Dưới đây là các đặc điểm và dấu hiệu phổ biến nhất của mối đe dọa tấn công có chủ đích.
Các sự kiện tinh vi, gồm nhiều giai đoạn để chiếm quyền truy cập
Các mối đe dọa tấn công có chủ đích bao gồm các sự kiện với nhiều giai đoạn, thường tuân theo một loạt các bước tương tự.
Đầu tiên, một tác nhân trái phép tìm hiểu về tổ chức mục tiêu và các hệ thống của tổ chức đó để thu thập thông tin về tài sản và các lỗ hổng bảo mật tiềm ẩn. Từ đây, tác nhân này phát triển các phương pháp để tận dụng các lỗ hổng bảo mật đã xác định.
Sau khi có được quyền truy cập vào các hệ thống của công ty, tác nhân trái phép sẽ di chuyển qua các phần khác nhau trong hệ thống. Tác nhân này làm như vậy bằng cách lấy quyền truy cập vào các đặc quyền nâng cao thông qua tấn công phi kỹ thuật, điều hướng các phân đoạn mạng và các kỹ thuật khác. Tác nhân này cũng có thể đánh lạc hướng nhân viên an ninh. Các máy chủ chỉ huy và điều khiển được thiết lập để điều phối thông tin liên lạc.
Sau khi có thể truy cập tài sản mục tiêu, tác nhân trái phép thường bắt đầu trích xuất dữ liệu hoặc thay đổi hệ thống bị xâm nhập, tùy thuộc vào mục tiêu của sự kiện. Sau giai đoạn cuối cùng này, một số mối đe dọa tấn công có chủ đích sẽ nỗ lực che giấu dấu vết nhằm ngăn chặn bất kỳ ai biết về sự kiện này.
Được thực hiện bởi một nhóm APT có mục tiêu rõ ràng
Các sự kiện APT đến từ các tác nhân trái phép có mục tiêu rõ ràng, thường hoạt động theo nhóm. Các nhóm này có nhiều hình thức, bao gồm APT được nhà nước tài trợ, các tổ chức tội phạm mạng chuyên nghiệp, các nhóm tin tặc hoặc các nhóm tin tặc nhỏ chuyên đánh thuê.
Mặc dù mục tiêu chính của APT là kiếm tiền, một số nhóm trong số này tham gia vào việc thực hiện sự kiện APT để thu thập thông tin nhạy cảm, làm lộ dữ liệu, phá hoại cơ sở hạ tầng hoặc tác động đến danh tiếng của các tổ chức.
Một sự kiện trong một thời gian đáng kể ở nhiều hệ thống
Các giai đoạn nêu trên có thể diễn ra trong một thời gian dài. Do tính chất có mục tiêu của các sự kiện APT, các nhóm kẻ tấn công cẩn thận lên kế hoạch hành động với tốc độ chậm rãi để tránh gây chú ý hoặc kích hoạt cảnh báo trong hệ thống. Trong một số trường hợp, APT không bị phát hiện trong nhiều tháng hoặc nhiều năm trước khi thực hiện các bước để đạt được mục tiêu ban đầu.
Được thiết kế để không để lại dấu vết
Giai đoạn cuối cùng của động tác nhân đe dọa APT là che đi mọi dấu vết về một sự kiện bằng các kỹ thuật như xóa tệp, sửa đổi bản ghi hoặc che giấu các khía cạnh nhất định của cơ sở dữ liệu. Bằng cách giảm khả năng nhóm an ninh mạng phát hiện ra điểm bất thường trong hệ thống, các tác nhân trái phép có nhiều khả năng thoát ra mà không phải hứng chịu hậu quả.
Ngoài ra, bằng cách che giấu bằng chứng về sự hiện diện của mình, APT cũng có thể giữ kín phương pháp xâm nhập cụ thể. Lối thoát bí mật này cho phép chúng sử dụng cùng một chiến lược chậm rãi và có phương pháp với các tổ chức mục tiêu khác.