مقدمه‌ای بر معرفی بازیگران تهدید‌ APT ها – بخش اول

مقدمه گروه‌های APT- بخش اول

APT مخفف Advanced Persistent Threat است. این به نوعی حمله سایبری اشاره دارد که توسط گروهی از محققان امنیتی ماهری که توسط دولت حمایت می‌شوند و یا به نمایندگی از ملت کار می‌کنند، انجام می‌شود. هدف حملات APT دسترسی طولانی‌مدت به شبکه هدف و سرقت اطلاعات حساس مانند مالکیت معنوی، اسرار تجاری و سایر داده‌های محرمانه است. گروه‌های APT سازماندهی شده‌اند و اغلب از تکنیک‌های پیچیده مانند اکسپلویت‌های Zero-day برای نفوذ به شبکه هدف استفاده می‌کنند. آن‌ها به خاطر پایداری خود نیز شناخته می‌شوند، زیرا ماه‌ها یا حتی سال‌ها به انجام حمله ادامه می‌دهند تا به اهداف خود دست یابند. برخی از گروه‌های APT عبارتند از APT28 ( همچنین به عنوان Fancy Bear شناخته می‌شود.)، APT1 ( به عنوان Comment Crew نیز شناخته می‌شوند.) و گروه Lazarus.

APT‌ها چطور عمل می‌کنند؟

گروه‌های APT معمولا یک فرآیند چندمرحله‌ای را برای انجام حملات خود دنبال می‌کنند. این مراحل می‌توانند شامل موارد زیر باشند:

  1. شناسایی (ریکان): در این مرحله، گروه APT اطلاعاتی در مورد هدف مانند زیرساخت شبکه، فناوری آن و کارکنان جمع‌آوری می‌کند. این اطلاعات معمولا از طریق تکنیک‌های (OSINT) مانند جستجوی اینترنت برای اطلاعات در دسترس عموم به دست می‌آیند.
  2. سلاح‌سازی: در این مرحله گروه APT ابزارها و پی‌لودهایی را ایجاد می‌کند که از آن‌ها برای نفوذ به شبکه هدف استفاده خواهند کرد. این ابزارها می‌توانند شامل بدافزارها، تروجان‌ها و اکسپلویت‌های سفارشی‌سازی شده باشند.
  3. انتقال (تحویل): در این مرحله گروه  APTپیلودها را معمولا از طریق ایمیل‌های فیشینگ یا از طریق آسیب‌پذیری در یک نرم‌افزار اصلاح نشده (UnPatch) انتقال می‌دهند.
  4. اکسپلویت: در این مرحله گروه APT از پیلود برای یافتن یک ردپا در شبکه هدف و شروع استخراج داده‌های حساس استفاده می‌کنند.
  5. فرماندهی و کنترل: در این مرحله، گروه APT یک کانال پشتیبانی به شبکه آسیب‌دیده ایجاد می‌کند و به آن‌ها اجازه می‌دهد که از راه دور بدافزارها را کنترل کند و داده‌ها را در مدت زمان طولانی‌ به سرقت ببرند.
  6. اقدام در جهت هدف: در این مرحله گروه APT هدف نهایی خود را که اغلب سرقت اطلاعات حساس، مختل کردن عملیات یا آسیب رساندن به اعتیار هدف است، دنبال می‌کند.

گروه‌های APT به خاطر تاکتیک‌های پیشرفته خود نظیر استفاده از اکسپلویت‌های Zero-day، بدافزارهای سفارشی‌سازی شده و کانال‌های فرماندهی و کنترل رمزگذاری شده شناخته می‌شوند. آن‌ها همچنین به دلیل توانایی خود برای فرار از شناسایی و ادامه فعالیت در شبکه هدف برای مدت زمان طولانی شناخته شده‌اند.

APT
بازیگران تهدید APT

Fancy Bear

Fancy Bear که به عنوان APT نیز شناخته می‌شود، یک گروه APT بسیار پیچیده است که گمان می‌رود توسط دولت روسیه حمایت می‌شود. این گروه بخاطر تاکتیک‌های پیشرفته‌اش از جمله استفاده از بهره‌برداری‌های Zero-day و بدافزارهای سفارشی‌سازی شده شهرت دارند.

Fancy Bear حداقل از سال 2008 فعال بوده است و سازمان‌های مختلفی از جمله سازمان‌های دولتی، سازمان‌های نظامی و شرکت‌ها را هدف قرار داده است.

Fancy bear به دلیل استفاده از بدافزارها و ابزارهای سفارشی‌سازی ‌شده مانند خانواده بدافزار X-Agent که برای استخراج داده‌های حساس از سیستم‌های در معرض خطر طراحی شده است، شناخته شده است. این گروه همچنین به دلیل استفاده از فیشینگ‌های هدفدار برای انتقال پیلودهای خود و همچنین استفاده از کانال‌های فرمان و کنترل رمزگذاری‌شده برای مخفی کردن فعالیت‌های خود شناخته شده است.

مینی‌سریال APT

این تازه شروع یک مینی‌سریال گسترده است که به APT‌ها از سراسر جهان می‌پردازد. ما در حال بررسی کشورهای مختلف و تهدیدات پایدار پیشرفته مربوطه خواهیم بود. در نهایت، من درباره آنچه شرکت‌ها و سازمان‌ها می‌توانند برای محافظت از خود در برابر این تهدیدات در حال ظهور انجام دهند، بحث خواهم کرد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *