تهدیدات مداوم پیشرفته (APT)
تهدیدات مداوم پیشرفته (APT) حملات شبکه ای ترکیبی می باشند که در آنها از مراحل متعدد و تکنیک های مختلف حمله استفاده می شود. APTها حملاتی نیستند که در لحظه تصور یا اجرا شوند. بلکه ، مهاجمان به عمد استراتژی های حمله خود را علیه اهداف خاص برنامه ریزی می کنند و حمله را در یک دوره زمانی طولانی انجام می دهند.
در این مقاله، بینشی در مورد مفهوم APT و پنج مرحله حمله APT، از جمله دسترسی اولیه، اولین نفوذ و استقرار بدافزار ارائه شده است. همچنین نمونه هایی از APT ها مانند GhostNet و Stuxnet نیز در ادامه آورده شده است.
تهدیدات مداوم پیشرفته (APT) چیست؟
تهدید دائمی پیشرفته (APT) ، یک حمله سایبری پیچیده می باشد که توسط گروهی از عوامل تهدید حرفه ای سازماندهی شده است. APT ها حملات “Hit and Run” (ضربه و فرار ) نیستند. مهاجمان کمپین خود را با دقت علیه اهداف استراتژیک برنامه ریزی می کنند و سپس حمله را در مدت زمان طولانی انجام می دهند.
Advanced Persistent Threat =APT
APT ها حملات ترکیبی شامل مراحل متعدد و انواع تکنیک های حمله هستند. بسیاری از بردارهای حمله متداول، در ابتدا به عنوان بخشی از یک کمپین APT با اکسپلویت های روز صفر و بدافزار، سرقت اعتبار سفارشی شده و ابزارهای حرکت جانبی به عنوان برجسته ترین نمونه ها معرفی شدند. کمپین های APT تمایل دارند چندین الگوی حمله و چندین نقطه دسترسی را شامل شوند.
اهداف مهاجم APT و پیامدهایی که سازمان ها با آن روبرو هستند عبارتند از:
- سرقت مالکیت معنوی
- سرقت اطلاعات محرمانه
- سرقت اطلاعات قابل شناسایی شخصی (PII) یا سایر داده های حساس
- خرابکاری، به عنوان مثال حذف پایگاه داده
- تصاحب کامل سایت
- به دست آوردن داده ها در مورد زیرساخت ها برای شناسایی اهداف
- اخذ اعتبار سیستم های حیاتی
- دسترسی به ارتباطات حساس یا مجرمانه
ویژگیهای منحصر به فرد تهدیدات مداوم پیشرفته (APT) چیست؟
نشانه های زیر با قطعیت به وجود حمله APT اشاره می کنند :
- مهاجمان :
حملات معمولاً توسط مهاجمینی با یک مأموریت خاص انجام می شود.مهاجمین یا بازیگران حمله اغلب توسط دولت های ملی یا سازمان های تحت حمایت شرکت ها حمایت می شوند. گروههای نمونه شامل Deep Panda، OilRig و APT28 هستند.
- اهداف:
تضعیف قابلیت های هدف یا جمع آوری اطلاعات در یک دوره طولانی. هدف از این خرابکاری یا استخراج داده ها می تواند استراتژیک یا سیاسی باشد.
- به موقع بودن :
حملات برای اطمینان از اینکه مهاجمان می توانند مدت زمان قابل توجهی به هدف دسترسی داشته باشندو آن را حفظ کنند تمرکز می کنند. اغلب، مهاجمان در طول مدت حمله چندین بار به یک سیستم نفوذی باز می گردند.
- منابع:
حملات APT به منابع قابل توجهی برای برنامه ریزی و اجرا نیاز دارند.که شامل زمان، تخصص امنیت و توسعه و میزبانی است.
- تحمل ریسک :
معمولا مهاجمان به جای حملات گسترده برروی اهداف خاصی تمرکز می کنند. همچنین مهاجمان APT بیشتر مراقب هستند که گرفتار نشوند یا رفتار مشکوکی در یک سیستم ایجاد نکنند.
- روشها:
در حملات APT اغلب از تکنیکهای پیچیدهای که به تخصص امنیتی نیاز دارند استفاده می شود. این تکنیکها میتواند شامل روتکیتها، تونلسازی DNS، مهندسی اجتماعی و … باشد.
- مبدا حمله :
حملات APT میتوانند از مکانهای مختلفی سرچشمه بگیرند و حتی می تواند در طول حملهای که برای منحرف کردن تمرکز تیمهای امنیتی طراحی شده است، رخ دهد. مهاجمان اغلب نقاط ضعف سیستم را قبل از انتخاب نقطه ورود به طور جامع ترسیم می کنند.
- ارزش حمله :
ارزش حمله می تواند به اندازه هدف و یا اندازه عملیات حمله اشاره داشته باشد. سازمانهای بزرگ بیشتر از سازمانهای کوچک هدف APT هستند. به همین ترتیب، تعداد زیادی از انتقال داده ها معمولاً سازماندهی بیشتر مورد نیاز برای حملات APT را نشان می دهد.
- میتواند ابزارهای تشخیص سنتی را دور بزند :
حملات APT معمولاً ابزارهای تشخیص سنتی را که بر تشخیص مبتنی بر امضا متکی هستند دور میزنند. برای انجام این کار، مهاجمان از تکنیکهای جدید مانند بدافزارهای بدون فایل استفاده میکنند یا از روشهایی استفاده میکنند که آنها را قادر میسازد تا اقدامات خود را مبهم کنند.
تشخیص APT و اقدامات حفاظتی
APT یک حمله چند وجهی است و دفاع باید شامل چندین ابزار و تکنیک های امنیتی باشد. این شامل:
فیلتر کردن ایمیل : اکثر حملات APT از فیشینگ برای دستیابی به دسترسی اولیه استفاده می کنند. فیلتر کردن ایمیلها و مسدود کردن لینکها یا پیوستهای مخرب درون ایمیلها، میتواند این تلاشهای نفوذ را متوقف کند.
حفاظت نقطه پایانی : همه حملات APT شامل تصاحب دستگاه های نقطه پایانی است. حفاظت پیشرفته ضد بدافزار و تشخیص و پاسخ نقطه پایانی میتواند به شناسایی و واکنش نسبت به به خطر افتادن یک نقطه پایانی توسط بازیگران APT کمک کند.
کنترل دسترسی : اقدامات احراز هویت قوی و مدیریت دقیق حسابهای کاربری، با تمرکز ویژه بر حسابهای دارای امتیاز، میتواند خطرات APT را کاهش دهد.
نظارت بر ترافیک، رفتار کاربر و موجودیت : می تواند به شناسایی نفوذ، حرکت جانبی و خروج در مراحل مختلف حمله APT کمک کند.
پنج مرحله حمله APT
حملات APT دارای مراحل متعددی هستند، از دسترسی اولیه توسط مهاجمان تا استخراج نهایی داده ها و حملات بعدی:
1. دسترسی اولیه :
گروههای APT کمپین خود را با دسترسی به یک شبکه از طریق یکی از سه سطح حمله آغاز میکنند: سیستمهای مبتنی بر وب، شبکهها یا کاربران انسانی. آنها معمولاً از طریق آپلودهای مخرب، جستجو و سوء استفاده از آسیبپذیریهای برنامه، شکافهای موجود در ابزارهای امنیتی و معمولاً، فیشینگ نیزهای که کارمندان دارای حسابهای ممتاز را هدف قرار میدهند، دسترسی پیدا میکنند. در این مرحله تمرکز بر آلوده کردن هدف با نرم افزارهای مخرب می باشد.
2. اولین نفوذ و استقرار بدافزار :
پس از دسترسی، مهاجمان توسط یک تروجان پوشانده شده به عنوان نرم افزار قانونی یا بدافزار دیگری که به آنها امکان دسترسی به شبکه و کنترل از راه دور به سیستم را می دهد، به سیستم نفوذ کرده و آن را به خطر می اندازند. یک نقطه عطف مهم ایجاد یک ارتباط خروجی با سیستم فرماندهی و کنترل آنها است. APT ها ممکن است از تکنیک های بدافزار پیشرفته مانند رمزگذاری، مبهم سازی یا بازنویسی کد برای پنهان کردن فعالیت خود استفاده کنند.
3. گسترش دسترسی و حرکت جانبی :
مهاجمان از اولین نفوذ برای جمع آوری اطلاعات بیشتر در مورد شبکه هدف استفاده می کنند. آنها ممکن است از حملات brute force استفاده کنند یا از آسیبپذیریهای دیگری که در داخل شبکه کشف میکنند برای دستیابی به دسترسی عمیقتر و کنترل سیستمهای حساستر استفاده کنند. مهاجمان درهای پشتی اضافی را نصب میکنند و تونلهایی ایجاد میکنند که به آنها اجازه میدهند حرکت جانبی را در سراسر شبکه انجام دهند و دادهها را به دلخواه منتقل کنند.
4. صحنه سازی حمله :
هنگامی که مهاجمان حضور خود را گسترش دادند، داده ها یا دارایی هایی را که به دنبال آنها هستند شناسایی و سپس به یک مکان امن در داخل شبکه منتقل می کنند .معمولاً این مکان امن رمزگذاری و فشرده شده است تا برای نفوذ آماده شوند. این مرحله میتواند زمان بر باشد، زیرا مهاجمان همچنان به سیستمهای حساستر آسیب میزنند و دادههای خود را به ذخیرهسازی امن منتقل میکنند.
5. نفوذ یا ایجاد آسیب :
در نهایت، مهاجمان برای انتقال داده ها به خارج از سیستم آماده می شوند. آنها اغلب یک “حمله نویز سفید” مانند حمله انکار سرویس توزیع شده (DDoS) انجام می دهند تا حواس تیم های امنیتی را در حالی که آنها داده ها را به خارج از محیط شبکه منتقل می کنند، منحرف کنند. سپس مهاجمان اقداماتی را برای حذف شواهد قانونی انتقال داده انجام خواهند داد.
بسته به هدف حمله، در این مرحله گروه APT ممکن است آسیب زیادی ایجاد کند، سازمان را ضعیف کند یا دارایی های حیاتی مانند وب سایت ها یا مراکز داده را در اختیار بگیرد.
6. پیگیری حملات :
اگر حمله APT شامل استخراج داده هایی باشد که دیر شناسایی شود، مهاجمان در داخل شبکه باقی می مانند و منتظر فرصت های حمله اضافی می مانند. با گذشت زمان آنها ممکن است داده های حساس اضافی را جمع آوری کرده و روند را تکرار کنند. آنها همچنین قصد دارند درهای پشتی ایجاد کنند که تشخیص آنها دشوار است، بنابراین حتی اگر دستگیر شوند، می توانند در آینده دوباره به سیستم دسترسی پیدا کنند.
نمونه های تهدید مداوم پیشرفته
در اینجا چند نمونه از حملات مبتنی بر بدافزار APT و گروه های شناخته شده APT آورده شده است:
GhostNet : مستقر در چین، حملات توسط ایمیل های فیشینگ نیزه ای حاوی بدافزار انجام شد. این گروه با تمرکز بر دسترسی به شبکههای وزارتخانهها و سفارتها، کامپیوترها در بیش از 100 کشور را به خطر انداخت. مهاجمان ماشینهای داخل این سازمانها را به خطر انداختند، دوربینها و میکروفونهای آنها را روشن کردند و آنها را به دستگاههای نظارتی تبدیل کردند.
استاکس نت Stuxnet : کرمی که برای حمله به برنامه هسته ای ایران استفاده شد، که از طریق یک دستگاه USB آلوده تحویل و به سانتریفیوژهای مورد استفاده برای غنی سازی اورانیوم آسیب وارد کرد. استاکسنت بدافزاری است که سیستمهای SCADA (کنترل نظارتی و جمعآوری دادههای صنعتی) را مورد هدف قرار میدهد. این بدافزار توانست بدون اطلاع اپراتورهای آن، فعالیت ماشینآلات برنامه هستهای ایران را مختل کند.
Stuxnet ، نخستین کرم صنعتی جهان است که با هدف حمله سایبری به زیرساخت های حیاتی صنعت ایران، آسیب به تأسیسات هسته ای نطنز و در نهایت، تأخیر در راه اندازی نیروگاه اتمی بوشهر طراحی و منتشر شده است.
اين كرم قادر به ایجاد اخلال در تجهیزات حساس مانند تخریب سرعت چرخش روند بالا از آرایه های سانتریفیوژ و کاهش تعداد سانتریفیوژهای غنی عملیاتی، كنترل فعاليت هاي صنعتي، محدودیت دور توربین، روغن کاری و یا بستن سیستم های خنک کننده، تخریب لوله های گاز و حتی انفجار دیگ های بخار کارخانجات مختلف است.
Deep Panda : یک حمله APT علیه دفتر مدیریت پرسنل دولت ایالات متحده، احتمالاً از چین سرچشمه می گیرد. یک حمله برجسته در سال 2015 با نام رمز Deep Panda بود و بیش از 4 میلیون پرونده پرسنل ایالات متحده را به خطر انداخت که ممکن است شامل جزئیات مربوط به کارکنان سرویس مخفی باشد.
