APT یا Advanced Persistent Threat چیست؟ بررسی تهدیدات پیشرفته پایدار

APT یا Advanced Persistent Threat چیست؟

فهرست مطالب

Advanced Persistent Threat

تهدیدات پیشرفته پایدار یا APT، به تهدیدات بلند مدت، پیچیده و هدف گذاری شده در دنیای امنیت سایبری گفته می‌شود که دسترسی به شبکه توسط یک عامل نفوذی بدون اینکه شناسایی شود، فراهم شده و به مدت بیشتری در شبکه باقی می‌ماند تا بتواند اطلاعات حساس را به سرقت ببرد. اهداف تهدیدات APT  سازمان‌های خاص و دارای اطلاعات حساس است و با گریز از لایه‌های امنیتی و پنهان ماندن از دید سیستم‌های شناسایی، حضور خود در شبکه سازمان به جهت استخراج حداکثری اطلاعات تثبت می‌کند.

 چنین تهدیداتی توسط تیمی از افراد حرفه‌ای به دقت طراحی و برنامه ریزی می‌شود که همین امر شناسایی آن‌ها را سختتر می‌کند و ابزارهای رایج ضد بدافزاری را بی اثر می‌کند. به طور کلی هدف حملات APT به جای آسیب وارد کردن به شبکه سازمان، سرقت اطلاعات است. تهدیدات پیشرفته پایدار وارد شبکه هدف شده و دسترسی خود را به مدت طولانی‌تری حفظ می‌کنند.

اهداف تهدیدات پیشرفته به چهار مورد کلی تقسیم می‌شود:

  • جاسوسی و سرقت اطلاعات حساس دولتی
  • جرایم سایبری برای سود مالی
  • Hacktivism یا جرایم سایبری با اهداف سیاسی و اجتماعی
  • ایجاد خسارت

حمله APT چگونه انجام می‌شود؟

تهدیدات پیشرفته پایدار، حملات سایبری طرح ریزی شده و دقیقی هستند که شامل چندین مرحله بوده و با استفاده از تکنیک‌های متفاوتی انجام می‌شود. به طور کلی می‌تواند حملات APT را به 3 مرحله تقسیم کرد:

  1. نفوذ و دسترسی اولیه: در مرحله اول، گروه هکری دسترسی اولیه را به شبکه سازمان به دست می‌آورند. این کار معمولا توسط تکنیک‌های مهندسی اجتماعی انجام می‌شود. حتی در مرحله اول نیز گروه مهاجم به طور دقیق قربانی خود را انتخاب می‌کند و با انجام حمله Spear Phishing شخصی که دارای دسترسی بالایی در سازمان است را مورد حمله قرار می‌دهند. بدین ترتیب نفوذ به شبکه سازمان با دسترسی‌های بیشتری میسر خواهد شد.
  2. افزایش دسترسی و حرکت افقی: پس از اینکه دسترسی اولیه به سازمان برقرار شد، هکرها با تزریق بدافزار به شبکه سازمان وارد مرحله بعدی می‌شود و آن هم افزایش سطح دسترسی است. آن‌ها به حرکت افقی در شبکه سازمان ادامه می‌دهند و ضمن نقشه برداری از آن، اطلاعات حساب‌های کاربری را نیز جمع آوری می‌کنند. در این مرحله از حملات APT، گروه مهاجم به ایجاد درپشتی یا Backdoor در شبکه سازمان راه ورودی مخصوص به خود را ایجاد می‌کنند تا در صورتی که نقطه ورودی اولیه از دست خارج شد بتوانند بار دیگر به شبکه وارد شوند.
  3. استخراج: در مرحله سوم، مجرمان سایبری به هدف اصلی خود نزدیک شده‌اند، و پس از جمع‌آوری اطلاعات در یک مکان امن داخل شبکه اقدام به سرقت و استخراج آن خواهند کرد. مهاجمان می‌توانند با انجام حملات ثانویه تمرکز تیم امنیتی را از حمله اصلی منحرف کنند. برای مثال هکرها همزمان با استخراج اطلاعات اقدام به انجام حمله DDoS می‌کنند تا ترافیک خروجی خود را در بین انبوهی از گزارشات و لاگ‌ها پنهان کنند.

از چه تکنیک‌هایی استفاده می‌شود؟

گروه‌های APT از تکنیک‌ها و روش‌های مختلفی برای انجام حملات خود استفاده می‌کنند که کاملا وابسته به اهدافشان است. این تکنیک‌ها برای گرفتن دسترسی اولیه، حفظ پایداری در شبکه، ناشناس باقی ماندن و سرقت اطلاعات استفاده می‌شود. هکرها در زمان حضور در شبکه می‌توانند اقدام به بازنویسی بدافزارها با توجه به شرایط زیرساخت و ابزارهای امنیتی سازمان کنند. در واقع بدافزارهای تولید شده توسط چنین تیم‌هایی به دلیل اینکه برای سازمان هدف طراحی می‌شود، پیچیده است و از تکنیک‌های گریز از شناسایی مخصوصی استفاده می‌کنند.

  • Spear Phishing: گروه‌های APT معمولا از این روش فیشینگ برای هدف قرار دادن افرادی که دسترسی بالایی در سازمان دارند استفاده می‌کند. این حمله با دقت زیادی انجام می‌شود و احتمال موفقیت بالایی دارد.
  • Zero-day exploits: چنین گروه‌هایی از افراد متخصصی تشکیل شده‌اند که دانش برنامه نویسی، شبکه و امنیت سایبری بالایی دارند این افراد می‌توانند آسیب پذیری‌هایی در شبکه سازمان پیدا کنند و اکسپلویت‌ آن را بنویسند.
  • Watering hole attack: در این تکنیک هکرها وبسایت‌هایی توسط کارکنان سازمان مورد استفاده قرار می‌گیرد را هک می‌کند و با تزریق کدهای مخرب، سیستم قربانی را آلوده می‌کنند. از این روش برای گرفتن دسترسی اولیه استفاده می‌شود.
  • Supply chain attack: حملات زنجیره تأمین، به معنای نفوذ به تامین کنندگان سازمان است. شرکتی که سخت افزار یا نرم افزار سازمان را تامین می‌کند، در معرض حملاتی هستند که سازمان بهره‌بردار را نیز تهدید می‌کند.
  • Credential theft: استفاده از روش‌های شکستن پسورد یا کیلاگر نیز از دیگر روش‌هایی است که هکرها برای به دست آوردن اطلاعات حساب کاربری کارکنان استفاده می‌کنند.
  • Command and Control server: هکرهای بین سیستم‌های هک شده مسیرهای ارتباطی شکل می‌دهند تا ضمن مدیریت از راه دور آن‌ها، حضور خود را در شبکه سازمان تثبیت کنند.
  • Evasion strategies: یکی از مؤلفه‌های اصلی حملات APT، ناشناسی و گریز از تشخیص است. هکرها با استفاده از روش‌های متنوعی عملیاتی که در شبکه انجام می‌دهند را از دید سیستم‌های شناسایی مخفی نگه می‌دارند. این روش‌ها شامل مبهم سازی، تزریق پردازه و غیر هستند.

نمونه‌هایی از APT

تهدیدات APT توسط سازمانی که آن‌ها کشف می‌کند نام گذاری می‌شوند. اگرچه تهدیدات پیشرفته پایداری که بیش از یکبار شناسایی شده‌اند، دارای نام منحصر به فرد خود هستند. Advanced persistent threats اولین بار در دهه 2000 شناسایی شدند، در سال 2003 یک گروه چینی به اسم Titan Rain که حمله‌ای بر علیه دولت ایالات متحده برای سرقت اطلاعات حساس ترتیب داده بود اولین نمونه از تهدیدات پیشرفته پایدار هستند.

  • Gelsemium: گروه هکری که به دولت آسیای جنوب شرق نفوذ کرده بود و به مدت شش ماه از سال 2022 تا 2023 در شبکه آن‌ها حضور داشتند. این گروه از وب‌شل برای برای دسترسی به شبکه استفاده می‌کردند.
  • APT41: این گروه شرکت‌های فناوری اطلاعات را توسط بدافزارها و روت‌ کیت‌ هدف قرار داده بودند. این گروه وابسته به دولت چین که با نام Winnti شناخته می‌شود از سال 2019 تا 2021 شرکت‌های شرق آسیا، غرب اروپا و شامل آفریقا را هک کرده بودند.
  • APT37: با نام‌های Reaper، ScarCruft و Group123 شناخته می‌شوند. این گروه وابسته به دولت کره شمالی سال 2012 تشکل شده و از حملات spear phishing برای سوء استفاده از یک آسیب پذیری در Adobe Flash استفاده می‌کردند.
  • APT32: گروه APT ویتنامی که به نام‌های OceanLotus، SeaLotus و CobaltKitty نیز معروف است، از سال 2014 فعالیت خود را شروع کرده و اهداف خود را از کشورهای جنوب شرق آسیا انتخاب می‌کند.
  • APT29: گروه هکری APT روسی که به Cozy Bear معروف است، که در سال 2015 پنتاگون و کمیته ملی دموکرات را هک کرده بود.
  • APT28: گروه Fancy Bear، Pawn Storm، Sofacy Group و Sednit Gang تمام این اسم‌ها متعلق به گروه روسی دیگری است که توسط متخصصان Trend Micro شناسایی شدند. این گروه حملاتی را به دولت و نیروی نظامی کشورهای شرق اروپا انجام داده است.
  • The Skipot: این گروه از آسیب پذیری‌های Adobe Reader و Acrobat سوء استفاده می‌کردند و در سال 2006 شناسایی شدند. این گروه از بدافزار Skyipot برای آلوده کردن سیستم قربانی استفاده می‌کردند و بیشتر سازمان‌های ایالات متحده آمریکا و انگلستان را مورد حمله قرار دادند.
  • The GhostNet: یک گروه چینی دیگر که با ارسال ایمیل‌های با محتوای آلوده سیستم‌هایی از 100 کشور جهان را هک کنند. آن‌‌ها به دنبال دسترسی به شبکه‌های دولتی بودند. سیستم‌های تحت تسلط این گروه امکان ضبط صدا و تصویر وب کم را در اختیار گروه می‌گذاشت.
  • The Stuxnet: ویروس استاکس نت نیز از جمله حملات APT به شمار می‌رود. این کرم کامپیوتری به طور خاصی برای سایت‌ هسته‌ای ایران توسعه داده شده بود و به نظر کارشناسان سایبری یکی از پیچیده‌ترین بدافزارهایی است که تا به حال شناسایی شده است.

نحوه شناسایی تهدیدات پیشرفته پایدار

این تهدیدات با توجه به مفهومی که دارند سختتر از سایر تهدیدات رایج شناسایی می‌شوند. سازمان بایستی از ابزارها و سیستم‌هایی استفاده کند که امکان کشف تهدیدات APT را میسر کند. در ادامه تعدادی از نشانه‌های تهدیدات پیشرفته را با هم مرور می‌کنیم.

  • فعالیت غیر عادی در حساب‌های کاربری
  • کانکشن‌های غیر معمول بروی سیستم‌های کارکنان عادی
  • فعالیت‌های غیر عادی در پایگاه‌های داده
  • افزایش دریافت ایمیل‌های فیشینگ
  • وجود مشکوک تعداد زیادی فایل در مکان‌های غیر عادی
  • استفاده از اسکنرهای IOA و IOC

ابزارهای مؤثر در شناسایی

  • سیستم‌های مدیریت آسیب پذیری
  • امن سازی ارتباطات راه دور
  • فیلترینگ ایمیل‌های دریافتی
  • گزارش گیری حوادث و وقایع
  • مانیتورینگ مستمر ترافیک شبکه
  • استفاده از WAF ، فایروال و سیستم‌های جلوگیری از نفوذ
  • استفاده از راهکارهای امنیت نقاط پایانی پیشرفته همچون EDR

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *