APT (حملات پیشرفته مستمر) چیست؟

APT (حملات پیشرفته مستمر) چیست؟

حملات پیشرفته مستمر (APT)، حملات پیچیده و مداومی است که در آن، یک هکر بدون شناسایی شدن، وارد یک شبکه می‌شود تا در یک دوره‌ی زمانی طولانی، بتواند اطلاعات حساس درون سیستم را به سرقت ببرد. حملات APT، برای نفوذ به یک سازمان، با هدف دور زدن (Bypass) موارد امنیتی موجود، بدون شناسایی شدن و به دقت برنامه‌ریزی و طراحی می‌شود.

اجرای حملات پیشرفته مستمر (APT) نسبت به یک حمله‌ی عادی، نیازمند سطح بالاتری از دقت و پیچیدگی است. هکرها معمولاً تیم‌هایی از مجرمان سایبری هستند که سازمان‌های بسیار ارزشمند را هدف قرار می‌دهند. این افراد، برای تحقیق و شناسایی آسیب‌پذیری‌های امنیتی در سازمان، زمان و منابع زیادی را صرف می‌کنند.

این نوع از حملات یکی از مواردی است که در عملیات تیم قرمز، به آن پرداخته می‌شود و بهتر است قبل از ادامه بحث، با تیم قرمز آشنا شوید. پس پیشنهاد می‌کنیم مقاله تیم قرمز چیست؟ را حتما مطالعه بفرمایید.

اهداف APT (حملات پیشرفته مستمر) کدامند؟

هر حمله APT با هدف خاصی در یک سازمان اجرا می‌شود. این اهداف معمولا شامل موارد زیر هستند:

1. حذف بانک اطلاعاتی 
2. حمله به سیستم با هدف تخریب
3. سرقت اطلاعات کاربران یا افراد سازمان
4. تخریب بدون سروصدا و قابلیت شناسایی
5. دسترسی به اطلاعات محرمانه و حساس
6. جرایم الکترونیک که با هدف سود مالی هستند
7. هکتیویسم (Hacktivism)، یا فعالیت‌های حاد و شدید در اینترنت
8. حملات جاسوسی که شامل دزدی‌ها از دارایی، اطلاعات و یا اسرار دولتی می‌شوند

گروه حملات پیشرفته مستمر (APT) پس از ورود، طیف گسترده‌ای از روش‌ها را برای سرقت اطلاعات ارزشمند، یا دریافت باج و خرابکاری‌های عمومی (مانند خاموش کردن شبکه‌های برق دشمن) به کار می‌گیرند. به عبارتی دیگر، گروه APT یا (Advanced Persistent Threat) غالبا به سازمان‌هایی اطلاق می‌شود که به دارایی‌های اطلاعاتی و امنیت ملی یک کشور یا به اعتبار اقتصادی آن‌ها، از طریق خرابکاری سایبری، حمله می‌کنند.

اما APT‌ها تنها کشورهای دشمن را مورد هدف قرار نمی‌دهند. شرکت‌های بزرگ نیز هدف اصلی برخی از گروه‌های APT خاص هستند. این نکته در APT (حملات پیشرفته مستمر) مهم است که قبل از رخنه کردن آن‌ها در سیستم، جلوی این حملات را بگیرید.

نحوه‌ی کار APT (حملات پیشرفته مستمر)

برای پیشگیری و پاسخ به یک APT، باید ابتدا ویژگی‌های اصلی آن را بشناسیم. اکثر APTها چرخه‌ی عمر یکسانی دارند که شامل مواردی نظیر: نفوذ به یک شبکه، گسترش دسترسی و رسیدن به هدف است. این اهداف، معمولاً دزدیدن اطلاعات و خارج کردن آن‌ها از شبکه و سیستم است. در ادامه به مراحل مختلف می‌پردازیم:

مرحله اول: ورود یا نفوذ APT (حملات پیشرفته مستمر)

در این مرحلهAPT با استفاده از نقاط آسیب‌پذیری، ایمیل‌ها و یا یک فایل به سیستم دسترسی پیدا می‌کند. یکی از علائم APTها، ایمیل‌های فیشینگ است که با استفاده از اطلاعات به‌دست آمده از افرادی که دچار مشکل امنیتی بودند، اشخاص مهم سازمان‌ها مانند مدیران ارشد را، مورد هدف قرار می‌دهد.

مرحله دوم: حرکات جانبی

در این مرحله، هکرها با وارد کردن بدافزار به سیستم و شبکه سازمان، وارد مرحله‌ی بعد یعنی گسترش (حرکات جانبی) می‌شوند. این افراد برای شناسایی شبکه، به صورت جانبی حرکت می‌کنند تا اطلاعات اعتباری مانند حساب‌های کاربری و همچنین رمزهای عبور را بدست آورند، که در نهایت به اطلاعات حیاتی سازمان دسترسی پیدا کنند. همچنین می‌توانند طرحی اجرا کنند که در آینده بتوانند وارد شبکه شده و عملیات مخفی خود را به انجام دهند. این راهکار برای ادامه‌دار بودن حمله، در صورت بسته شدن نقاط آسیب‌پذیری استفاده می‌شود. درواقع این عمل برای تثبیت دسترسی به سیستم مورد هدف، انجام می‌شود.

مرحله پایانی: استخراج APT (حملات پیشرفته مستمر)

این هکرهای سایبری، با ذخیره‌سازی اطلاعات سرقت‌شده در محلی امن درون شبکه، بعد از جمع‌آوری اطلاعات در حد نیاز، آن‌ها را بدون شناسایی استخراج می‌کنند. در این حین، ممکن است برای مشغول کردن تیم امنیتی سازمان، هنگام خارج کردن اطلاعات، از تاکتیکی مثل Denial-of-Service استفاده کنند. در این صورت شبکه یا سیستم، تا وقتی که هکرها دوباره قصد حمله به آن‌ را داشته باشند، با آسیب‌پذیری امنیتی باقی خواهد ماند.

مقاله پیشنهادی برای مطالعه

امنیت سایبری چیست؟ (حقایق آن در سال 2022)

ویژگی‌های حملات APT (حملات پیشرفته مستمر)

با توجه به این مورد که هکرهای حملات پیشرفته مداوم (APT)، در مقایسه با دیگر هکرها از تکنیک‌های متفاوتی استفاده می‌کنند، بنابراین موارد مختلفی هم به عنوان نشانه‌، از خود باقی می‌گذارند. علاوه بر کمپین فیشینگ که پیش‌تر به آن اشاره کردیم، دیگر نشانه‌های حملات APT عبارتند از:

1. طراحی بیشتر تروجان‌های هکری مانند Backdoor
2. جمع‌آوری اطلاعات سرقت شده که قرار است به صورت یکجا از سیستم خارج شوند
3. فعالیت‌های مختلف در حساب کاربران، مانند افزایش ورودها به سیستم در ساعات آخر شب

نمونه‌هایی از عملیات‌ APT (حملات پیشرفته مستمر)

عملیات APT33

• پایگاه عملیاتی ادعای شده: ایران
• اهداف: صنعت هوافضا، صنعت انرژی

گروه APT33 در گذشته به شرکت‌های بزرگ با دفتر مرکزی در ایالات متحده آمریکا، عربستان سعودی یا کره جنوبی حمله کرده است. این گروه در گذشته در صنایع مختلف فعالیت می‌کرد، اما در همان زمان علاقه خاصی به صنعت هواپیمایی نظامی، تجاری و همچنین شرکت‌هایی از بخش انرژی که در ساخت محصولات پتروشیمی فعالیت دارند، نشان داد. بدافزار مورد استفاده این گروه: SHAPESHIFT، DROPSHOT، TURNEDUP، NANOCORE، NETWIRE، ALFA Shell

مسیر حمله گروه APT33، ایمیل‌های فیشینگ هدفمند که برای کارمندان شرکت‌های صنعت هواپیمایی ارسال می‌کرد. این ایمیل‌های جعلی، به عنوان آگهی‌های استخدام ارسال شده و حاوی پیوندهایی به پرونده‌های مخرب HTA بودند. این پرونده‌های HTA حاوی پیشنهادات شغلی و لینک برای آشنایی با موقعیت شغلی در سامانه‌های کاریابی معروف بود که به موقعیت گیرندگان مربوط می‌شد.

عملیات APT37

• پایگاه عملیاتی ادعا شده: کره شمالی

هدف حمله این گروه هکری، در وهله اول شرکت‌های کره جنوبی هدف این حملات بودند، اما کشور‌های ژاپن، ویتنام و منطقه خاورمیانه نیز در ادامه از این حملات متاثر شدند. این حملات به صنایع مختلفی از جمله شیمیایی، الکترونیکی، ساخت، هوافضا، خودرو و مراقبت‌های بهداشتی صورت گرفته است.

تجزیه و تحلیل ما از فعالیت‌های اخیر گروه هکری APT37، نشان می‌دهد که حملات این گروه گسترده‌تر و پیچیده‌تر شده و هکرها اکنون حملات صفر روزه (zero-day exploits) دارند. با توجه به اهداف حمله و برخی از آثاری که سازندگان در بدافزار به جا گذاشته‌اند، اکنون کاملا مطمئنیم که فعالیت APT37 به نمایندگی از دولت کره شمالی انجام گرفته است. FireEye Intelligence بر اساس شواهد و دلایل، بر این باور است که APT37 مسئول حملاتی است که تحت نام‌های Scarcruft و Group123 انجام و گزارش شده است.

 بدافزار مورد استفاده این گروه هکری، از انواع مختلف بدافزار برای نفوذ به شبکه‌ها و محیط‌های IT و جهت‌دهی به اطلاعات است. علاوه بر این، برنامه‌های مخرب ویژه جاسوسی سایبری، این گروه برنامه‌های حذف و سایر ابزارهای خرابکارانه را نیز در اختیار دارد.

مسیر حمله این گروه، از تاکتیک‌های مهندسی اجتماعی هماهنگ شده برای قربانیان مربوطه است. حملات وب استراتژیک معمولی را برای عملیات جاسوسی هدفمند انجام می‌دهند و بدافزار خود را در سطح وسیعی از طریق وب‌سایت‌های اشتراک فایل آلوده پخش می‌کند. همچنین هکرها معمولا از بخش‌های آسیب‌پذیر با نام Hangul (HWP) و Adobe Flash سوءاستفاده می‌کنند. ما شواهدی داریم یزاس اینکه آن‌ها از آسیب‌پذیری‌های حملات صفر روزه آگاه هستند (مانند CVE-2018-0802) و می‌توانند از این موارد، در یک حمله استفاده کنند.

شما می‌توانید با مطالعه مقاله مهندسی اجتماعی (Social Engineering) چیست؟ در خصوص این مفهوم اطلاعات بیشتری کسب کنید

گروه هکری APT29

• پایگاه عملیاتی ادعایی: دولت روسیه
• هدف: دولت‌های اروپای غربی، گروه‌های لابی سیاست خارجی و سازمان‌های مشابه

گروه هکری APT29، یک گروه مهاجم سازگار و منضبط است که فعالیت‌های خود را در شبکه قربانی پنهان می‌کند، اطلاعات را به ندرت منتقل می‌کند و داده‌های خارج شده را به عنوان ترافیک قانونی پنهان می‌کند. این گروه همچنین می‌تواند از اتصالات رمزگذاری شده SSL از طریق وب سرویس‌های قانونی رایج استفاده کند، که تشخیص حملات آن‌ها را دشوارتر می‌کند. گروه APT29 یکی از سازمان یافته‌ترین و باهوش‌ترین گروه‌های هک در جهان است.

این گروه، همچنین بدافزار‌های backdoors را به منظور رفع اشکالات موجود در بدافزار خود، پیاده‌سازی کرده و توانسته است قابلیت‌های جدیدی را از این طریق به آن اضافه کند. این برنامه همچنین اقدامات امنیتی و فعالیت‌های اپراتورهای قانونی را رصد می‌کند تا بتواند کنترل سیستم‌هایی که به آن نفوذ کرده است را حفظ کند. گروه APT29 از طریق سرورهای هک شده کل ارتباطات CnC را کنترل می‌کند و از این طریق، تمام اقدامات انجام شده از سوی هدف، برای پایان حمله را خنثی می‌کند. بدافزار مورد استفاده این گروه HAMMERTOSS، TDISCOVER، UPLOADER هستند.

گروه APT29 از شبکه‌های اجتماعی مانند Twitter یا GitHub و همچنین خدمات ذخیره‌سازی ابری برای هدایت دستورات و انتقال اطلاعات از شبکه‌های نفوذی استفاده می‌کند و در واقع مسیر حمله آن‌ها این راه است. برای انجام این کار، دستورات رمزگذاری شده، در تصاویر جاسازی می‌شوند. سپس اطلاعات استخراج شده در بخش قبل، در سرویس‌های ذخیره‌سازی ابری آپلود (بارگزاری) می‌شوند.

عملیات APT28

این گروه به عنوان تیم تزار (Tsar Team) نیز شناخته می‌شوند که پایگاه عملیاتی ادعایی آن‌ها نیز، دولت روسیه است. اهداف این گروه، شامل قفقاز، به ویژه گرجستان، کشورهای اروپای شرقی و نیروهای مسلح، ناتو و سایر سازمان‌های امنیتی اروپایی و شرکت‌های تسلیحاتی هستند.

پشت APT28 تیم مهمی از توسعه‌دهندگان و هکرها قرار دارند که اطلاعات مربوط به نیروهای مسلح و مسائل ژئوپلیتیک را جمع آوری می‌کنند. این داده‌ها، اطلاعاتی هستند که تنها برای دولت‌ها اهمیت دارند نه افراد عادی. این گروه APT (حملات پیشرفته مستمر) با استفاده از بدافزار خود، با گزینه‌هایی به زبان روسی در ساعات کاری عادی (8:00 صبح تا 6:00 بعد از ظهر) در مناطق مسکو، سن پترزبورگ و دیگر شهرهای بزرگ روسیه، اطلاعاتی را گردآوری می‌کند. این کار نشان می‌دهد که گروه APT28 از یک سازمان معتبر، که به احتمال زیاد دولت روسیه است، به طور مداوم از حمایت مالی و سایر حمایت‌ها برخوردار است.

بدافزار مورد استفاده این گروه شامل CHOPSTICK، SOURFACE هستند. گروه APT28 اغلب از نرم‌افزار مدیریت دانلود SOURFACE، برنامه جاسوسی دو مرحله‌ای خود با نام EVILTOSS و یا یک سری برنامه کاشت ماژولار با نام CHOPSTICK را استفاده می‌کند. این گروه برای محافظت از پرونده‌ها و اطلاعاتی که از شبکه قربانی به کنترل‌کننده منتقل شده است، از روش رمزنگاری RSA استفاده می‌کنند. از سال 2007، تغییرات سیستماتیک به تدریج در برنامه مدیریت دانلود SOURFACE و محیط آن اعمال شده که این امر، نشان‌دهنده کار توسعه یافته و بلند مدت است.

یگان 8200

هدف این گروه هکری، منطقه خاورمیانه بود. این واحد، یک واحد اطلاعاتی وابسته به نیروهای دفاعی کشور اسرائیل است که مسئول جمع‌آوری اطلاعات سیگنال (SIGINT) یا به عبارت بهتر، جاسوسی سیگنال و رمزگشایی کد است. نشریات نظامی از یگان 8200 به عنوان یگان جمع‌آوری اطلاعات مرکزی ارتش جاسوسی یاد می‌کنند. از این واحد گاهی با عنوان یگان اطلاعات ارتش رژیم صهیونیستی (ISNU) نیز یاد می‌شود. این یگان در واقع، زیرمجموعه نهاد اطلاعاتی ارتش اسرائیل (AMAN) است.

یگان 8200 در درجه اول از افراد 18 تا 21 ساله تشکیل شده است. به علت جوان بودن سربازان و کوتاه بودن دوره خدمت آن‌ها، این واحد به انتخاب نیروهایی با توانایی سازگاری سریع و یادگیری بالا متکی است. آموزش‌های بعد از مدرسه برای نوجوانان 16-18 ساله، آموزش مهارت‌های رمزگذاری و هک کامپیوتر در این قسمت، برای آمادگی نوجوانان توسط این واحد انجام می‌شود. سربازان یگان 8200 پس از اتمام خدمت سربازی، به تاسیس و و دریافت موقعیت‌های عالی در بسیاری از شرکت‌های بین‌المللی فعال در حوزه IT و یا حتی سیلیکون ولی (Silicon Valley)دست خواهند یافت.

به گفته مدیر علوم نظامی در موسسه Royal United Services، “یگان 8200 احتمالاً برجسته ترین آژانس اطلاعات فنی در جهان است و در همه موارد به جز اندازه و مقیاس، با آژانس امنیت ملی آمریکا (NSA) هم تراز است. بدافزار مورد استفاده این گروه هکری، stuxnet، Duqu، Duqu 2.0 بود.

گروه معادله (Equation)

گروه معادله، متعلق به دسته تهدیدات مقاوم پیشرفته یا APT. یک بازیگر بسیار پیچیده در انجام تهدید که مظنون به ارتباط با (TAO)، بخشی از آژانس امنیت ملی ایالات متحده (NSA) است. آزمایشگاه‌های شرکت کسپرسکای (Kaspersky) این گروه را به عنوان یکی از پیچیده‌ترین گروه‌های حمله سایبری در جهان توصیف می‌کند و در رابطه با آن اظهار داشته است که “پیشرفته ترین گروهی است که ما دیده ایم”.

این گروه، در کنار سازندگان Stuxnet و Flame اما همیشه یک پله بالاتر از آن‌ها فعالیت می‌کنند. بیشتر اهداف آن‌ها در ایران، روسیه، پاکستان، افغانستان، هند، سوریه و مالی بوده‌اند. نام گروه معادله، از استفاده گسترده آن‌ها از رمزگذاری نشأت گرفته است. تا سال 2015، کسپرسکای 500 مورد از آلودگی‌های مخرب توسط این گروه را حداقل در 42 کشور جهان ثبت کرد. این رقم در حالی است که تایید شده به دلیل استفاده از پروتکل خود نابودگری (self-terminating protocol)، تعداد واقعی آن به ده‌ها هزار نفر نیز می‌رسد.

بعد از شناخت APTها و کسب اطلاعات بیشتر درمورد آن‌ها، ممکن است برای شما سوالاتی به وجود آمده باشد. در این صورت می‌توانید برای دریافت مشاوره رایگان از متخصصین ما، به سایت اسکوریا مراجعه کنید. ما با کمک تجربه افراد خود در این حوزه، خدماتی نظیر تیم قرمز، تست نفوذ و … را برای ارتقای سطح امنیت سایبری سازمان شما ارائه می‌دهیم. برای دریافت اطلاعات بیشتر با ما در تماس باشید.