Tapaustutkimus kolmen APT-hyökkäyksen mahdollisten indikaattoreiden havaitsemisesta kyberuhkatiedustelun avulla

Abstract

Tapaustutkimuksena tehdyssä tutkielmassa tarkoituksena on selvittää millaisia mahdollisia indikaattoreita voitaisiin havaita kyberuhkatiedustelun avulla. Tutkimuksessa käytetään kolmen eri APT-ryhmän tekemiä APT-hyökkäyksiä esimerkkeinä ja pyritään keräämään kyberuhkatietoa näihin hyökkäyksiin liittyen. Esimerkkitapauksien osalta sekä pintanetistä että Dark webistä haetaan APT-ryhmien käyttämiä työkaluja ja pohditaan millaista kyberuhkatietoa olisi voinut olla saatavilla APT-ryhmien hyökkäyksien tapahtuessa. Tutkimusta taustoitetaan esittelemällä keskeisiä käsitteitä, kuten TOR-verkko, mitä kyberuhkatiedustelu tarkoittaa, haittaohjelmat ja miten APT-lyhenne eroaa esimerkiksi tietokoneviruksista. Lisäksi esitellään kirjallisuudessa esiintyviä erilaisia kyberhyökkäysmalleja. Lisäksi kuvaillaan kyberhyökkäyksen havaitsemista ja sen haasteita erityisesti APT-hyökkäyksien osalta. Tutkimuksen tuloksien osalta esiin nousee useita haasteita sekä tiedonkeruussa että erilaisten APT-esimerkkiryhmien toimintoihin liittyen. Kolmesta eri APT-ryhmistä kaksi oli ollut aktiivisessa toiminnassa ennen valittua esimerkkitapausta, mutta kolmas APT-ryhmä nousi julkisuuteen vasta APT-hyökkäyksensä paljastuttua. Tutkimuksen tarkoitukseen vastattaessa esimerkkitapauksien osalta kyberuhkatiedustelun havaittavissa olevat erilaiset indikaattorit heijastelevat myös tätä. Aktiivisessa toiminnassa olevista APT-ryhmistä löytyi indikaattoreita huomattavasti runsaammin verrattuna APT-ryhmään, jonka toiminta paljastui vasta ryhmän APT-hyökkäyksen tavoitteiden täytyttyä.

Three chosen APT attacks are used as examples in this master’s thesis. The thesis is case study and the purpose is to study whether there are any indicators of intelligence related to example APT attacks that cyber threat intelligence could find out. Cyber threat intelligence is collected both from surface web and dark net. The main research question asks if there are any signs to be detected while the APT attack is being prepared, while attack is ongoing or only after attack has been completed. Theoretical background is based on introducing key theoretical concepts, such as TOR network, what is cyber threat intelligence, what is malware and how APT is different from ordinary malware. Different cyber threat models are also introduced and a general cyber-attack model is also explained. IoA, IoB and IoC concepts are mentioned in addition with challenges related to detecting cyber-attacks and especially challenges related to detecting APT attacks. Thesis had several challenges related to both collecting indicators of intelligence and how different those tactics, tools and procedures were between chosen APT groups. Some of the APT groups had been active for a long time before chosen example APT attack but one of the APT attack groups were detected only after it had completed its mission successfully. The results also indicate this and those example APT groups that had been active for a long time before chosen APT attacks had left indicators of intelligence. On the contrary was the case with the APT group that was detected only after completing its mission.