تهدیدات مداوم پیشرفته (APT)

تهدیدات مداوم پیشرفته (APT) حملات شبکه ای ترکیبی می باشند که در آنها از مراحل متعدد و تکنیک های مختلف حمله استفاده می شود. APTها حملاتی نیستند که در لحظه تصور یا اجرا شوند. بلکه ، مهاجمان به عمد استراتژی های حمله خود را علیه اهداف خاص برنامه ریزی می کنند و حمله را در یک دوره زمانی طولانی انجام می دهند.

در این مقاله، بینشی در مورد مفهوم APT و پنج مرحله حمله APT، از جمله دسترسی اولیه، اولین نفوذ و استقرار بدافزار ارائه شده است. همچنین نمونه هایی از APT ها مانند GhostNet و Stuxnet نیز در ادامه آورده شده است.

تهدیدات مداوم پیشرفته (APT) چیست؟

تهدید دائمی پیشرفته (APT) ، یک حمله سایبری پیچیده می باشد که توسط گروهی از عوامل تهدید حرفه ای سازماندهی شده است. APT ها حملات “Hit and Run” (ضربه و فرار ) نیستند. مهاجمان کمپین خود را با دقت علیه اهداف استراتژیک برنامه ریزی می کنند و سپس حمله را در مدت زمان طولانی انجام می دهند.

 Advanced Persistent Threat =APT

APT ها حملات ترکیبی شامل مراحل متعدد و انواع تکنیک های حمله هستند. بسیاری از بردارهای حمله متداول، در ابتدا به عنوان بخشی از یک کمپین APT با اکسپلویت های روز صفر و بدافزار، سرقت اعتبار سفارشی شده و ابزارهای حرکت جانبی به عنوان برجسته ترین نمونه ها معرفی شدند. کمپین های APT تمایل دارند چندین الگوی حمله و چندین نقطه دسترسی را شامل شوند.

اهداف مهاجم APT و پیامدهایی که سازمان ها با آن روبرو هستند عبارتند از:

  • سرقت مالکیت معنوی
  • سرقت اطلاعات محرمانه
  • سرقت اطلاعات قابل شناسایی شخصی (PII) یا سایر داده های حساس
  • خرابکاری، به عنوان مثال حذف پایگاه داده
  • تصاحب کامل سایت
  • به دست آوردن داده ها در مورد زیرساخت ها برای شناسایی اهداف
  • اخذ اعتبار سیستم های حیاتی
  • دسترسی به ارتباطات حساس یا مجرمانه


ویژگی‌های منحصر به فرد تهدیدات مداوم پیشرفته (APT) چیست؟

نشانه های زیر با قطعیت به وجود حمله APT اشاره می کنند :

  • مهاجمان :

حملات معمولاً توسط مهاجمینی با یک مأموریت خاص انجام می شود.مهاجمین یا بازیگران حمله اغلب توسط دولت های ملی یا سازمان های تحت حمایت شرکت ها حمایت می شوند. گروه‌های نمونه شامل Deep Panda، OilRig و APT28 هستند.

  • اهداف:

تضعیف قابلیت های هدف یا جمع آوری اطلاعات در یک دوره طولانی. هدف از این خرابکاری یا استخراج داده ها می تواند استراتژیک یا سیاسی باشد.

  • به موقع بودن :

حملات برای اطمینان از اینکه مهاجمان می توانند مدت زمان قابل توجهی به هدف دسترسی داشته باشندو آن را حفظ کنند تمرکز می کنند. اغلب، مهاجمان در طول مدت حمله چندین بار به یک سیستم نفوذی باز می گردند.

  • منابع:

حملات APT به منابع قابل توجهی برای برنامه ریزی و اجرا نیاز دارند.که شامل زمان، تخصص امنیت و توسعه و میزبانی است.

  • تحمل ریسک :

معمولا مهاجمان به جای حملات گسترده برروی اهداف خاصی تمرکز می کنند. همچنین مهاجمان APT بیشتر مراقب هستند که گرفتار نشوند یا رفتار مشکوکی در یک سیستم ایجاد نکنند.

  • روش‌ها:

در حملات APT اغلب از تکنیک‌های پیچیده‌ای که به تخصص امنیتی نیاز دارند استفاده می شود. این تکنیک‌ها می‌تواند شامل روت‌کیت‌ها، تونل‌سازی DNS، مهندسی اجتماعی و … باشد.

  • مبدا حمله :

حملات APT می‌توانند از مکان‌های مختلفی سرچشمه بگیرند و حتی می تواند در طول حمله‌ای که برای منحرف کردن تمرکز تیم‌های امنیتی طراحی شده است، رخ دهد. مهاجمان اغلب نقاط ضعف سیستم را قبل از انتخاب نقطه ورود به طور جامع ترسیم می کنند.

  • ارزش حمله :

ارزش حمله می تواند به اندازه هدف و یا اندازه عملیات حمله اشاره داشته باشد. سازمان‌های بزرگ بیشتر از سازمان‌های کوچک هدف APT هستند. به همین ترتیب، تعداد زیادی از انتقال داده ها معمولاً سازماندهی بیشتر مورد نیاز برای حملات APT را نشان می دهد.

  • می‌تواند ابزارهای تشخیص سنتی را دور بزند :

حملات APT معمولاً ابزارهای تشخیص سنتی را که بر تشخیص مبتنی بر امضا متکی هستند دور می‌زنند. برای انجام این کار، مهاجمان از تکنیک‌های جدید مانند بدافزارهای بدون فایل استفاده می‌کنند یا از روش‌هایی استفاده می‌کنند که آنها را قادر می‌سازد تا اقدامات خود را مبهم کنند.

تشخیص APT و اقدامات حفاظتی

APT یک حمله چند وجهی است و دفاع باید شامل چندین ابزار و تکنیک های امنیتی باشد. این شامل:

فیلتر کردن ایمیل : اکثر حملات APT از فیشینگ برای دستیابی به دسترسی اولیه استفاده می کنند. فیلتر کردن ایمیل‌ها و مسدود کردن لینک‌ها یا پیوست‌های مخرب درون ایمیل‌ها، می‌تواند این تلاش‌های نفوذ را متوقف کند.

حفاظت نقطه پایانی : همه حملات APT شامل تصاحب دستگاه های نقطه پایانی است. حفاظت پیشرفته ضد بدافزار و تشخیص و پاسخ نقطه پایانی می‌تواند به شناسایی و واکنش نسبت به به خطر افتادن یک نقطه پایانی توسط بازیگران APT کمک کند.

کنترل دسترسی : اقدامات احراز هویت قوی و مدیریت دقیق حساب‌های کاربری، با تمرکز ویژه بر حساب‌های دارای امتیاز، می‌تواند خطرات APT را کاهش دهد.

نظارت بر ترافیک، رفتار کاربر و موجودیت : می تواند به شناسایی نفوذ، حرکت جانبی و خروج در مراحل مختلف حمله APT کمک کند.



پنج مرحله حمله APT

حملات APT دارای مراحل متعددی هستند، از دسترسی اولیه توسط مهاجمان تا استخراج نهایی داده ها و حملات بعدی:

1. دسترسی اولیه :

گروه‌های APT کمپین خود را با دسترسی به یک شبکه از طریق یکی از سه سطح حمله آغاز می‌کنند: سیستم‌های مبتنی بر وب، شبکه‌ها یا کاربران انسانی. آنها معمولاً از طریق آپلودهای مخرب، جستجو و سوء استفاده از آسیب‌پذیری‌های برنامه، شکاف‌های موجود در ابزارهای امنیتی و معمولاً، فیشینگ نیزه‌ای که کارمندان دارای حساب‌های ممتاز را هدف قرار می‌دهند، دسترسی پیدا می‌کنند. در این مرحله تمرکز بر آلوده کردن هدف با نرم افزارهای مخرب می باشد.

2. اولین نفوذ و استقرار بدافزار :

پس از دسترسی، مهاجمان توسط یک تروجان پوشانده شده به عنوان نرم افزار قانونی یا بدافزار دیگری که به آنها امکان دسترسی به شبکه و کنترل از راه دور به سیستم را می دهد،  به سیستم نفوذ کرده و آن را به خطر می اندازند. یک نقطه عطف مهم ایجاد یک ارتباط خروجی با سیستم فرماندهی و کنترل آنها است. APT ها ممکن است از تکنیک های بدافزار پیشرفته مانند رمزگذاری، مبهم سازی یا بازنویسی کد برای پنهان کردن فعالیت خود استفاده کنند.

3. گسترش دسترسی و حرکت جانبی :

مهاجمان از اولین نفوذ برای جمع آوری اطلاعات بیشتر در مورد شبکه هدف استفاده می کنند. آنها ممکن است از حملات brute force استفاده کنند یا از آسیب‌پذیری‌های دیگری که در داخل شبکه کشف می‌کنند برای دستیابی به دسترسی عمیق‌تر و کنترل سیستم‌های حساس‌تر استفاده کنند. مهاجمان درهای پشتی اضافی را نصب می‌کنند و تونل‌هایی ایجاد می‌کنند که به آن‌ها اجازه می‌دهند حرکت جانبی را در سراسر شبکه انجام دهند و داده‌ها را به دلخواه منتقل کنند.

4. صحنه سازی حمله :

هنگامی که مهاجمان حضور خود را گسترش دادند، داده ها یا دارایی هایی را که به دنبال آنها هستند شناسایی و سپس به یک مکان امن در داخل شبکه منتقل می کنند .معمولاً این مکان امن رمزگذاری و فشرده شده است تا برای نفوذ آماده شوند. این مرحله می‌تواند زمان بر باشد، زیرا مهاجمان همچنان به سیستم‌های حساس‌تر آسیب می‌زنند و داده‌های خود را به ذخیره‌سازی امن منتقل می‌کنند.

5. نفوذ یا ایجاد آسیب :

در نهایت، مهاجمان برای انتقال داده ها به خارج از سیستم آماده می شوند. آنها اغلب یک “حمله نویز سفید” مانند حمله انکار سرویس توزیع شده (DDoS) انجام می دهند تا حواس تیم های امنیتی را در حالی که آنها داده ها را به خارج از محیط شبکه منتقل می کنند، منحرف کنند. سپس مهاجمان اقداماتی را برای حذف شواهد قانونی انتقال داده انجام خواهند داد.

بسته به هدف حمله، در این مرحله گروه APT ممکن است آسیب زیادی ایجاد کند، سازمان را ضعیف کند یا دارایی های حیاتی مانند وب سایت ها یا مراکز داده را در اختیار بگیرد.

6. پیگیری حملات :

اگر حمله APT شامل استخراج داده هایی باشد که دیر شناسایی شود، مهاجمان در داخل شبکه باقی می مانند و منتظر فرصت های حمله اضافی می مانند. با گذشت زمان آنها ممکن است داده های حساس اضافی را جمع آوری کرده و روند را تکرار کنند. آنها همچنین قصد دارند درهای پشتی ایجاد کنند که تشخیص آنها دشوار است، بنابراین حتی اگر دستگیر شوند، می توانند در آینده دوباره به سیستم دسترسی پیدا کنند.

نمونه های تهدید مداوم پیشرفته

در اینجا چند نمونه از حملات مبتنی بر بدافزار APT و گروه های شناخته شده APT آورده شده است:

GhostNet : مستقر در چین، حملات توسط ایمیل های فیشینگ نیزه ای حاوی بدافزار انجام شد. این گروه با تمرکز بر دسترسی به شبکه‌های وزارتخانه‌ها و سفارت‌ها، کامپیوترها در بیش از 100 کشور را به خطر انداخت. مهاجمان ماشین‌های داخل این سازمان‌ها را به خطر انداختند، دوربین‌ها و میکروفون‌های آن‌ها را روشن کردند و آنها را به دستگاه‌های نظارتی تبدیل کردند.

استاکس نت Stuxnet : کرمی که برای حمله به برنامه هسته ای ایران استفاده شد، که از طریق یک دستگاه USB آلوده تحویل و به سانتریفیوژهای مورد استفاده برای غنی سازی اورانیوم آسیب وارد کرد. استاکس‌نت بدافزاری است که سیستم‌های SCADA (کنترل نظارتی و جمع‌آوری داده‌های صنعتی) را مورد هدف قرار می‌دهد. این بدافزار توانست بدون اطلاع اپراتورهای آن، فعالیت ماشین‌آلات برنامه هسته‌ای ایران را مختل کند.

Stuxnet ، نخستین کرم صنعتی جهان است که با هدف حمله سایبری به زیرساخت های حیاتی صنعت ایران، آسیب به تأسیسات هسته ای نطنز و در نهایت، تأخیر در راه اندازی نیروگاه اتمی بوشهر طراحی و منتشر شده است.
این کرم قادر به ایجاد اخلال در تجهیزات حساس مانند تخریب سرعت چرخش روند بالا از آرایه های سانتریفیوژ و کاهش تعداد سانتریفیوژهای غنی عملیاتی، کنترل فعالیت های صنعتی، محدودیت دور توربین، روغن کاری و یا بستن سیستم های خنک کننده، تخریب لوله های گاز و حتی انفجار دیگ های بخار کارخانجات مختلف است.

Deep Panda : یک حمله APT علیه دفتر مدیریت پرسنل دولت ایالات متحده، احتمالاً از چین سرچشمه می گیرد. یک حمله برجسته در سال 2015 با نام رمز Deep Panda بود و بیش از 4 میلیون پرونده پرسنل ایالات متحده را به خطر انداخت که ممکن است شامل جزئیات مربوط به کارکنان سرویس مخفی باشد.

By |۱۴۰۱/۱۲/۲ ۷:۴۳:۰۹۱۸ام مهر, ۱۴۰۱|Categories: مقالات|Tags: , |بدون ديدگاه

با دیگران نیز به اشتراک بگذارید

Go to Top