APT چیست
یک تهدید پیشرفته و مستمر یا APT، حملهی پیچیده و مداومی است که در آن، یک مهاجم بدون اینکه شناسایی شود در یک شبکه حضور پیدا میکند تا در یک دورهی زمانی طولانی، اطلاعات حساس را به سرقت ببرد. حمله APT برای نفوذ به یک سازمان خاص، با هدف گریز از اقدامات امنیتی موجود و عدم شناسایی، به دقت برنامهریزی و طراحی میشود.
اجرای یک حمله APT نسبت به یک حملهی عادی، نیازمند سطح بالاتری از سفارشیسازی و پیچیدگی است. مهاجمان معمولاً تیمهایی از مجرمان سایبری هستند که از لحاظ مالی بهخوبی تأمین شده و سازمانهای بسیار ارزشمند را هدف قرار میدهند. آنها زمان و منابع زیادی را صرف تحقیق و شناسایی آسیبپذیریهای امنیتی یک سازمان میکنند.
اهداف APTها یا تهدیدات پیشرفته و مستمردر چهار دستهی کلی قرار میگیرد:
- جاسوسی، شامل دزدی داراییهای فکری یا اسرار دولتی
- جرایم الکترونیک برای سود مالی
- هکتیویسم[۱]
- تخریب
نحوهی کار حمله APT
برای پیشگیری، شناسایی و پاسخ به یک APT، باید ویژگیهای آن را بشناسیم. اکثر APTها چرخهی عمر یکسانی دارند که شامل نفوذ به یک شبکه، گسترش دسترسی و رسیدن به هدف حمله است؛ این هدف معمولاً دزدیدن داده از طریق استخراج آن از شبکه است.
نفوذ
در مرحلهی اول، APT از طریق یک ایمیل، شبکه، فایل یا آسیبپذیری برنامه کاربردی دسترسی پیدا میکند. یکی از نشانههای APT، ایمیل فیشینگ است که بهطور انتخابی افراد سطح بالایی مانند مدیران اجرایی ارشد یا فناوری را، با استفاده از اطلاعات بهدست آمده از دیگر اعضای تیم که دچار نقض امنیتی شدهاند، مورد هدف قرار میدهد. حملات ایمیلی که افراد بهخصوصی را هدف قرار میدهند، فیشینگ نیزهای یا Spear-Phishing نام دارند.
ممکن است به نظر برسد که ایمیل از یکی از طرف یکی از اعضای تیم بوده و شامل ارجاعی به یک پروژه باشد. اگر چندین مدیر اجرایی گزارش دهند که فریب حملات فیشینگ نیزهای را خوردهاند، باید به دنبال نشانههای دیگری از APT گشت.
تشدید و حرکت جانبی[۲]
وقتی دسترسی اولیه بهدست آمد، مهاجمان بدافزار را وارد شبکهی سازمان میکنند تا وارد مرحلهی دوم یعنی گسترش شوند. آنها به صورت جانبی حرکت میکنند تا شبکه را به خوبی شناسایی کرده و اطلاعات اعتباری مثلا حسابهای کاربری و رمزهای عبور را بدست آورند تا به اطلاعات حیاتی کسبوکار دسترسی پیدا کنند.
همچنین ممکن است یک Backdoor ایجاد کنند، طرحی که به آنها توانایی میدهد در آینده وارد شبکه شده و عملیات مخفی خود را به انجام برسانند. معمولاً نقاط ورودی بیشتری ایجاد میگردد تا از ادامهدار بودن حمله، در صورت کشف و بسته شدن یک نقطهی دارای ضعف امنیتی، اطمینان حاصل شود.
استخراج
مجرمان سایبری جهت آمادهسازی برای مرحلهی سوم، اطلاعات دزدیده شده را در محلی امن درون شبکه ذخیره میکنند تا وقتیکه دادهها به میزان کافی جمعآوری گردد، سپس دادهها را بدون شناسایی استخراج میکنند. ممکن است برای پرت کردن حواس تیم امنیتی و مشغول کردن پرسنل شبکه، هنگام استخراج دادهها، از تاکتیکهایی مثل Denial-of-Service یا DoS استفاده شود. شبکه میتواند در حالت نقض امنیتی و در معرض خطر باقی بماند تا در هر زمانی سارقان برگردند.
ویژگیهای یک حمله APT
ازآنجاییکه مهاجمین APT از تکنیکهای متفاوتی در مقایسه با هکرهای عادی استفاده میکنند، نشانههای متفاوتی را نیز از خود به جا میگذارند. علاوه بر کمپینهای فیشینگ نیزهای که رهبران سازمانها را هدف قرار میدهند، نشانههای حمله APT شامل موارد زیر است:
- فعالیت غیرعادی در حسابهای کاربران، مثل افزایش لاگینهای سطح بالا در ساعات آخر شب
- حضور گستردهتر Trojanهای Backdoor
- بستههای غیرمنتظره یا غیرعادی داده که نشاندهنده جمعآوری دادهها، جهت آماده شدن برای استخراج است.
- جریانهای غیرعادی داده مثل موارد نامعمول در دادههای خروجی یا افزایش ناگهانی یا غیرعادی در عملیات دیتابیس که شامل مقادیر زیادی از داده باشد.
مثالهایی از تهدیدات پیشرفته و مستمر
در حال حاضر بیش از ۱۵۰ مهاجم در دنیا شناسایی شدهاند و شامل مهاجمین دولتی، مجرمان الکترونیک و هکتیویستها هستند. سیستم نامگذاری مهاجمین نشاندهندهی عامل مسئولی است که از حمایت دولت بهره میبرد — «BEAR» به روسیه، «CHOLLIMA» به کرهی شمالی، «PANDA» به چین اشاره دارد. «SPIDER» برای جرایم الکترونیکی مورد استفاده قرار میگیرد که از حمایت دولت بهرهمند نیست.
در ادامه مثالهای قابلتوجهی از APTهای شناسایی شده، مطرح میگردد:
FANCY BEAR
FANCY BEAR (APT28, Sofacy) از پیامهای فیشینگ و وبسایتهای Spoofشده که بسیار شبیه به وبسایتهای حقیقی هستند استفاده میکند تا به رایانههای قدیمی و دستگاههای موبایل دسترسی پیدا کند. این مهاجم از روسیه که حداقل از سال ۲۰۰۸ به بعد عملیات انجام داده است، سازمانهای سیاسی ایالات متحده، سازمانهای نظامی اروپا و قربانیانی در بخشهای مختلف جهان را هدف قرار داده است.
GOBLIN PANDA
GOBLIN PANDA (APT27) در ابتدا در سپتامبر ۲۰۱۳ مشاهده شد، هنگامی که نشانههای حمله یا IOAها در شبکهی یک شرکت تکنولوژی، فعال در بخشهای مختلف، کشف شد. این مهاجم که در چین قرار دارد از دو سند Microsoft Word در زمینههای مربوط به آموزش استفاده میکند تا در هنگام باز شدن سند، فایلهای مخربی منتشر شود. اهداف این مهاجم معمولاً در بخشهای دفاعی، انرژی و دولتی در جنوبشرق آسیا بهخصوص ویتنام قرار دارند.
اهمیت سرعت در شناسایی تهدیدات پیشرفته و مستمر
امروز مهمترین مفهوم در امنیت سایبری، سرعت است. برای اینکه افراد بتوانند از خود دفاع کنند، باید سریعتر از مهاجم باشند. در شرکت امنپردازان کویر (APK) با استفاده از زمان شکست[۳]، پیچیدگی عملیاتی یک عامل مخرب سنجیده شده و سرعت مورد نیاز برای پاسخگویی نیز ارزیابی میگردد.
زمان شکست یا Breakout Time به زمانی که یک مهاجم پس از پیدا کردن دسترسی نیاز دارد تا حرکت جانبی خود را درون یک شبکه شروع کند؛ گفته میشود. این زمان یکی از معیارهای حیاتی برای ردیابی سرعت عملیات مهاجمان و ارزیابی زمان شناسایی و پاسخ یک تیم امنیتی است.
برای اینکه با موفقیت جلوی یک نقض امنیتی گرفته شود، یک سازمان باید تهدیدات را با بیشترین سرعت ممکن شناسایی، بررسی و رفع کند. یکی از مدلهای موجود برای اینکار، قانون ۱-۱۰-۶۰ نام دارد؛ بر مبنای این مدل یک نفوذ باید در عرض ۱ دقیقه شناسایی شود، در عرض ۱۰ دقیقه بررسی گردد و در عرض ۶۰ دقیقه کنترل و رفع گردد. این استاندارد باعث میشود که سرعت دفاع از سرعت مهاجمین بیشتر شود، اما برخی از مهاجمان ممکن است حتی سریعتر از این باشند.
در ادامه میانگین زمان شسکت عاملان تهدید اصلی امروز مطرح میشود:
عاملان تهدید | میانگین زمان شکست |
روسیه | ۰۰:۱۸:۴۹ |
کره شمالی | ۰۲:۲۰:۱۴ |
چین | ۰۴:۰۰:۲۶ |
جرم سایبری غیردولتی | ۰۹:۴۲:۲۳ |
باید در نظر داشت که زمان شسکت برای جرایم سایبری غیر دولتی در تمام گروهها، میانگین بوده و برخی از مهاجمان میتوانند بسیار سریعتر از چیزی که میانگین نشان میدهد، عمل کنند. این میانگینها به یک سازمان این توانایی را میدهد که زمان پاسخ خود را براساس نوع مهاجمانی که احتمال دارد با آنها روبهرو شود و با توجه به تمرکز کسبوکار یا تمرکز بخشی از مهاجمان خود، تنظیم کند. مثلاً اگر سازمان با یک مهاجم دولتی روس مواجه باشد، ممکن است یک نقض امنیتی اساسی زیر یک ساعت اتفاق بیفتد.
استفاده از یک راهکار EDR که به دنبال IOAها میگردد تا حملات را پیش از اینکه داده از دست رود شناسایی کند، ضروری است. شرکت امنپردازان کویر (APK) با در اختیار داشتن مجموعهای از حرفهایترین مهندسان امنیت سایبری، و پیشرفتهترین تجهیزات امنیتی، آماده ارائه خدمات امنیتی مختلف، از جمله شناسایی تهدیدات پیشرفته و مستمر یا APT است. جهت کسب اطلاعات بیشتر در این زمینه میتوانید با شماره ۰۲۱۴۲۲۳۸ تماس حاصل نمایید.
[۱] Hacktivism
[۲] Lateral Movement
[۳] Breakout Time