حملات APT چیست ؟ | راه های شناسایی و روش های مقابله

حملات APT چیست ؟ | راه های شناسایی و روش های مقابله

با یکی دیگر از مقالات تیم بلک سکوریتی خدمت شما کاربران محترم هستیم، موضوع پیش روی ما امروز حملات APT یا Advance Persistent Threat چیست ؟ است.
شاید شما هم کلمه Advanced Persistent Threat یا APT را شنیده باشید اما هیچ وقت آن را درست متوجه نشده باشید امروز میخواهیم راجب حملات APT صحبت کنیم و آن را کامل برای شما توضیح دهیم تا پایان مقاله همراه ما باشید.

حملات Advance Persistent Threat یا همان حملات APT چیست ؟

در ابتدا اجازه بدهید در یک تعریف ساده حملات APT را برای شما شرح دهیم، در حقیقت یک حمله سایبری به یک شبکه کامپیوتری است
که در آن مهاجم دسترسی غیرمجاز به شبکه را به دست می‌آورد و آن را حفظ می‌کند و برای مدت قابل توجهی شناسایی نمی‌شود. در طول بازه زمانی که هکر حمله را انجام میدهد و دسترسی میگرد تا  زمانی که مدیران شبکه متوجه میشوند و جلوی دسترسی هکر را میگرند، هکر اغلب اطلاعات و داده های حساس را رصد، رهگیری و انتقال می دهد. پس در اینجا ما متوجه میشویم هدف از انجام حمله APT به جای ایجاد (قطعی شبکه، denial of service یا آلوده کردن سیستم ها به بدافزار)، استخراج یا سرقت داده ها است. اجرای یک حمله APT به دانش و تلاش بیشتر نسبت به یک حمله به یک سایت یا برنامه معمولی نیاز دارد.

نکته : معمولاً تیم هایی از هکر های سایبری با تجربه هستند که از پشتوانه مالی قابل توجهی برخوردارند. برخی از حملات APT توسط دولت ها تامین می شود و به عنوان سلاح های جنگ سایبری استفاده می شود.

نکته : باید دقت کنید اهداف این حملات APT بسیار با دقت انتخاب شده اند که معمولاً شامل شرکت های بزرگ یا شبکه های دولتی می شوند. پیامدهای چنین نفوذی گسترده است و شامل موارد  مهمی است که در ادامه راجب آنها صحبت خواهیم کرد.

نکته : زمان صرف شده در سیستم های یک سازمان به عنوان “زمان سکونت یا dwell time” شناخته می شود.

پیامدهای نفوذ حملات APT

1. سرقت فکری (به عنوان مثال، اسرار تجاری یا ایده ها و هر چیزی مربوط به Intellectual property میشود).
2. نشت اطلاعات حساس (به عنوان مثال، داده های خصوصی کارمند و کاربر).
3. خرابکاری زیرساخت های حیاتی سازمانی (به عنوان مثال، حذف پایگاه داده).
4. دسترسی کامل به برنامه (سایت) یا هدف.

حملات APT با Web Application Threats معمولی متفاوت هستند چرا ؟

1. آنها به طور قابل توجهی پیچیده تر هستند از لحاظ بحث نفوذ.
2. همه چی باید مخفی باشید و آنها متوجه نشوند – هنگامی که یک شبکه نفوذ می کند، مجرم برای به دست آوردن هرچه بیشتر اطلاعات ممکن باقی می ماند.
3. هدف آنها اغلب نفوذ به کل شبکه است، برخلاف یک بخش خاص.

اقدامات امنیتی در برابر حملات APT چیست ؟

در یک تعریف ساده میتوان گفت تشخیص و حفاظت در برابر APT مناسب نیازمند رویکردی چند جانبه (multi-faceted) از سوی مدیران شبکه، Security Providers ها و کاربران است. اگر بخواهیم این رویکرد ها یا این اقدمات رو دسته بندی کنیم میتوانیم به موارد زیر اشاره کنیم :

1. Traffic monitoring
2. Application and domain whitelisting
3. Access control

اقدامات بیشتر در برابر حملات APT

1. رفع مشکل نرم افزارهای  شبکه و آسیب پذیری های سیستم عامل در سریع ترین زمان ممکن.
2. رمزگذاری (Encryption) برای Remote Connections برای جلوگیری از نفوذ هکر ها.
3. فیلتر کردن ایمیل های دریافتی برای جلوگیری از Spam و حملات فیشینگ که شبکه شما را هدف قرار می دهد.
4. ثبت فوری (logging of security events) برای کمک به بهبود Whitelists و سایر Security Policies.

نمونه های Advanced Persistent Threat را میتوانید معرفی کنید ؟

برای پاسخ به این سوال باید بگویم وب سایت CrowdStrike در حال حاضر بیش از 150 adversaries را در سراسر جهان ردیابی می کند، از جمله دولت های ملی، جنایتکاران الکترونیکی (eCriminals) و hacktivists ها. در ادامه چند نمونه حمله قابل از حملات APT شناسایی شده توسط CrowdStrike آورده شده.

1. حمله Cozy Bear (APT29) : یک adversary روس است که احتمالاً از طرف سرویس اطلاعاتی روسیه دستور میگرد.
2. حمله Fancy Bear (APT28) : یک هکر مستقر در روسیه است که از پیام‌ های فیشینگ و وب‌ سایت‌ های جعلی که شباهت زیادی به وب‌سایت‌ های قانونی دارند، برای دسترسی به رایانه ای معمولی و دستگاه‌ های تلفن همراه استفاده می‌ کند.
3. حمله Helix Kitten (APT34) : حداقل از اواخر سال 2015 فعال بوده و احتمالاً در ایران مستقر است.
4. حمله Wicked Panda (APT41) : یکی از پرکارترین و مؤثرترین adversary مستقر در چین از اواسط دهه 2010 تا 2020 بوده است.

نکته : توجه داشته باشید که همان طور که در بالا گفته شد ما تا امروز تنها توانسته ایم 150 adversaries تا شناسایی کنیم که در دنیای اینترنت این عدد بسیار بیشتر است. امیدوارم این مقاله مفید واقع شده باشه.

حمله مرد میانی چیست ؟ توضیحاتی در مورد Man in the Middle کلیک کنید !