Advanced Persistent Threat (APT)
مقاله
  • ۱ بهمن ۱۴۰۳
  • Cybersecurity 101
  • ۷ دقیقه خواندن

Advanced Persistent Threat (APT)

 Advanced Persistent Threat چیست؟

(Advanced Persistent Threat) APT، یک حملۀ سایبری پیچیده و طولانی‌مدت است که در آن، نفوذگران به‌طور نامحسوس، در یک شبکه حضور پیدا می‌کنند تا در یک بازۀ زمانی طولانی، داده‌های حساس را سرقت کنند. حملۀ APT، به‌دقت برنامه‌ریزی و طراحی می‌شود تا یک سازمان خاص را نفوذپذیر کند، از اقدامات امنیتی موجود عبور کند و بدون شناسایی، به فعالیت خود ادامه دهد.

اجرای حملۀ APT، در مقایسه با حمله‌های سنتی، نیازمند سطح بالاتری از سفارشی‌سازی و پیچیدگی است. مهاجمان، در این حمله‌ها به‌طور معمول، تیم‌های سرمایه‌دار و‌ باتجربه‌ای هستند که به سازمان‌های ارزشمند حمله می‌کنند. آن‌ها وقت و منابع درخور توجهی را صرف تحقیق و شناسایی آسیب‌پذیری‌های موجود در سازمان کرده و با استفاده از تکنیک‌های پیشرفته‌تر، به سیستم‌های سازمان نفوذ می‌کنند.

اهداف APT، در چهار دسته قرار دارد:

  • جاسوسی سایبری، ازجمله سرقت داده‌های محرمانه و اطلاعاتی یا اسرار دولتی
  • اهداف مالی
  • Hacktivism (حملۀ سایبری با هدفِ اعتراض و پیشبرد مقاصد سیاسی و اجتماعی)
  • تخریب هدف

مراحل سه‌گانۀ یک حملۀ APT چیست؟

برای پیشگیری، شناسایی و مقابله با یک APT، باید ویژگی‌های آن را بشناسید. بیشتر حمله‌های APT، از یک چرخۀ مشابه پیروی می‌کند که شامل نفوذ به شبکه، گسترش دسترسی و دستیابی به هدف حمله است و اغلب با سرقت و استخراج داده‌ها از شبکه، به پایان می‌رسد.

مرحلۀ اول: نفوذ

در اولین مرحله، حمله‌های APT اغلب دسترسی به سازمان را از طریق مهندسی اجتماعی به‌ دست می‌آورد. یکی از نشانه‌های حمله‌های APT، ایمیل‌فیشینگ است که به‌طور گزینشی، افراد سطح بالا مانند مدیران ارشد و رهبران فناوری را هدف قرار می‌دهد و اغلب از اطلاعات جمع‌آوری‌شده از سایر اعضای تیم که پیش‌تر مورد نفوذ قرار گرفته‌اند، استفاده می‌کند. حمله‌های ایمیلی که افراد خاصی را هدف قرار می‌دهد، «فیشینگ هدفمند» نامیده می‌شود. ممکن است به نظر برسد که ایمیل، از جانب یکی از اعضای تیم ارسال و به یک پروژۀ جاری، ارجاع داده شده باشد. اگر چند مدیر، حملۀ فیشینگ هدفمند را گزارش دهند، باید به ‌دنبال نشانه‌های دیگر حملۀ APT بگردید.

مرحلۀ دوم: ارتقای دسترسی و Lateral Movement

مهاجمان، با فراهم شدن دسترسی اولیه، بدافزاری را در شبکۀ سازمان قرار می‌دهند تا به مرحلۀ دوم (ارتقای دسترسی) برسند. آن‌ها در شبکه حرکت می‌کنند تا نقشۀ شبکه را ترسیم کنند، اطلاعات کاربران مانند نام‌های کاربری و رمزهای عبور را به دست آورند و به اطلاعات حساس سازمانی دسترسی پیدا کنند. آن‌ها همچنین، یک «Backdoor» می‌سازند (روشی که در آینده، به آن‌ها اجازه می‌دهد برای انجام عملیات، مخفیانه به شبکه نفوذ کنند). نقاط ورود اضافی، معمولاً پیاده‌سازی می‌شود تا اطمینان حاصل شود که حمله می‌تواند در‌صورت کشف و بسته شدن نقاط ورودی، ادامه داشته باشد.

مرحلۀ سوم: استخراج اطلاعات (Exflitration)

برای آماده‌سازی مرحلۀ سوم، مهاجمان سایبری معمولاً اطلاعات سرقت‌شده را در یک مکان امن درون شبکه ذخیره می‌کنند تا زمانی که داده‌های کافی جمع‌آوری شود. سپس آن‌ها را بدون شناسایی، از شبکه خارج می‌کنند. در مرحلۀ بعد، مجرمان سایبری از تاکتیک‌هایی مانند حملۀ انکار سرویس (Denial-of-Service) برای پرت کردن تمرکز تیم امنیتی و ناتوان‌سازی کارکنان شبکه، در حین استخراج داده‌ها استفاده می‌کنند. شبکه به‌صورت نفوذ‌شده باقی می‌ماند و منتظر بازگشت مهاجمان، در هر زمانی خواهد بود.

ویژگی‌های حملۀ APT

ازآنجاکه APT تکنیک‌های متفاوتی را در مقایسه با هکرهای معمولی استفاده می‌کند، نشانه‌های متفاوتی نیز از خود به جای می‌گذارد که برای شناسایی آن‌ها، به آگاهی و تخصص فنی دقیقی نیاز داریم. علاوه‌بر کمپین‌های فیشینگ هدفمند که مدیران سازمان‌ها را هدف قرار می‌دهد، نشانه‌های یک حملۀ APT شامل موارد زیر است:

  • فعالیت‌های نامعمول در حساب‌های کاربری رده‌بالا مانند افزایش ورود به سیستم، در ساعات پایانی ‌شب
  • حضور گستردۀ تروجان‌های Backdoor
  • فایل‌های حجیم داده غیرمنتظره یا نامعمول که نشانگر جمع‌آوری داده، به‌منظور استخراج باشد.
  • جریان‌های اطلاعات غیرمنتظره مانند یک‍پارچه نبودن داده‌های خروجی یا افزایش ناگهانی و نامشخص در عملیات پایگاه داده، با حجم بزرگی از داده‌ها

نمونه‌هایی از APT

CrowdStrike، در‌حال‌حاضر بیش از ۱۵۰ گروه مهاجم را در سراسر جهان ردیابی می‌کند که شامل دولت‌ها، مجرمان سایبری و هکتیویست‌ها می‌شود. در قسمت زیر، چند نمونۀ برجسته از حمله‌های APT که شناسایی شده‌اند، آورده شده است:

  • GOBLIN PANDA (APT27): این گروه برای اولین‌بار در سپتامبر ۲۰۱۳ شناسایی شد، زمانی که CrowdStrike شاخص‌هایی از حمله (IOAs)، در شبکۀ یک شرکت فناوری فعال در چندین بخش کشف کرد. این گروه چینی از دو فایل اکسپلویت مایکروسافت‌ورد با موضوعات مرتبط با آموزش استفاده می‌کند که هنگام باز شدن، فایل‌های مخرب را در سیستم قربانی نصب می‌کند.
  • FANCY BEAR (APT28): این گروه روسیه‌ای، از پیام‌های فیشینگ و وب‌سایت‌های جعلی که بسیار شبیه به وب‌سایت‌های معتبر هستند، برای دسترسی به کامپیوترها و دستگاه‌های موبایل استفاده می‌کند.
  • Cozy Bear (APT29): این گروه مهاجم روسیه‌ای که احتمالاً به نمایندگی از سرویس اطلاعات خارجی فدراسیون روسیه عمل می‌کند، از کمپین‌های فیشینگ هدفمند با حجم بالا برای انتشار انواع بدافزارها استفاده می‌کند تا سازمان‌های سیاسی، علمی و امنیت ملی در بخش‌های مختلف را هدف قرار دهد.
  • Ocean Buffalo (APT32): این گروه مهاجم ویتنامی، حداقل از سال ۲۰۱۲ فعال بوده است. این گروه، به استفاده از طیف وسیعی از تاکتیک‌ها، فنون و روش‌ها معروف است؛ از‌جمله استفاده از ابزارهای سفارشی و آماده‌، توزیع نرم‌افزارهای مخرب از طریق عملیات رخنۀ استراتژیک در وب (SWC) و ارسال ایمیل‌‌‌های فیشینگ‌ حاوی پیوست‌های مخرب.
  • Wicked Panda (APT41): یکی از فعال‌ترین و مؤثرترین مهاجمان مستقر در چین، از اواسط دهۀ ۲۰۱۰ تا اوایل دهۀ ۲۰۲۰ بوده است. Wicked Panda شامل مجموعه‌ای از گروه‌ها و تعدادی پیمانکار می‌شود که به احتمال زیاد، با تأیید ضمنی از سوی حزب کمونیست چین و برای منافع آن کار می‌کرد و در‌عین‌حال فعالیت‌های مجرمانۀ خود را انجام می‌داد.

(خارج از ترجمۀ CrowdStrike: برای آشنایی با گروه‌های APT غربی مانند Equation Group که در حمله‌های سایبری پیچیده علیه برنامه‌های هسته‌ای ایران فعالیت داشته و همچنین گروه‌هایی مانند GOSSIPGIRL و Animal Farm، می‌توانید به منابعی که لینک شده، مراجعه کنید.)

چگونه می‌توانید از خود، در برابر حمله‌های APT محافظت کنید؟

راه‌حل‌های متعددی در حوزۀ امنیت سایبری و هوش تهدید وجود دارد که به سازمان‌ها کمک می‌کند تا بهتر در برابر حمله‌های APT، از خود محافظت کنند. در ادامه، برخی از بهترین تاکتیک‌ها برای مقابله با این تهدیدها ذکر شده است:

  • پوشش حسگرها (Sensor Coverage): سازمان‌ها باید امکاناتی را فراهم کنند که به تیم‌های دفاعی‌شان اجازه ‌دهند در سراسر محیط خود، دید کاملی داشته باشند و از نقاط کوری جلوگیری کنند که ممکن است برای تهدیدهای سایبری، محل ایمنی شده باشند.
  • هوش فنی (Technical Intelligence):از هوش فنی مانند IOCs استفاده کنید و آن‌ را در یک سیستم مدیریت اطلاعات و رویدادهای امنیتی (SIEM) وارد کنید تا داده‌ها غنی‌تر شوند. این کار به شناسایی رویدادهای شبکه که ممکن است قبلاً ناشناخته باقی مانده باشند، کمک می‌کند.
  • همکاری با ارائه‌دهندگان خدمات (Service Provider): همکاری با یک شرکت امنیتی حرفه‌ای، با‌ تجربه و سابقه‌ای درخشان ضروری است. در‌صورت بروز یک تهدید سایبری پیچیده، سازمان‌ها در پاسخ‌گویی به این تهدید، به کمک نیاز دارند.
  • فایروال وب‌اپلیکیشن (WAF): دستگاه امنیتی است که از سازمان‌ها، در سطح اپلیکیشن، با فیلتر کردن، نظارت و تحلیل ترافیک HTTP و HTTPS بین وب‌اپلیکیشن و اینترنت محافظت می‌کند.
  • هوش تهدید (Threat Intelligence): به شما در تهیۀ یک پروفایل از عاملان تهدید، پیگیری کمپین و رهگیری مجموعۀ بدافزارها کمک می‌کند. امروزه، مهم‌تر از شناخت تهدید مرتبط با حمله، درک زمینۀ حمله است و در اینجا، هوش تهدید، نقش مهمی را ایفا می‌کند.
  • شکار تهدید (Threat Hunting): بسیاری از سازمان‌ها به شکار تهدید انسانی مدیریت‌شده و ۲۴ساعته در کنار فناوری‌های امنیت سایبری موجود خود، نیاز خواهند داشت. این رویکرد، به شناسایی و خنثی‌سازی تهدیدهای پیشرفته‌ای کمک می‌کند که ممکن است توسط ابزارهای خودکار شناسایی نشوند.

 

این مقاله، ترجمه‌ای از سایت CrowdStrike است.