Långvariga dolda hot som långsamt påverkar företaget negativt
I en värld där cyberhot ständigt utvecklas är det avgörande att förstå ”vad är APT” för att skydda organisationer från långvariga och sofistikerade intrång. APT-attacker utförs av välfinansierade och specialiserade grupper som siktar på att infiltrera system under längre perioder. Deras mål är ofta att stjäla känslig information, störa verksamhet eller genomföra sabotage. Här går vi igenom vad APT är och belyser tre kända exempel på APT-grupper.
Vad är APT?
För att förstå frågan ”vad är APT?” behöver vi först känna till att APT står för Advanced Persistent Threat och kännetecknar cyberhot som är utformade för att vara mycket svåra att upptäcka och avvärja. Dessa attacker utförs ofta av statligt sponsrade grupper, organiserade cyberkriminella eller andra mycket tekniskt kunniga aktörer. Till skillnad från traditionella cyberangrepp är APT-intrång noggrant planerade och har ofta långsiktiga, strategiska mål.
APT-grupper använder avancerade tekniker, såsom social ingenjörskonst och skadlig kod, för att få tillgång till system och behålla den åtkomsten under lång tid utan att upptäckas. Syftet kan vara att stjäla företagshemligheter, samla in politiskt känslig information eller skapa samhällsförstörelse. APT-grupper är ofta uppdelade i specialiserade team, där vissa fokuserar på att hitta bakdörrar i system medan andra specialiserar sig på ransomware, datastöld eller botnet-bygge. Detta innebär att ett enda cyberangrepp kan innebära samarbete mellan flera grupper som alla bidrar med sin unika expertis.
Precis som i andra branscher förekommer byte av personal och grupperingar även inom den kriminella världen, vilket kan försvåra identifieringen av specifika individer bakom en viss APT-grupp. Många grupper fungerar som ”legosoldater” och arbetar för den som betalar bäst, även om det ibland kan finnas ideologiska motiv bakom vissa attacker.
Det finns ingen central organisation som namnger eller klassificerar APT-grupper. Olika säkerhetsföretag, forskare och myndigheter använder egna konventioner för att identifiera och namnge grupper baserat på sina observationer och analyser. En trovärdig aktör inom detta område är MITRE-organisationen, som underhåller en lista över kända grupper och deras specifika tillvägagångssätt och verktyg, vilket kan ge en tydligare bild över frågan ”vad är APT” och vilka hot dessa grupper utgör.
Tre kända APT-grupper
Akira
Akira är en ransomware-grupp som har varit aktiv sedan mars 2023 och riktat sina attacker mot organisationer världen över, inklusive i Nordamerika, Europa och Australien. Gruppen är känd för sin ”dubbla utpressning”-teknik, där de först stjäl kritisk information och därefter krypterar den, för att sedan kräva en lösensumma. Om offret inte betalar hotar gruppen med att offentliggöra den stulna informationen.
I Sverige fick Akira stor uppmärksamhet när gruppen i januari 2024 attackerade IT-bolaget Tietoevry, vilket ledde till omfattande driftstörningar hos både privata och offentliga kunder. Akira illustrerar hur APT-grupper kan vara motiverade av ekonomiska vinster, vilket framgår av att de ofta riktar in sig på vårdsektorn och andra kritiska branscher utan moraliska hänsyn.
APT28 – Fancy Bear
APT28, även känd som Fancy Bear, är en av de mest omtalade APT-grupperna och tros ha kopplingar till den ryska militära underrättelsetjänsten GRU. Gruppen är känd för sina attacker mot regeringar, företag och icke-statliga organisationer över hela världen. Fancy Bear har genomfört avancerade intrång i valsystem och bedrivit cyberespionage mot bland annat NATO och EU.
APT29 – Cozy Bear
APT29, även känd som Cozy Bear, är en annan inflytelserik APT-grupp med antagna kopplingar till ryska underrättelsetjänster. Gruppen har varit aktiv sedan åtminstone 2008 och är känd för sina mycket avancerade attacker mot regeringar, militära organisationer och privata företag. En av de mest uppmärksammade attackerna som gruppen genomfört var intrånget i den amerikanska demokratiska nationella kommittén (DNC).
APT1 – Comment Crew
APT1, även känd som Comment Crew, är en av de tidigast identifierade APT-grupperna och tros ha band till den kinesiska militären. Gruppen har varit aktiv sedan åtminstone 2006 och har genomfört cyberespionage-operationer riktade mot företag och regeringar världen över. Bland deras mål finns flera amerikanska företag och myndigheter, där gruppen har genomfört flera dataintrång.
Vikten av att förstå och förbereda sig mot APT-hot
För att kunna skydda sig mot hot från APT-grupper är det avgörande att investera i robusta cybersäkerhetslösningar och kontinuerligt bedöma risker. Regelbundna utbildningar för personal om säkerhetsrutiner och säkerhetspolicyer är också viktiga åtgärder för att skapa en medvetenhet om potentiella hot. Genom en bättre förståelse för APT-gruppernas metoder och mål kan organisationer stärka sitt försvar och bättre motverka de avancerade cyberhot som dessa aktörer utgör.
