جدول محتوا
Advanced Persistent Threat چیست؟
(Advanced Persistent Threat) APT، یک حملۀ سایبری پیچیده و طولانیمدت است که در آن، نفوذگران بهطور نامحسوس، در یک شبکه حضور پیدا میکنند تا در یک بازۀ زمانی طولانی، دادههای حساس را سرقت کنند. حملۀ APT، بهدقت برنامهریزی و طراحی میشود تا یک سازمان خاص را نفوذپذیر کند، از اقدامات امنیتی موجود عبور کند و بدون شناسایی، به فعالیت خود ادامه دهد.
اجرای حملۀ APT، در مقایسه با حملههای سنتی، نیازمند سطح بالاتری از سفارشیسازی و پیچیدگی است. مهاجمان، در این حملهها بهطور معمول، تیمهای سرمایهدار و باتجربهای هستند که به سازمانهای ارزشمند حمله میکنند. آنها وقت و منابع درخور توجهی را صرف تحقیق و شناسایی آسیبپذیریهای موجود در سازمان کرده و با استفاده از تکنیکهای پیشرفتهتر، به سیستمهای سازمان نفوذ میکنند.
اهداف APT، در چهار دسته قرار دارد:
- جاسوسی سایبری، ازجمله سرقت دادههای محرمانه و اطلاعاتی یا اسرار دولتی
- اهداف مالی
- Hacktivism (حملۀ سایبری با هدفِ اعتراض و پیشبرد مقاصد سیاسی و اجتماعی)
- تخریب هدف
مراحل سهگانۀ یک حملۀ APT چیست؟
برای پیشگیری، شناسایی و مقابله با یک APT، باید ویژگیهای آن را بشناسید. بیشتر حملههای APT، از یک چرخۀ مشابه پیروی میکند که شامل نفوذ به شبکه، گسترش دسترسی و دستیابی به هدف حمله است و اغلب با سرقت و استخراج دادهها از شبکه، به پایان میرسد.
مرحلۀ اول: نفوذ
در اولین مرحله، حملههای APT اغلب دسترسی به سازمان را از طریق مهندسی اجتماعی به دست میآورد. یکی از نشانههای حملههای APT، ایمیلفیشینگ است که بهطور گزینشی، افراد سطح بالا مانند مدیران ارشد و رهبران فناوری را هدف قرار میدهد و اغلب از اطلاعات جمعآوریشده از سایر اعضای تیم که پیشتر مورد نفوذ قرار گرفتهاند، استفاده میکند. حملههای ایمیلی که افراد خاصی را هدف قرار میدهد، «فیشینگ هدفمند» نامیده میشود. ممکن است به نظر برسد که ایمیل، از جانب یکی از اعضای تیم ارسال و به یک پروژۀ جاری، ارجاع داده شده باشد. اگر چند مدیر، حملۀ فیشینگ هدفمند را گزارش دهند، باید به دنبال نشانههای دیگر حملۀ APT بگردید.
مرحلۀ دوم: ارتقای دسترسی و Lateral Movement
مهاجمان، با فراهم شدن دسترسی اولیه، بدافزاری را در شبکۀ سازمان قرار میدهند تا به مرحلۀ دوم (ارتقای دسترسی) برسند. آنها در شبکه حرکت میکنند تا نقشۀ شبکه را ترسیم کنند، اطلاعات کاربران مانند نامهای کاربری و رمزهای عبور را به دست آورند و به اطلاعات حساس سازمانی دسترسی پیدا کنند. آنها همچنین، یک «Backdoor» میسازند (روشی که در آینده، به آنها اجازه میدهد برای انجام عملیات، مخفیانه به شبکه نفوذ کنند). نقاط ورود اضافی، معمولاً پیادهسازی میشود تا اطمینان حاصل شود که حمله میتواند درصورت کشف و بسته شدن نقاط ورودی، ادامه داشته باشد.
مرحلۀ سوم: استخراج اطلاعات (Exflitration)
برای آمادهسازی مرحلۀ سوم، مهاجمان سایبری معمولاً اطلاعات سرقتشده را در یک مکان امن درون شبکه ذخیره میکنند تا زمانی که دادههای کافی جمعآوری شود. سپس آنها را بدون شناسایی، از شبکه خارج میکنند. در مرحلۀ بعد، مجرمان سایبری از تاکتیکهایی مانند حملۀ انکار سرویس (Denial-of-Service) برای پرت کردن تمرکز تیم امنیتی و ناتوانسازی کارکنان شبکه، در حین استخراج دادهها استفاده میکنند. شبکه بهصورت نفوذشده باقی میماند و منتظر بازگشت مهاجمان، در هر زمانی خواهد بود.
ویژگیهای حملۀ APT
ازآنجاکه APT تکنیکهای متفاوتی را در مقایسه با هکرهای معمولی استفاده میکند، نشانههای متفاوتی نیز از خود به جای میگذارد که برای شناسایی آنها، به آگاهی و تخصص فنی دقیقی نیاز داریم. علاوهبر کمپینهای فیشینگ هدفمند که مدیران سازمانها را هدف قرار میدهد، نشانههای یک حملۀ APT شامل موارد زیر است:
- فعالیتهای نامعمول در حسابهای کاربری ردهبالا مانند افزایش ورود به سیستم، در ساعات پایانی شب
- حضور گستردۀ تروجانهای Backdoor
- فایلهای حجیم داده غیرمنتظره یا نامعمول که نشانگر جمعآوری داده، بهمنظور استخراج باشد.
- جریانهای اطلاعات غیرمنتظره مانند یکپارچه نبودن دادههای خروجی یا افزایش ناگهانی و نامشخص در عملیات پایگاه داده، با حجم بزرگی از دادهها
نمونههایی از APT
CrowdStrike، درحالحاضر بیش از ۱۵۰ گروه مهاجم را در سراسر جهان ردیابی میکند که شامل دولتها، مجرمان سایبری و هکتیویستها میشود. در قسمت زیر، چند نمونۀ برجسته از حملههای APT که شناسایی شدهاند، آورده شده است:
- GOBLIN PANDA (APT27): این گروه برای اولینبار در سپتامبر ۲۰۱۳ شناسایی شد، زمانی که CrowdStrike شاخصهایی از حمله (IOAs)، در شبکۀ یک شرکت فناوری فعال در چندین بخش کشف کرد. این گروه چینی از دو فایل اکسپلویت مایکروسافتورد با موضوعات مرتبط با آموزش استفاده میکند که هنگام باز شدن، فایلهای مخرب را در سیستم قربانی نصب میکند.
- FANCY BEAR (APT28): این گروه روسیهای، از پیامهای فیشینگ و وبسایتهای جعلی که بسیار شبیه به وبسایتهای معتبر هستند، برای دسترسی به کامپیوترها و دستگاههای موبایل استفاده میکند.
- Cozy Bear (APT29): این گروه مهاجم روسیهای که احتمالاً به نمایندگی از سرویس اطلاعات خارجی فدراسیون روسیه عمل میکند، از کمپینهای فیشینگ هدفمند با حجم بالا برای انتشار انواع بدافزارها استفاده میکند تا سازمانهای سیاسی، علمی و امنیت ملی در بخشهای مختلف را هدف قرار دهد.
- Ocean Buffalo (APT32): این گروه مهاجم ویتنامی، حداقل از سال ۲۰۱۲ فعال بوده است. این گروه، به استفاده از طیف وسیعی از تاکتیکها، فنون و روشها معروف است؛ ازجمله استفاده از ابزارهای سفارشی و آماده، توزیع نرمافزارهای مخرب از طریق عملیات رخنۀ استراتژیک در وب (SWC) و ارسال ایمیلهای فیشینگ حاوی پیوستهای مخرب.
- Wicked Panda (APT41): یکی از فعالترین و مؤثرترین مهاجمان مستقر در چین، از اواسط دهۀ ۲۰۱۰ تا اوایل دهۀ ۲۰۲۰ بوده است. Wicked Panda شامل مجموعهای از گروهها و تعدادی پیمانکار میشود که به احتمال زیاد، با تأیید ضمنی از سوی حزب کمونیست چین و برای منافع آن کار میکرد و درعینحال فعالیتهای مجرمانۀ خود را انجام میداد.
(خارج از ترجمۀ CrowdStrike: برای آشنایی با گروههای APT غربی مانند Equation Group که در حملههای سایبری پیچیده علیه برنامههای هستهای ایران فعالیت داشته و همچنین گروههایی مانند GOSSIPGIRL و Animal Farm، میتوانید به منابعی که لینک شده، مراجعه کنید.)
چگونه میتوانید از خود، در برابر حملههای APT محافظت کنید؟
راهحلهای متعددی در حوزۀ امنیت سایبری و هوش تهدید وجود دارد که به سازمانها کمک میکند تا بهتر در برابر حملههای APT، از خود محافظت کنند. در ادامه، برخی از بهترین تاکتیکها برای مقابله با این تهدیدها ذکر شده است:
- پوشش حسگرها (Sensor Coverage): سازمانها باید امکاناتی را فراهم کنند که به تیمهای دفاعیشان اجازه دهند در سراسر محیط خود، دید کاملی داشته باشند و از نقاط کوری جلوگیری کنند که ممکن است برای تهدیدهای سایبری، محل ایمنی شده باشند.
- هوش فنی (Technical Intelligence):از هوش فنی مانند IOCs استفاده کنید و آن را در یک سیستم مدیریت اطلاعات و رویدادهای امنیتی (SIEM) وارد کنید تا دادهها غنیتر شوند. این کار به شناسایی رویدادهای شبکه که ممکن است قبلاً ناشناخته باقی مانده باشند، کمک میکند.
- همکاری با ارائهدهندگان خدمات (Service Provider): همکاری با یک شرکت امنیتی حرفهای، با تجربه و سابقهای درخشان ضروری است. درصورت بروز یک تهدید سایبری پیچیده، سازمانها در پاسخگویی به این تهدید، به کمک نیاز دارند.
- فایروال وباپلیکیشن (WAF): دستگاه امنیتی است که از سازمانها، در سطح اپلیکیشن، با فیلتر کردن، نظارت و تحلیل ترافیک HTTP و HTTPS بین وباپلیکیشن و اینترنت محافظت میکند.
- هوش تهدید (Threat Intelligence): به شما در تهیۀ یک پروفایل از عاملان تهدید، پیگیری کمپین و رهگیری مجموعۀ بدافزارها کمک میکند. امروزه، مهمتر از شناخت تهدید مرتبط با حمله، درک زمینۀ حمله است و در اینجا، هوش تهدید، نقش مهمی را ایفا میکند.
- شکار تهدید (Threat Hunting): بسیاری از سازمانها به شکار تهدید انسانی مدیریتشده و ۲۴ساعته در کنار فناوریهای امنیت سایبری موجود خود، نیاز خواهند داشت. این رویکرد، به شناسایی و خنثیسازی تهدیدهای پیشرفتهای کمک میکند که ممکن است توسط ابزارهای خودکار شناسایی نشوند.
این مقاله، ترجمهای از سایت CrowdStrike است.