ภัยคุกคามขั้นสูงที่คงอยู่ถาวร

ภัยคุกคามขั้นสูงแบบต่อเนื่อง ( APT ) คือภัยคุกคามด้านความปลอดภัยทางไซเบอร์ที่ซ่อนเร้น ซึ่งมักถูกควบคุมโดยรัฐหรือกลุ่มที่ได้รับการสนับสนุนจากรัฐ ซึ่งเข้าถึงเครือข่ายคอมพิวเตอร์ โดยไม่ได้รับอนุญาต และไม่ถูกตรวจพบเป็นเวลานาน^{[ 1 ]}^{[ 2 ]}ในปัจจุบัน คำนี้อาจหมายถึงกลุ่มที่ไม่ได้รับการสนับสนุนจากรัฐซึ่งดำเนินการบุกรุกเป้าหมายขนาดใหญ่เพื่อจุดประสงค์เฉพาะ^{[ 3 ]}

แรงจูงใจของผู้ก่อภัยคุกคามดังกล่าวโดยทั่วไปมักเป็นเรื่องทางการเมืองหรือเศรษฐกิจ^{[ 4 ]}ทุกภาคธุรกิจ หลัก มีการบันทึกเหตุการณ์การโจมตีทางไซเบอร์ โดยผู้กระทำการขั้นสูงที่มีเป้าหมายเฉพาะ ไม่ว่าจะเป็นการขโมย สอดแนม หรือก่อกวน ภาคส่วนที่ตกเป็นเป้าหมาย ได้แก่ ภาครัฐการป้องกันประเทศบริการทางการเงินบริการทางกฎหมายอุตสาหกรรมโทรคมนาคมสินค้าอุปโภคบริโภคและอื่นๆ อีกมากมาย^[⁵^]^[⁶^]^[⁷^]บางกลุ่มใช้ เวกเตอร์ การจารกรรม แบบดั้งเดิม รวมถึงวิศวกรรมสังคมข่าวกรองมนุษย์และการแทรกซึมเพื่อเข้าถึงสถานที่ทางกายภาพเพื่อเปิดใช้งานการโจมตีเครือข่าย จุดประสงค์ของการโจมตีเหล่านี้คือการติดตั้งมัลแวร์ ที่กำหนด เอง^[⁸^]

การโจมตี APT บนอุปกรณ์เคลื่อนที่กลายเป็นเรื่องที่น่ากังวลอย่างแท้จริง เนื่องจากผู้โจมตีสามารถเจาะเข้าไปในโครงสร้างพื้นฐานคลาวด์และมือถือเพื่อดักฟัง ขโมย และแก้ไขข้อมูลได้^{[ 9 ]}

ระยะเวลาแฝงเฉลี่ย (dwell-time) ซึ่งเป็นเวลาที่การโจมตี APT ไม่ถูกตรวจพบนั้นแตกต่างกันอย่างมากในแต่ละภูมิภาคFireEyeรายงานระยะเวลาแฝงเฉลี่ยสำหรับปี 2018 ในทวีปอเมริกาอยู่ที่ 71 วันEMEAอยู่ที่ 177 วัน และAPACอยู่ที่ 204 วัน^{[ 5 ]}ระยะเวลาแฝงที่ยาวนานเช่นนี้ทำให้ผู้โจมตีมีเวลามากพอที่จะดำเนินการตามวงจรการโจมตี แพร่กระจาย และบรรลุเป้าหมายของตน

คำนิยาม

คำจำกัดความของ APT อาจแตกต่างกันไป แต่สามารถสรุปได้ตามข้อกำหนดที่ระบุไว้ด้านล่างนี้:

ขั้นสูง – ผู้ดำเนินการที่อยู่เบื้องหลังภัยคุกคามมีเทคนิคการรวบรวมข้อมูลข่าวกรองครบวงจร ซึ่งอาจรวมถึงเทคโนโลยีและเทคนิคการบุกรุกคอมพิวเตอร์เชิงพาณิชย์และโอเพนซอร์ส แต่ก็อาจขยายไปถึงหน่วยงานข่าวกรองของรัฐด้วย แม้ว่าส่วนประกอบแต่ละส่วนของการโจมตีอาจไม่ถือว่า “ขั้นสูง” เป็นพิเศษ (เช่น ส่วนประกอบ มัลแวร์ที่สร้างขึ้นจากชุดเครื่องมือสร้างมัลแวร์แบบทำเองที่หาได้ทั่วไป หรือการใช้วัสดุโจมตีที่หาได้ง่าย) แต่ผู้ดำเนินการมักจะสามารถเข้าถึงและพัฒนาเครื่องมือขั้นสูงได้ตามต้องการ พวกเขามักจะผสมผสานวิธีการกำหนดเป้าหมาย เครื่องมือ และเทคนิคหลายอย่างเข้าด้วยกันเพื่อเข้าถึงและบุกรุกเป้าหมายและรักษาการเข้าถึงเป้าหมายนั้นไว้ ผู้ดำเนินการอาจแสดงให้เห็นถึงการมุ่งเน้นด้านความปลอดภัยในการปฏิบัติงานอย่างจงใจ ซึ่งทำให้พวกเขาแตกต่างจากภัยคุกคามที่ “ไม่ขั้นสูง” ^{[ 3 ]}^{[ 10 ]}^{[ 11 ]}
ผู้ดำเนินการมีเป้าหมายที่เฉพาะ เจาะจง แทนที่จะแสวงหาข้อมูลเพื่อผลประโยชน์ทางการเงินหรือผลประโยชน์อื่น ๆ ความแตกต่างนี้บ่งชี้ว่าผู้โจมตีได้รับการชี้นำจากหน่วยงานภายนอก การกำหนดเป้าหมายดำเนินการผ่านการตรวจสอบและการโต้ตอบอย่างต่อเนื่องเพื่อให้บรรลุวัตถุประสงค์ที่กำหนดไว้ ไม่ได้หมายความว่าเป็นการโจมตีอย่างต่อเนื่องและการอัปเดตมัลแวร์ อันที่จริง วิธีการแบบ "ค่อยเป็นค่อยไป" มักจะประสบความสำเร็จมากกว่า หากผู้ดำเนินการสูญเสียการเข้าถึงเป้าหมาย พวกเขามักจะพยายามเข้าถึงอีกครั้ง และส่วนใหญ่มักจะประสบความสำเร็จ หนึ่งในเป้าหมายของผู้ดำเนินการคือการรักษาการเข้าถึงเป้าหมายในระยะยาว ซึ่งแตกต่างจากภัยคุกคามที่ต้องการการเข้าถึงเพื่อดำเนินการเฉพาะงานที่กำหนดเท่านั้น^{[ 10 ]}^{[ 12 ]}
ภัยคุกคาม – APT ถือเป็นภัยคุกคามเนื่องจากมีทั้งความสามารถและเจตนา การโจมตีของ APT ดำเนินการโดยการกระทำของมนุษย์ที่ประสานงานกัน ไม่ใช่โดยโค้ดอัตโนมัติที่ไร้ความคิด ผู้ดำเนินการมีเป้าหมายที่เฉพาะเจาะจง มีทักษะ มีแรงจูงใจ มีการจัดระเบียบ และได้รับการสนับสนุนทางการเงินอย่างดี ผู้กระทำไม่ได้จำกัดเฉพาะกลุ่มที่ได้รับการสนับสนุนจากรัฐเท่านั้น^{[ 3 ]}^{[ 10 ]}

ประวัติและเป้าหมาย

คำเตือนเกี่ยวกับอีเมลที่กำหนดเป้าหมายโดยใช้เทคนิคทางสังคมซึ่งปล่อยโทรจันเพื่อขโมยข้อมูลที่ละเอียดอ่อนนั้นได้รับการเผยแพร่โดย องค์กร CERT ของสหราชอาณาจักรและสหรัฐอเมริกา ในปี 2548 วิธีนี้ถูกใช้ตลอดช่วงต้นทศวรรษ 1990 และไม่ได้ถือว่าเป็น APT ในตัวมันเอง คำว่า "ภัยคุกคามขั้นสูงที่คงอยู่" ได้รับการกล่าวอ้างว่ามีต้นกำเนิดมาจากกองทัพอากาศสหรัฐฯในปี 2549 ^{[ 13 ]}โดยพันเอกเกร็ก แรตเทรย์ได้รับการกล่าวอ้างว่าเป็นผู้คิดค้นคำนี้^{[ 14 ]}

เวิร์มคอมพิวเตอร์Stuxnet ซึ่งมุ่งเป้าไปที่ฮาร์ดแวร์คอมพิวเตอร์ของโครงการนิวเคลียร์ของอิหร่านเป็นตัวอย่างหนึ่งของการโจมตี APT ในกรณีนี้ รัฐบาลอิหร่านอาจพิจารณาว่าผู้สร้าง Stuxnet เป็นภัยคุกคามขั้นสูงที่คงอยู่^[¹⁵^]

ภายใน ชุมชน ความปลอดภัยของคอมพิวเตอร์และในสื่อต่างๆ มากขึ้นเรื่อยๆ คำนี้มักจะถูกใช้เพื่ออ้างถึงรูปแบบระยะยาวของการแสวงหาประโยชน์จากเครือข่ายคอมพิวเตอร์ที่ซับซ้อนซึ่งมุ่งเป้าไปที่รัฐบาล บริษัท และนักเคลื่อนไหวทางการเมือง และโดยนัยเดียวกัน ยังใช้เพื่อกำหนดคุณลักษณะ A, P และ T ให้กับกลุ่มที่อยู่เบื้องหลังการโจมตีเหล่านี้ด้วย^{[ 16 ]}ภัยคุกคามขั้นสูงที่คงอยู่ (APT) ในฐานะคำหนึ่งอาจกำลังเปลี่ยนจุดสนใจไปที่การแฮ็กคอมพิวเตอร์เนื่องจากจำนวนเหตุการณ์ที่เพิ่มขึ้นPC Worldรายงานว่าการโจมตีคอมพิวเตอร์ที่กำหนดเป้าหมายขั้นสูงเป็นพิเศษเพิ่มขึ้น 81 เปอร์เซ็นต์จากปี 2010 ถึง 2011 ^{[ 17 ]}

นักแสดงในหลายประเทศใช้ไซเบอร์สเปซเป็นช่องทางในการรวบรวมข้อมูลข่าวกรองเกี่ยวกับบุคคลและกลุ่มบุคคลที่น่าสนใจ^{[ 18 ]}^{[ 19 ]}^{[ 20 ]}หน่วยบัญชาการไซเบอร์ของสหรัฐอเมริกามีหน้าที่ประสานงานปฏิบัติการไซเบอร์ เชิงรุกและเชิงรับของกองทัพสหรัฐฯ ^{[ 21 ]}

แหล่งข้อมูลจำนวนมากอ้างว่ากลุ่ม APT บางกลุ่มมีความเกี่ยวข้องกับ หรือเป็นตัวแทนของรัฐบาลของรัฐอธิปไตย^{[ 22 ]}^{[ 23 ]}^{[ 24 ]} ธุรกิจที่ถือ ครองข้อมูลส่วนบุคคล จำนวนมากมีความเสี่ยงสูงที่จะตกเป็นเป้าหมายของภัยคุกคามขั้นสูงแบบต่อเนื่อง ซึ่งรวมถึง: ^{[ 25 ]}

เกษตรกรรม^{[ 26 ]}
พลังงาน
สถาบันการเงิน
การดูแลสุขภาพ
การศึกษาระดับสูง^{[ 27 ]}
การผลิต
เทคโนโลยี
โทรคมนาคม
การขนส่ง

การศึกษาวิจัยของ Bell Canada ได้ทำการวิจัยเชิงลึกเกี่ยวกับกายวิภาคของ APT และพบว่ามีการแพร่หลายในรัฐบาลแคนาดาและโครงสร้างพื้นฐานที่สำคัญ การระบุแหล่งที่มาพบว่ามาจากผู้กระทำชาวจีนและรัสเซีย^{[ 28 ]}

วงจรชีวิต

ผู้กระทำการที่อยู่เบื้องหลังภัยคุกคามขั้นสูงแบบต่อเนื่องสร้างความเสี่ยงที่เพิ่มขึ้นและเปลี่ยนแปลงต่อสินทรัพย์ทางการเงิน ทรัพย์สินทางปัญญา และชื่อเสียงขององค์กร^{[ 29 ]}โดยปฏิบัติตามกระบวนการต่อเนื่องหรือห่วงโซ่การโจมตี :

กำหนดเป้าหมายไปยังองค์กรเฉพาะเจาะจงเพื่อวัตถุประสงค์เดียว
พยายามแทรกซึมเข้าไปในระบบ (กลยุทธ์ทั่วไป ได้แก่ การส่งอีเมล ฟิชชิ่งแบบเจาะจงเป้าหมาย )
ใช้ระบบที่ถูกบุกรุกเป็นช่องทางในการเข้าถึงเครือข่ายเป้าหมาย
ติดตั้งเครื่องมือเพิ่มเติมที่ช่วยให้บรรลุเป้าหมายการโจมตี
ปิดช่องทางเดินรถเพื่อรักษาการเข้าถึงสำหรับโครงการริเริ่มในอนาคต

ในปี 2556 Mandiant ได้นำเสนอผลการวิจัยเกี่ยวกับการโจมตีของจีนที่ถูกกล่าวหาโดยใช้วิธี APT ระหว่างปี 2547 ถึง 2556 ^{[ 30 ]}ซึ่งมีวงจรชีวิตที่คล้ายคลึงกัน:

การโจมตีครั้งแรก – ดำเนินการโดยใช้วิธีวิศวกรรมสังคมและสเปียร์ฟิชชิ่งผ่านอีเมล โดยใช้ไวรัสแบบซีโร่เดย์อีกวิธีหนึ่งที่นิยมใช้คือการฝังมัลแวร์บนเว็บไซต์ที่พนักงานของเหยื่อมีแนวโน้มที่จะเข้าชม^{[ 31 ]}
สร้างฐานที่มั่น – ติดตั้งซอฟต์แวร์บริหารจัดการระยะไกลในเครือข่ายของเหยื่อ สร้างช่องโหว่และอุโมงค์ในเครือข่ายที่ช่วยให้เข้าถึงโครงสร้างพื้นฐานได้อย่างลับๆ
ยกระดับสิทธิ์ – ใช้ช่องโหว่และการถอดรหัสรหัสผ่านเพื่อเข้าถึงสิทธิ์ผู้ดูแลระบบบนคอมพิวเตอร์ของเหยื่อ และอาจขยายไปถึงบัญชีผู้ดูแลระบบโดเมนของ Windows ได้
การสำรวจภายใน – รวบรวมข้อมูลเกี่ยวกับโครงสร้างพื้นฐานโดยรอบ ความสัมพันธ์ด้านความไว้วางใจ และโครงสร้างโดเมนของ Windows
ขยาย การควบคุมไปยังเวิร์กสเตชัน เซิร์ฟเวอร์ และองค์ประกอบโครงสร้างพื้นฐานอื่นๆ และทำการเก็บรวบรวมข้อมูลจากอุปกรณ์เหล่านั้น
รักษาการเข้าถึง – ตรวจสอบให้แน่ใจว่ายังคงควบคุมช่องทางการเข้าถึงและข้อมูลประจำตัวที่ได้รับในขั้นตอนก่อนหน้านี้อย่างต่อเนื่อง
ปฏิบัติภารกิจให้สำเร็จ – ดึงข้อมูลที่ถูกขโมยออกจากเครือข่ายของเหยื่อ

จากการวิเคราะห์เหตุการณ์โดย Mandiant พบว่าระยะเวลาเฉลี่ยที่ผู้โจมตีควบคุมเครือข่ายของเหยื่อคือหนึ่งปี โดยระยะเวลาที่นานที่สุดคือเกือบห้าปี^{[ 30 ]}มีการกล่าวหาว่าการแทรกซึมดังกล่าวเกิดขึ้นโดยหน่วย 61398ของกองทัพปลดปล่อยประชาชน จีนซึ่งตั้งอยู่ในเซี่ยงไฮ้ เจ้าหน้าที่จีนปฏิเสธว่าไม่มีส่วนเกี่ยวข้องกับการโจมตีเหล่านี้^{[ 32 ]}

รายงานก่อนหน้านี้จาก Secdev ได้ค้นพบและระบุถึงผู้กระทำการชาวจีนไว้ก่อนหน้านี้แล้ว^{[ 33 ]}

กลยุทธ์การบรรเทาผลกระทบ

มีมัลแวร์หลายสิบล้านรูปแบบ^{[ 34 ]}ซึ่งทำให้การปกป้ององค์กรจาก APT เป็นเรื่องยากมาก แม้ว่ากิจกรรมของ APT จะซ่อนเร้นและตรวจจับได้ยาก แต่การรับ ส่งข้อมูลเครือข่าย คำสั่งและการควบคุมที่เกี่ยวข้องกับ APT สามารถตรวจจับได้ในระดับเลเยอร์เครือข่ายด้วยวิธีการที่ซับซ้อน การวิเคราะห์บันทึกเชิงลึกและการเชื่อมโยงบันทึกจากแหล่งต่างๆ มีประโยชน์จำกัดในการตรวจจับกิจกรรมของ APT การแยกสัญญาณรบกวนออกจากการรับส่งข้อมูลที่ถูกต้องเป็นเรื่องยาก เทคโนโลยีและวิธีการรักษาความปลอดภัยแบบดั้งเดิมไม่มีประสิทธิภาพในการตรวจจับหรือบรรเทา APT ^{[ 35 ]}การป้องกันทางไซเบอร์เชิงรุกให้ผลลัพธ์ที่มีประสิทธิภาพมากขึ้นในการตรวจจับและดำเนินคดีกับ APT (ค้นหา แก้ไข กำจัด) เมื่อใช้ข่าวกรองภัยคุกคามทางไซเบอร์ในการล่าและติดตามศัตรู^{[ 36 ]}^{[ 37 ]}ช่องโหว่ทางไซเบอร์ที่เกิดจากมนุษย์ (HICV) เป็นจุดอ่อนทางไซเบอร์ที่ไม่เข้าใจหรือบรรเทาได้ดี ซึ่งถือเป็นช่องทางการโจมตีที่สำคัญ^{[ 38 ]}

กลุ่ม APT

จีน

หน่วย PLA 61398 (หรือที่รู้จักกันในชื่อ APT1)
หน่วย PLA 61486 (หรือที่รู้จักกันในชื่อ APT2)
บัคอาย (หรือที่รู้จักกันในชื่อ APT3) ^{[ 39 ]}
เรด อพอลโล (หรือรู้จักกันในชื่อ APT10)
แพนด้าหมายเลข (หรือที่รู้จักกันในชื่อ APT12)
APT15 (หรือที่รู้จักกันในชื่อ Vixen Panda หรือ Ke3chang) ^{[ 40 ]}
DeputyDog (หรือที่รู้จักกันในชื่อ APT17) ^{[ 41 ]}
ไดนาไมต์แพนด้าหรือสแกนเดียม (หรือที่รู้จักกันในชื่อ APT18 ซึ่งเป็นหน่วยของกองทัพเรือปลดปล่อยประชาชนจีน ) ^{[ 42 ]}
กลุ่มโคโดโซ (หรือรู้จักกันในชื่อ APT19)
Wocao (หรือที่รู้จักกันในชื่อ APT20) ^{[ 43 ]}^{[ 44 ]}
APT22 (หรือที่รู้จักกันในชื่อ Suckfly) ^{[ 45 ]}
APT26 (หรือที่รู้จักกันในชื่อ Turbine Panda) ^{[ 46 ]}
APT 27 ^{[ 47 ]}
PLA หน่วย 78020 (หรือที่เรียกว่า APT30 และ Naikon)
เซอร์โคเนียม^{[ 48 ]} (หรือที่รู้จักกันในชื่อ APT31, Violet Typhoon หรือ Wuhan Xiaoruizhi Science and Technology Company) ^{[ 49 ]}^{[ 50 ]}^{[ 51 ]}
เอพีที40
Double Dragon ^{[ 52 ]} (หรือที่รู้จักกันในชื่อ APT41, Winnti Group, Barium หรือ Axiom) ^{[ 53 ]}^{[ 54 ]}
Spamouflage (หรือที่รู้จักกันในชื่อ Dragonbridge หรือ Storm 1376) ^{[ 55 ]}^{[ 56 ]}
แฮฟเนียม^{[ 57 ]}^{[ 58 ]}
LightBasin ^{[ 59 ]}^{[ 60 ]} (หรือที่รู้จักกันในชื่อ UNC1945)
ทหารเขตร้อน^{[ 61 ]}
โวลต์ ไต้ฝุ่น^{[ 62 ]}
แฟลกซ์ไต้ฝุ่น^{[ 63 ]}
ถ่านไต้ฝุ่น (หรือที่รู้จักกันในชื่อโครเมียม) ^{[ 64 ]}^{[ 65 ]}
แซลมอนไต้ฝุ่น (หรือที่รู้จักกันในชื่อโซเดียม) ^{[ 64 ]}^{[ 65 ]}
พายุเกลือ (หรือที่รู้จักกันในชื่อ GhostEmperor หรือ FamousSparrow) ^{[ 66 ]}^{[ 67 ]}
แพนด้าลิมินัล^{[ 68 ]}
MirrorFace ^{[ 69 ]}
Mustang Panda (หรือที่รู้จักกันในชื่อ UNC6384) ^{[ 70 ]}^{[ 71 ]}
UNC3886 ^{[ 72 ]}
แฟนทอม ทอรัส^{[ 73 ]}^{[ 74 ]}
UNC2814 ^{[ 75 ]}

ปากีสถาน

กลุ่มกอร์กอน^{[ 76 ]}^{[ 77 ]}
กลุ่มโปร่งใส (หรือที่รู้จักกันในชื่อ APT36) ^{[ 78 ]}^{[ 79 ]}^{[ 80 ]}
ปฏิบัติการ C-Major ^{[ 81 ]}
ReverseRat ^{[ 82 ]}
สำเนาด้านข้าง^{[ 83 ]}

อิหร่าน

ลูกแมวน่ารัก (หรือที่รู้จักกันในชื่อ APT35)
ทีมเอลฟิน (หรือรู้จักกันในชื่อ APT33)
Helix Kitten (หรือรู้จักกันในชื่อ APT34)
ลูกแมวไพโอเนียร์^{[ 84 ]}
Remix Kitten (หรือที่รู้จักกันในชื่อ APT39, ITG07 หรือ Chafer) ^{[ 85 ]}^{[ 86 ]}
น้ำโคลน^{[ 87 ]}

เกาหลีเหนือ

คิมซูกี้ (หรือที่รู้จักกันในชื่อ APT43)
กลุ่มลาซารัส (หรือรู้จักกันในชื่อ APT38)
Ricochet Chollima (หรือที่รู้จักกันในชื่อ APT37)

รัสเซีย

หมีคลั่ง
โคซี่ แบร์ (หรือรู้จักกันในชื่อ APT29)
แฟนซีแบร์ (หรือรู้จักกันในชื่อ APT28)
FIN7
กามาเรดอน^{[ 88 ]} (หรือที่รู้จักกันในชื่อหมีดึกดำบรรพ์ ) ^{[ a ]}
หนอนทราย (หรือที่รู้จักกันในชื่อ APT44)
หมีพิษ^{[ 91 ]}

ไก่งวง

StrongPity (หรือที่รู้จักกันในชื่อ APT-C-41 หรือ PROMETHIUM) ^{[ 92 ]}

สหรัฐอเมริกา

กลุ่มสมการ^{[ 93 ]}

อุซเบกิสถาน

SandCat เกี่ยวข้องกับหน่วยงานความมั่นคงแห่งรัฐตาม Kaspersky ^{[ 94 ]}

เวียดนาม

OceanLotus (หรือที่รู้จักกันในชื่อAPT32 ) ^{[ 95 ]}^{[ 96 ]}

อินเดีย

APT-C-35 ^{[ 97 ]}
แอปปิน^{[ 98 ]}
บาฮามุต
ขงจื๊อ
กลุ่มแฮงโอเวอร์
ช้างดัดแปลง
แพทช์เวิร์ค (ซามูไรดำ)
ไซด์วินเดอร์
ไซเบอร์
อูร์ปาจ

การตั้งชื่อ

องค์กรหลายแห่งอาจกำหนดชื่อที่แตกต่างกันให้กับผู้กระทำการเดียวกัน เนื่องจากนักวิจัยแต่ละคนอาจมีการประเมินกลุ่ม APT ที่แตกต่างกัน บริษัทต่างๆ เช่นCrowdStrike , Kaspersky , MandiantและMicrosoftเป็นต้น จึงมีรูปแบบการตั้งชื่อภายในของตนเอง^{[ 99 ]}ชื่อระหว่างองค์กรต่างๆ อาจหมายถึงกลุ่มที่ทับซ้อนกัน แต่ในที่สุดก็เป็นกลุ่มที่แตกต่างกัน โดยขึ้นอยู่กับข้อมูลต่างๆ ที่รวบรวมได้

CrowdStrike กำหนดสัตว์ตามรัฐชาติหรือหมวดหมู่อื่นๆ เช่น "ลูกแมว" สำหรับอิหร่าน และ "แมงมุม" สำหรับกลุ่มที่มุ่งเน้นอาชญากรรมไซเบอร์^{[ 100 ]}บริษัทอื่นๆ ได้ตั้งชื่อกลุ่มตามระบบนี้ เช่น Rampant Kitten ได้รับการตั้งชื่อโดย Check Point ไม่ใช่ CrowdStrike ^{[ 101 ]}

Dragos ตั้งชื่อกลุ่ม APT โดยอิงจากแร่ธาตุ^{[ 99 ]}

Mandiant กำหนดตัวย่อเป็นตัวเลขในสามหมวดหมู่ ได้แก่ APT, FIN และ UNC ส่งผลให้ชื่อ APT เช่นFIN7บริษัทอื่นๆ ที่ใช้ระบบที่คล้ายกัน ได้แก่ Proofpoint (TA) และ IBM (ITG และ Hive) ^{[ 99 ]}

เดิมที Microsoft เคยตั้งชื่อตามตารางธาตุโดยมักจะเขียนเป็นตัวพิมพ์ใหญ่ทั้งหมด (เช่นPOTASSIUM ) แต่ในเดือนเมษายน 2023 Microsoft ได้เปลี่ยนรูปแบบการตั้งชื่อไปใช้ชื่อที่อิงตามสภาพอากาศ (เช่น Volt Typhoon) ^{[ 102 ]}

ดูเพิ่มเติม

หมายเหตุ

^ Gamaredon เปิดใช้งานตั้งแต่ปี 2013 ซึ่งแตกต่างจาก APT ส่วนใหญ่ โดย Gamaredon มุ่งเป้าไปที่ผู้ใช้ทั่วโลกอย่างกว้างขวาง (นอกเหนือจากการมุ่งเน้นที่เหยื่อบางรายโดยเฉพาะองค์กรในยูเครน^{[ 89 ]} ) และดูเหมือนว่าจะให้บริการแก่ APT อื่นๆ^{[ 90 ]}ตัวอย่างเช่น กลุ่มภัยคุกคาม InvisiMoleได้โจมตีระบบบางระบบที่ Gamaredon เคยบุกรุกและระบุลายนิ้วมือไว้ก่อนหน้านี้^{[ 89 ]}

ลิงก์ภายนอก

รายชื่อกลุ่ม APT

Mandiant: กลุ่มภัยคุกคามขั้นสูงแบบต่อเนื่อง (Advanced Persistent Threat Groups)
ชุมชนความปลอดภัย MITRE ATT&CK ติดตาม Advanced Persistent Group Pages (APG)

[91] Gamaredon เปิดใช้งานตั้งแต่ปี 2013 ซึ่งแตกต่างจาก APT ส่วนใหญ่ โดย Gamaredon มุ่งเป้าไปที่ผู้ใช้ทั่วโลกอย่างกว้างขวาง (นอกเหนือจากการมุ่งเน้นที่เหยื่อบางรายโดยเฉพาะองค์กรในยูเครน^{[ 89 ]} ) และดูเหมือนว่าจะให้บริการแก่ APT อื่นๆ^{[ 90 ]}ตัวอย่างเช่น กลุ่มภัยคุกคาม InvisiMoleได้โจมตีระบบบางระบบที่ Gamaredon เคยบุกรุกและระบุลายนิ้วมือไว้ก่อนหน้านี้^{[ 89 ]}

[ 1 ]

[ 2 ]

[ 4 ]

[

[

[

[ 9 ]

[ 11 ]

[ 12 ]

[ 13 ]

[ 14 ]

[

[ 16 ]

[ 17 ]

[ 18 ]

[ 19 ]

[ 20 ]

[ 21 ]

[ 22 ]

[ 23 ]

[ 24 ]

[ 25 ]

[ 27 ]

[ 28 ]

[ 29 ]

[ 30 ]

[ 31 ]

[ 32 ]

[ 33 ]

[ 34 ]

[ 35 ]

[ 36 ]

[ 37 ]

[ 38 ]

[ 39 ]

[ 40 ]

[ 41 ]

[ 43 ]

[ 44 ]

[ 45 ]

[ 46 ]

[ 47 ]

[ 48 ]

[ 49 ]

[ 50 ]

[ 51 ]

[ 52 ]

[ 53 ]

[ 55 ]

[ 56 ]

[ 57 ]

[ 58 ]

[ 59 ]

[ 60 ]

[ 61 ]

[ 62 ]

[ 64 ]

[ 65 ]

[ 66 ]

[ 67 ]

[ 68 ]

[ 69 ]

[ 70 ]

[ 71 ]

[ 72 ]

[ 73 ]

[ 74 ]

[ 75 ]

[ 76 ]

[ 77 ]

[ 78 ]

[ 79 ]

[ 80 ]

[ 81 ]

[ 82 ]

[ 83 ]

[ 84 ]

[ 85 ]

[ 86 ]

[ 87 ]

[ 88 ]

[ a ]

[ 91 ]

[ 92 ]

[ 93 ]

[ 94 ]

[ 95 ]

[ 96 ]

[ 97 ]

[ 98 ]

[ 99 ]

[ 100 ]

[ 101 ]

[ 102 ]

[ 89 ]

[ 90 ]