تهدیدات پیشرفته مستمر Advanced Persistent Threat(APT) چیست؟

آنچه که خواب شب را از چشم متخصصان امنیت سایبری سازمان‌ها می‌رباید، این است که حملات سایبری از تعداد بی شماری تکنیک جهت سرقت اطلاعات ارزشمند سازمانشان استفاده می‌کنند.

تهدیدات پیشرفته مستمر (APT) بازیگر اصلی حملات به سازمان‌های دولتی و زیرمجموعه‌هایشان هستند. در این نوع حملات یک دسترسی غیر مجاز به شبکه کامپیوتری ایجاد می‌شود. دسترسی ایجاد شده معمولاً به مدت طولانی به صورت پنهان ادامه یافته و به مهاجم اجازه حضور طولانی مدت در شبکه را می‌دهد. اخیراً این عبارت برای حملات مشابه به سازمان‌های غیر دولتی ولی بزرگ مقیاس نیز به کاربرده می‌شود.

همانگونه که از کلمه پیشرفته در عبارت تهدیدات پیشرفته مستمر بر می‌آید. این گونه حملات شامل تکنیک‌های هک است که، به صورت مخفیانه مداوم وپیچیده ای، برای دسترسی و استقرار در سیستمهای کامپیوتری با عواقب آسیب زای احتمالی طراحی و توسعه داده می‌شوند.

مفهموم تهدیدات پیشرفته مستمر APT

همان‌گونه که از نام این تهدیدات برمی‌آید در سه ویژگی موردبررسی قرار می‌گیرند:

تهدید

یک تهدید هستند زیرا هم از توانایی و هم از انگیزه کافی برخوردار هستند. حملات APT برخلاف بسیاری دیگر از حملات با اقدامات برنامه‌ریزی‌شده انسانی عمل می‌کنند نه کدهای بی‌فکر از پیش برنامه‌ریزی‌شده. عاملین حمله هدفمند، ماهر، باانگیزه، سازمان‌دهی شده، و دارای بودجه خوبی هستند.

پیشرفته

عاملین پشت این حملات به طیف گسترده‌ای از تکنیک‌ها و ابزارهای گردآوری اطلاعات دسترسی دارند. این امکانات ممکن است؛ نرم‌افزارهای موجود در بازار یا فن‌آوری‌های منبع باز کامپیوتری و یا دارایی‌های محرمانه دولتی باشند.

این در حالی است که تک‌تک اجزای تشکیل‌دهنده حمله؛ ممکن است به‌تنهایی به‌عنوان توسعه‌یافته شده، به‌حساب نیایند. ولی عاملین حمله معمولاً از ابزارها، روش‌ها و تکنیک‌های ترکیبی برای نفوذ و حفظ موقعیت در شبکه هدف استفاده می‌کنند.

در برخی از موارد ممکن است مهاجمان تمرکز خود را نسبت به اهداف کمتر پیشرفته نشان دهند. دلیل این کار ممکن است؛ تلاش برای ورود به یک شبکه پیشرفته از طریق زنجیره تامین باشد.

مستمر

مهاجمان این‌گونه حملات معمولا اهداف مشخص‌تری؛ نسبت به جستجوی شانسی اطلاعات بازرگانی یا موارد این‌چنینی دارند. این تمایز نشان از انگیزه قوی‌تر مهاجمان این‌گونه حملات است.

قربانی حمله به‌صورت مستمر در معرض پایش و مداخله قرار می‌گیرد. تا زمانیکه مهاجم امکان دستیابی به اهدافش را فراهم نماید.

این موضوع به معنی حمله پی‌درپی و به‌روزرسانی بدافزارها نیست. بلکه معمولاً در این‌گونه حملات یک رویکرد آهسته و پیوسته بیشتر با موفقیت همراه است. اگر عاملین حمله به هر دلیلی دسترسی خود را به سوژه از دست بدهند؛ به هر شکل ممکن سعی می‌کنند، مجدداً به سیستم دسترسی پیدا کنند. هدف اصلی مهاجم در این نوح تهدیدات دسترسی طولانی‌مدت به هدف است.

سطوح تهدیدات مستمر هدفمند APT

به دلیل زحمت بالایی که چنین حملاتی می‌طلبند؛ حملات APT معمولاً اهداف سطح بالا در ادارات دولتی یا شرکت‌های خصوصی بزرگ را مورد هدف قرار می‌دهند.

عمده هدف این نوع حملات سرقت اطلاعات در بازه‌های زمانی طولانی است. برخلاف حملات معمول هکرهای کلاه سایه که ورود و خروج سریعی به دستگاه‌ها دارند.

اگرچه گفته‌شده که معمولاً کسب‌وکارهای بزرگ درگیر APT می‌شوند. تهدیدات پیشرفته مستمر نوعی از حمله است که همه کسب‌وکارها حتماً باید به آن هشیار باشند. حتی کسب‌وکارهای کوچک و متوسط؛

عوامل APT در حال افزایش حملات به کسب‌وکارهای کوچک‌تر هستند. این بنگاه‌ها که تأمین‌کننده سازمان‌های دولتی و یا شرکت‌های بزرگ‌ترند. معمولاً از بنیه دفاع سایبری ضعیف‌تری نسبت به شرکت‌های بزرگ برخوردارند. و اهداف ساده‌تری به‌حساب می‌آیند.

پنج مرحله حملات پایدار و پیشرفته

هکرها باهدف دسترسی دائمی به سیستم‌های کامپیوتری معمولاً ۵ مرحله زیر را اجرا می‌کنند:

مرحله اول کسب دسترسی

مانند سارقی که درب منزل را با روش مختص خود باز می‌کند. مجرمان سایبری نیز معمولاً یک شبکه را، با استفاده از یک فایل آلوده، هرزنامه یا یک حفره امنیتی در یک نرم‌افزار برای وارد نمودن بدافزار خود مورد هدف قرار می‌دهند.

مرحله دوم تثبیت جایگاه

مجرمین امنیتی بدافزارهایی را در سیستم کارگذاری می‌کنند که برایشان به‌اصطلاح در پشتی و تونل‌هایی در شبکه قربانی ایجاد می‌کنند. تا به‌وسیله آن‌ها بتوانند به‌صورت پنهانی به هرکجا سرک بکشند.

بدافزارها معمولاً از شیوه بازنویسی کدها برای کمک به استتار رد پای هکرها استفاده می‌کنند.

مرحله سوم تعمیق دسترسی

زمانی که در سیستم به جایگاه تثبیت‌شده خود رسیدند. با استفاده از روش‌هایی مثل شکستن رمز ورود تلاش می‌کنند دسترسی ادمین را کسب کنند و بتوانند کنترل بیشتر روی سیستم پیدا کنند

مرحله چهارم حرکت افقی

با در اختیار داشتن دسترسی ادمین هکرها می‌توانند به همه‌جا سرک بکشند همچنین قادرند برای دسترسی به سایر سرورها و بخش‌های امنیتی شبکه اقدام نمایند.

مرحله پنجم نظارت یادگیری و تثبیت استقرار

از درون شبکه هکرها شناخت کاملی از نحوه عملکرد و آسیب‌پذیری‌هایش را پیدا می‌کنند که به آن‌ها اجازه استخراج اطلاعات موردنظرشان را می‌دهد.

هکرها معمولاً قادر به اجرای این فرآیند بعد از نفوذ به‌صورت مادام یا تا زمانی که به اهداف خود دست یابند هستند و معمولاً درِ پشتی را برای دفعات بعد باز می‌گذارند

نقش عوامل انسانی در حملات APT

به دلیل اینکه دفاع امنیت سایبری شرکت‌های بزرگ از کاربران خانگی بسیار قوی‌تر است روش حمله به آنان نیز غالباً نیازمند یک بازیگر از درون را برای کسب اطلاعات حیاتی و حساس از درون سازمان را دارد

البته این بدان معنی نیست که کارکنان لزوماً به‌صورت آگاهانه با مجرمین همکاری می‌کنند مهاجمان معمولاً با روش مهندسی اجتماعی آنان را مورد حملات فیشینگ قرار می‌دهند.

خطر تکرار حملات

مهم‌ترین خطرAPTدر این است که اگر نفوذ آن‌ها در لحظه مشخص شود و به نظر برسد که حمله متوقف یا برطرف شده است و هنوز احتمال دارد که مجرمین چند تونل برای استفاده‌های بعدی خود ایجاد کرده باشند. به‌اضافه اینکه روش‌های دفاعی متداول مانند آنتی‌ویروس و فایروال معمولاً قادر به شناسایی این‌گونه حملات نیستند

مجموعه‌ای از نماگرهای چندگانه موجود در راهکارهای امنیتی پیچیده مثل امنیت سازمانی کسپرسکی Kaspersky Enterprise Security به همراه کارکنان آموزش‌دیده و آگاه از چگونگی حملات مهندسی اجتماعی در کنار هم می‌توانند؛ شانس موفقیت در دفاع و پیشگیری ازاین‌گونه حملات را افزایش دهند.

پارس تدوین