และใช้ความสะเพร่าของผู้ดูแลระบบที่ไม่ตรวจสอบว่ามีเหตุการณ์ผิดปกติเกิดขึ้น [8]

วิธีการโจมตีแบบ APT นั้นมีการปฏิบัติมานานแล้ว ตัวอย่างเช่น ในยุคสงครามเย็น สหภาพโซเวียตได้ทำการส่งสายลับ KGB เข้าไปแฝงตัวในเขตแดนของศัตรูเพื่อขโมยข้อมูล [9] ซึ่งการโจมตีแบบ APT นั้นก็ใช้หลักการเดียวกัน เพียงแต่การนำวิธีนี้มาใช้เพื่อโจมตีระบบคอมพิวเตอร์นั้นเพิ่งจะมีขึ้น ดังนั้นการโจมตีแบบ APT จึงเป็นภัยคุกคามในรูปแบบเดิม แต่เป็นการโจมตีที่เพิ่งนำมาใช้ในระบบคอมพิวเตอร์

อ้างอิง

[1] http://en.wikipedia.org/wiki/Advanced_persistent_threat
[2] http://searchsecurity.techtarget.com/definition/advanced-persistent-threat-APT
[3] http://th.wikipedia.org/wiki/วิศวกรรมสังคม
[4] http://en.wikipedia.org/wiki/Operation_Aurora
[5] http://googleblog.blogspot.com/2010/01/new-approach-to-china.html
[6] http://www.greebo.net/2010/02/03/advanced-persistent-threat-risk-management-by-a-new-name/
[7] http://kevinfielder.wordpress.com/2011/07/25/apt-new-threat-or-just-a-new-name-and-just-what-does-it-mean/
[8] http://www.eweek.com/c/a/Security/Advanced-CyberAttack-Claims-Are-Usually-False-Overhyped-520523/
[9] http://en.wikipedia.org/wiki/KGB

Clear