تهدید پیشرفته و مداوم یا حمله APT چیست

0
113
تهدید پیشرفته و مداوم یا حمله APT چیست

APT دسته‌ای از حملات است که سازمان خاصی را هدف قرار می‌دهد، به محیطی دسترسی پیدا می‌کند و سپس کمین می‌کند، غیرقابل شناسایی است، داده‌‌ها را به سرقت می‌برد یا منتظر زمان مناسب برای انجام یک حمله اساسی‌تر است. این نوع تهدید با هدف گذاری استراتژیک و تداوم آن و همچنین تاکتیک‌ها، روش‌ها و رویه‌های پیشرفته‌ای که استفاده می‌کند، تعریف می‌شود.

هدف اصلی حمله APT کسب درآمد است. مجرمان گاهی اوقات داده‌ها را  به سرقت می‌برند، گاهی هم منتظر می‌مانند تا شرایط برای تکمیل حمله سایبری‌شان فراهم شود. معمولاً هدف نهایی این است که روش‌های پیشگیری، حفاظت، تشخیص و پاسخ به حمله‌ای که در راه است را بسیار دشوار کند. به زبان ساده، این مهاجمان نمی خواهند شما بدانید که در محیط شما هستند.

نهادهای با ارزش، معمولاً آنهایی که دارای داده‌های مهم و حساس هستند یا نقش عمده‌ای در امنیت ملی یا ثبات اقتصادی دارند، اغلب مورد هدف این نوع حمله‌ها قرار می‌گیرند.

شرکت‌های بزرگ و سازمان‌های دولتی نیز به دلیل حجم عظیم داده‌های ارزشمندی که در اختیار دارند، مورد هدف قرار میگیرند. کسب‌وکارهای کوچک‌تر نیز مورد بهره‌برداری قرار می‌گیرند، زیرا بخشی از زنجیره تامین یک واحد بزرگ‌تر هستند. این در نهایت به مهاجم اجازه می‌دهد تا به هدف اصلی و بزرگتر نفوذ کند.

APT چگونه کار می‌کند

تهدیدهای پایدار پیشرفته (APT) به دلیل پیچیدگی از دیگر تهدیدات سایبری متمایز هستند، زیرا که تکنیک‌های پیشرفته را با تاکتیک‌های رایج مانند فیشینگ یا هرزنامه ترکیب می‌کند. آنها به طور دقیق برنامه‌ریزی و اجرا می‌شوند و پس از تحقیقات گسترده روی سطح حمله، روی یک هدف متمرکز می شوند. در مرحله اجرای یک APT، هدف این است که تا زمانی که ممکن است در شبکه شناسایی نشده باقی بماند. این می تواند هفته‌ها و حتی سال‌ها طول بکشد.

با استفاده از منابع اطلاعاتی تجاری و منبع باز، APTها طیف کاملی از تکنیک‌های جمع‌آوری اطلاعات، از بدافزارهای اولیه تا ابزارهای جاسوسی در سطح دولتی را به کار می‌گیرند. ماهیت عملی APT ها نیز در روش‌های مورد استفاده منعکس می‌شود. اجرای دستی بر اسکریپت‌های خودکار ترجیح داده می‌شود زیرا مهاجمان به دنبال طراحی حملات و استفاده از روش‌هایی مانند حملات بدون فایل و LOTL هستند.

تکنیک‌های حمله رایج و بسیار مؤثر، مانند RFI، تزریق SQL و XSS اغلب استفاده می‌شوند. از جمله علائم رخداد یک حمله APT، تروجان‌های درپشتی، فعالیت غیرمعمول حساب، و ناهنجاری در جریان داده‌ها هنگامی که مهاجم جای پای خود را محکم کرده و در یک محیط فعال است، می‌باشد.

APT‌ها اغلب از بدافزار سفارشی (بدافزار APT) که برای فرار از شناسایی طراحی شده و امکان حمله C2 برای کنترل سیستم‌های در معرض خطر را فراهم می کند، استفاده می‌کنند. ابزارها، تاکتیک‌ها، روش‌ها و رویه‌ها اغلب برای فرار از تشخیص به‌روزرسانی می‌شوند. حتی زمانی که بخش‌هایی از عملیات کشف می‌شود، ممکن است عوامل تهدید باز هم دسترسی پیدا کنند. این رویکرد “low and slow” به دلیل اهداف استراتژیک بلندمدت مانند جاسوسی، اختلال گسسته، سرقت داده‌ها است، نه انجام رگبار بی‌امان حملات یا انفجار یکباره مانند باج‌افزار‌ها.

انواع تهدید‌های پیشرفته و مدام

APTها بر اساس معیارهای مختلفی دسته بندی می‌شوند، از مبدا و روش آنها گرفته تا روش‌های نفوذ یا تمرکز جغرافیایی.

در حالی که هیچ مجموعه کاملی از ویژگی‌ها برای تعریف هر APT وجود ندارد، دسته‌بندی‌هایی که بیشتر مورد بحث قرار می‌گیرند به شرح زیر است:

حمله APT دولتی :

با بودجه‌های هنگفت و دسترسی به آخرین فناوری، همراه با پوشش قانونی، این عاملان تهدید برخی از پیچیده‌ترین ماموریت‌ها را انجام می‌دهند. اینها شامل جاسوسی بلندمدت، سرقت داده‌ها، دستکاری افکار عمومی و غیره است. آنها اهداف سیاسی یا نظامی کاملاً ثابتی دارند و سازمان‌های دولتی، تأسیسات نظامی، زیرساخت‌های کلیدی، بازیگران اقتصادی و اساساً هر کسی یا هر چیزی را که می‌تواند به آنها در دستیابی به آنها کمک کند، هدف قرار می‌دهند.

حمله APT مجرمانه :

برخی از گروه‌هایی که در فعالیت‌های APT شرکت می‌کنند بر سرقت پول یا سایر داده‌های ارزشمند مانند مالکیت معنوی یا به خطر انداختن داده‌ها برای باج‌گیری یا اخاذی تمرکز می‌کنند. اغلب، هدف نهایی این عوامل تهدید، استقرار باج‌افزار در شبکه‌های با ارزش بالا، کلاهبرداری بانکی، سرقت و فروش اطلاعات کارت اعتباری، یا حتی سرقت غیرقانونی ارز دیجیتال با استفاده از زیرساخت قربانیان است.

حمله APT هکتیویستی :

برخی از گروه‌ها از قابلیت‌های سایبری خود برای پیشبرد برنامه‌های سیاسی، ایجاد تغییرات اجتماعی یا ترویج ایدئولوژی‌ها از طریق حملات هدفمند با هدف خاموش کردن منتقدان، پخش پروپاگاندا یا از بین بردن مخالفان استفاده می‌کنند. تاکتیک‌های آنها شامل حملات انکار سرویس توزیع شده (DDoS)، تخریب وب سایت و افشای اطلاعات حساس است. این گروه‌ها به دنبال تبلیغ به عموم هستند که اغلب از طریق اعلامیه‌ها یا پیام‌های عمومی بیان می‌شود.

APTهای شرکتی/کسب و کار:

این APTها که توسط سازمان‌های تجاری به کار گرفته یا حمایت می‌شوند، از رقبا، معمولاً در سطح شرکت‌های بزرگ، جاسوسی می‌کنند. با ظهور APT-as-a-service، گروه‌های سایبری ماهر اکنون خدمات خود را برای جاسوسی صنعتی ارائه می‌دهند.  انگیزه عوامل این دسته‌بندی در دست آوردن مزیت رقابتی، سود مالی یا به دست آوردن اطلاعات ارزشمند از شرکت رقیب است.

منبع: https://www.bitdefender.com/business/infozone/what-is-apt.html

مقاله قبلیمزایای رویکرد بدون رمز عبور و بدون کلید‌ها
مقاله بعدیباج افزار DragonForce – آنچه باید بدانید

نظر بدهید

لطفا نظر خود را بنویسید
لطفا نام خود را اینجا وارد کنید

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.