Teraz na antenie:
Radio Wnet
Świat

Czym są grupy APT? Eksperci tłumaczą, jak działa cyberbroń państw

To już nie są zwykłe ataki hakerów nastawionych na szybki zysk. Grupy APT to narzędzia państw, służb specjalnych i wojsk, które służą do szpiegostwa, destabilizacji, operacji wpływu i przygotowywania uderzeń strategicznych.
Czym są grupy APT? Eksperci tłumaczą, jak działa cyberbroń państw

Za APT stoją służby i wojsko, fot. chatGPT

W tym artykule:

  1. APT to poziom państwowy
  2. Długie operacje, nie jednorazowe ataki
  3. Nie tylko pieniądze, ale wywiad i wpływ
  4. Rosja, Iran, Korea Północna
  5. Polska też ma takie zdolności
  6. Zjawisko rośnie i trudno je policzyć

APT to poziom państwowy

Punktem wyjścia w audycji Limes inferior było uporządkowanie samego pojęcia APT. Eksperci podkreślali, że nie chodzi o zwykły atak hakerski, lecz o działania strategiczne, prowadzone przeciw najważniejszym celom i bardzo często związane z państwami.

Mirosław Maj, ekspert bezpieczeństwa teleinformatycznego zaznaczał, że „advanced” oznacza nie tylko techniczne zaawansowanie, ale także zdolność planowania i prowadzenia skomplikowanych operacji.

– To jest bardzo zaawansowane dlatego, że stawia sobie za cel bardzo ambitne przedsięwzięcia, też powszechnie nazywane cyberoperacjami, które mają prowadzić do tego, że dzięki zaawansowanym technikom udaje się przeprowadzać najbardziej skomplikowane operacje uderzające w najpoważniejsze cele. Właściwie od razu sięgamy do poziomu państwowego, do poziomu zahaczania o geopolitykę – tłumaczył Mirosław Maj.

Długie operacje, nie jednorazowe ataki

Drugim ważnym elementem definicji jest „persistent”, czyli trwałość i długofalowość działania. Robert Kośla wyjaśniał, że grupy APT nie wchodzą do systemu po to, by szybko uderzyć i zniknąć, ale po to, by zostać tam długo, prowadzić rozpoznanie i osiągać konkretne cele.

– Mamy dość długofalowe działania. Stałą obecność tych aktorów, którzy inwestują swoje środki i środki swoich sponsorów do tego, żeby wejść do organizacji, pozostać w tej organizacji, która jest ofiarą przez długi, długi czas, no i monetyzować swoją obecność w różny sposób – wyjaśniał Robert Kośla.

Mirosław Maj dodawał, że taka obecność potrafi trwać setki dni. Jako przykład przywołał znany atak SolarWinds, który miał rozwijać się przez wiele miesięcy.

Nie tylko pieniądze, ale wywiad i wpływ

Eksperci wyraźnie odróżniali APT od klasycznych grup cyberprzestępczych nastawionych na szybki zysk. W ich ocenie tutaj stawką są nie tylko pieniądze, ale także operacje wywiadowcze, destabilizacja, kompromitacja przeciwnika czy przygotowanie gruntu pod poważniejsze działania.

– Motyw może mieć charakter zarówno pozyskiwania informacji w ramach działań wywiadowczych, ale również też operacje wpływu. Operacje wpływu z wykorzystaniem technologii cyfrowych, czyli manipulacja treścią, podstawianie treści, kompromitacja celów politycznych, celów gospodarczych – mówił Kośla.

Właśnie dlatego, jak podkreślano w Limes inferior, APT trzeba traktować jako element współczesnej rywalizacji państw.

Rosja, Iran, Korea Północna

W rozmowie pojawiły się przykłady państw najczęściej kojarzonych z takimi operacjami: Rosji, Chin, Iranu i Korei Północnej. Robert Kośla tłumaczył, że za rosyjskimi działaniami stoją m.in. struktury wywiadu wojskowego, FSB i wywiadu zagranicznego, a każda z nich korzysta z własnych grup i własnych metod.

– Mamy co najmniej trzech głównych graczy konkurujących ze sobą: wywiad wojskowy rosyjski, Federalną Służbę Bezpieczeństwa i Służbę Wywiadu Zagranicznego. Do każdej z tych służb podczepione jest kilka grup, które prowadzą działania o różnym charakterze – wyjaśniał.

Sporo miejsca poświęcono też Korei Północnej, która według ekspertów łączy działania państwowe z intensywną cyberprzestępczością. Kośla przypomniał, że tylko w 2025 roku Korea Północna miała ukraść w kryptowalutach około 2 miliardów dolarów.

Polska też ma takie zdolności

Jednym z najciekawszych wątków było pytanie o Polskę i o to, czy nasze państwo również posiada zdolności ofensywne w cyberprzestrzeni. Obaj eksperci nie mieli większych wątpliwości, że takie możliwości istnieją.

– Wszystkie zdolności mamy. Także i to mamy od wielu lat. Nasze grupy wygrywają wiele konkursów, a podczas takich ćwiczeń jak Cyber Coalition czy Locked Shields ćwiczy się zarówno zdolności obronne, jak i ofensywne – mówił Robert Kośla.

Mirosław Maj dodawał, że sam od dawna uważa, iż Polska powinna takie zdolności rozwijać, choć oczywiście nie należy oczekiwać oficjalnych konferencji prasowych ogłaszających istnienie konkretnych grup APT.

Zjawisko rośnie i trudno je policzyć

Na końcu rozmowy padło pytanie o skalę zjawiska. Eksperci zaznaczyli, że dokładne liczenie grup APT jest bardzo trudne, bo część z nich działa pod różnymi nazwami, a atrybucja pozostaje jednym z największych problemów. Mimo to jedno nie budzi ich wątpliwości: skala takich operacji rośnie.

– Zjawisko niewątpliwie wzrasta. Mówiliśmy o tym, że mamy kłopot atrybucji, to znaczy raz nam się wydaje, że już wszystko wiemy o jakiejś grupie, a za chwilę się okazuje, że to ktoś inny albo że wystąpiła pod inną nazwą – mówił Mirosław Maj.

Jak zapowiedział prowadzący rozmowę, kolejne audycje mają już szczegółowo omawiać poszczególne państwa i ich modele działania w cyberprzestrzeni.

Autorzy:

Szymon Augustyniak

Przeczytaj więcej

Niemiecki biznes wraca do Rosji? Coraz więcej sygnałów zmiany
Niemiecki biznes wraca do Rosji? Coraz więcej sygnałów zmiany
Świat
Droższe paliwo i żywność. Wojna z Iranem uderza w portfele Amerykanów
Droższe paliwo i żywność. Wojna z Iranem uderza w portfele Amerykanów
Świat
Waszyngton daje Berlinowi sygnał? Niemcy mogą tracić wyjątkową pozycję
Waszyngton daje Berlinowi sygnał? Niemcy mogą tracić wyjątkową pozycję
Świat