تهدید مانای پیشرفته | حملات APT چیست؟

در این مقاله، ابتدا به تعریف تهدید مانای پیشرفته پرداخته‌ایم و سپس، اشاره‌ای مختصر به تاریخچه‌ی آن کرده‌ایم. بعد از آن مروری بر مراحل پنج‌گانه‌ی حملات  APT و اهداف آن داشته‌ایم. بعدتر ۶ نوع و وِیژگی از حملات مانا را معرفی کرده‌ایم و در نهایت روش‌های امن‌سازی و تشخیص حملات APT را شرح داده‌ایم.

 

تعریف تهدید مانای پیشرفته

 

 بطور خلاصه تهدید مانای پیشرفته (Advanced persistent threat) یک حمله سایبری خاص، توسط افراد بسیار حرفه‌ای برای سرقت اطلاعات و داده‌های سازمان‌ها، شرکت‌ها و دولت‌هاست.

اما برای شرح دقیق‌تر تهدید مانای پیشرفته، لازم است هر بخش آن را توضیح دهیم:

 

تهدید (Threat): APT ها اهداف و مقاصدی کاملا مشخصی دارند و توسط افرادی بسیار متخصص اتفاق می‌افتند. به همین علت آنها را تهدید می‌نامند. این تهدیدها به صورت انسانی انجام می‌شوند و از کدهای آماده و خودکار، در آنها استفاده نمی‌شود.

 

مانا (Persistent): همانطور که بالاتر گفته شد، حملات APT اهداف کاملا مشخصی دارند و به دنبال هر فرصتی برای سو استفاده از اطلاعات و بهره‌برداری‌های مالی نیستند. این امر نشان می‌دهد که این حملات توسط تیم‎ها و تشکلات خاصی شکل می‌گیرند. حال این تیم‌ها برای دستیابی به اهداف خود، نیاز دارند تا نظارت و نفوذی پیوسته و عمیق به شبکه و سازمان مورد حمله خود داشته باشند.

در واقع تهدید مانا تمایل به نفوذ و انجام یک کار مشخص، و سپس پایان دادن به فعالیت خود ندارد، بلکه نفوذ و جایگیری مداوم و مانای خود را مد نظر دارد.

با نفوذ آهسته و پیوسته‌ای که حمله کنندگان ایجاد کرده‌اند، حتا اگر بطور موقت دسترسی خود را از دست بدهند، اغلب دوباره می‌توانند آن را بازیابند.

 

پیشرفته (Advanced): واژه‌ی پیشرفته در حملات APT به توانایی مهاجمان اشاره دارد. در واقع افرادی که اقدام به ایجاد یک حمله مانا می‌کنند، افرادی بسیار حرفه‌ای، متخصص و با مهارت‌های بسیار ویژه هستند که توسط سازمان خود به خوبی مورد حمایت‌های مالی قرار گرفته‌اند.

این افراد معمولا تکنیک‌ها و ابزارهای خاص و پیشرفته‌ای را با یکدیگر ترکیب می‌کنند تا بتوانند به سازمان و شبکه مورد نظر خود نفوذ کنند.

 

تاریخچه‌ی تهدید مانای پیشرفته

 

تهدید مانای پیشرفته، در ابتدا معنایی داشت، متفاوت از آنچه امروزه در دنیای امنیت سایبری دارد.

این عبارت برای نخستین بار در سال ۲۰۰۵ توسط دولت آمریکا مطرح گردید و اشاره به حمله‌ای داشت که کارمندانی مشخص را هدف گرفته بود و آنها را فریب می‌داد تا فایلی را دانلود یا لینکی را باز کنند، که توسط یک تروجان آلوده شده بود.

بعد از آن در سال ۲۰۰۶ نیروی هوایی ایالات متحده آمریکا، بار دیگر عبارت تهدید مانای پیشرفته را بکار برد. علت استفاده‌ی آن، نیاز به یک راه ارتباطی میان افراد تیم‌هایی بود که در نقاط مختلف دنیا، مشغول انجام عملیات بودند.

در واقع اعضای دپارتمان دفاع و ارتباطات هوشمند آمریکا، برای حل این نیاز، نام‌هایی طبقه‌بندی شده را به مهاجمان یک حمله‌ی مشخص نسبت دادند. در نتیجه اگر نیروی هوایی آمریکا، قصد داشت در مورد حمله یا تداخل خاصی بدون مشخصات روشن حرف بزند، نمی‌توانست از این طبقه‌بندی‌ها استفاده کند. در نتیجه مفهوم «تهدید مانای پیشرفته» را برای موارد ناروشن و غیر طبقه‌بندی شده مطرح کرد.

 

 

مراحل یک تهدید مانای پیشرفته

 

مهاجمانی که قصد حملات APT را دارند، ریسکی فزاینده و متغیر را به وجود می‌آورند، که دارایی‌های مالی، اطلاعات و اعتبار سازمان را، با فرآیندی پیوسته یا چرخه‌ی قتل تهدید می‌کند. این چرخه شامل مراحل زیر است:

 

۱.انتخاب سازمان‌های خاص برای یک هدف یکتا

۲. تلاش برای پیدا کردن یک پایگاه یا جای پای محکم در محیط مورد نظر

۳. استفاده از سیستم‌های در معرض خطر برای دستیابی به شبکه‌ی مورد نظر

۴. گسترش ابزارهای اضافه برای تحقق هدف حمله

۵. انجام عملیات مربوطه برای دستیابی به اقدامات جدید در آینده

 

مراحل یک تهدید مانای پیشرفته را می‌توان به صورت زیر نیز در نظر گرفت:

 

۱. شناسایی: در این مرحله مهاجمان از تمامی راه‌های ممکن به کشف و جمع‌آوری داده‌ها، و اطلاعات سازمان و شبکه مورد نظرشان می‌پردازند. هکرها این اطلاعات را از وب‌سایت سازمان مورد نظر، شبکه‌های اجتماعی و دیگر منابع موجود گردآوری می‌کنند تا نقاط و راه‌های حمله‌ی خود را مشخص کنند.

 

۲. تهاجـــم: در این مرحله، هکرها یک بدافزار خاص را مشخص و طراحی می‌کنند و آن را به سیستم‌ها و افراد آسیب‌پذیر می‌فرستند.

 

۳. کشف: در این مرحله، هکرها خیلی آرام و نامحسوس عمل می‌کنند تا شناسایی نشوند. سپس یک نقشه از امکانات و قدرت دفاعی سازمان درست می‌کنند و یک برنامه برای تهاجم و ایجاد کانال‌های حمله‌ای موازی به وجود می‌آورند.

 

۴. تسخیر: اکنون هکرها به سیستم‌های محافظت‌نشده دسترسی پیدا می‌کنند و داده‌های آنها را در بازه‌های زمانی طولانی جمع‌آوری می‌کنند. همچنین ممکن است یک بدافزار خاص را بر سیستم مذکور نصب کنند، تا اطلاعات را بدزدد و در عملیات سیستم اختلال ایجاد کند.

 

۵. برون‌نشت: در این مرحله از تهدید مانای پیشرفته، اطلاعات بدست آمده توسط بدافزار و دیگر ابزارها، برای تحلیل به تیم هکرها فرستاده می‌شود. در نهایت آنها از این اطلاعات برای کلاهبرداری و سو استفاده‌های بیشتر بهره می‌گیرند.

 

 

اهداف تهدید مانای پیشرفته

 

به علت تلاش و هزینه‌ی زیادی که حملات APT دارند، معمولا از آنها برای اهدافی بسیار بزرگ و خاص استفاده می‌شود. از این موارد می‌توان به اهداف سیاسی یک کشور علیه کشوری دیگر، سرقت اطلاعات مالی، اقتصادی، نظامی و هسته‌ای یک کشور، ربودن اطلاعات کارخانه‌ها و شرکت‌های خیلی بزرگ و ... اشاره کرد.

بنابراین تهدید مانای پیشرفته، مانند بسیاری دیگر از حملات هکرها نیست که به یک سیستم نفوذ می‌کنند و با اعمال برخی دستورات یا سرقت اطلاعات، سریعا از آن سیستم یا شبکه خارج می‌شوند.

آمارها نشان می‌دهند که حملات APT بطور متوسط از ۱ تا ۵ سال طول می‌کشند، بنابراین اهداف آنها باید، اهدافی خاص و کلان باشد تا بتواند هزینه‌ی حمله را توجیه کند.

 

۶ ویژگی اصلی تهدیدات مانای پیشرفته

 

۱.خاص منظوره: یک حمله یا تهدید مانای پیشرفته، می‌تواند عملکردی بسیار ویژه داشته باشد. به این معنا که این تهدید در یک زیر ساخت بسیار خطرناک و آسیب‌زا باشد و در زیر ساختی دیگر، بی‌خطر و بی‌تاثیر. برای مثال یک حمله مانای پیشرفته در یک شبکه صنعتی که اولویت اصلی آن دسترس‌پذیری است می‌تواند بی‌اثر باشد، اما در شبکه‌ای سازمانی مانند شبکه‌های فناوری اطلاعات، که اولویت اصلی حفظ محرمانگی است، بسیار خطرناک. از جمله نمونه‌های واقعی این تهدیدات مانا می‌توان به استاکس‌نت (Stuxnet) اشاره کرد.

 

۲. سطح پایین: این ویژگی دارای دو جنبه است:

 

عملکرد غیر مستقیم بدافزار. سطح پایین بودن از این جنبه، به این معناست که بدافزار به صورت غیر مستقیم و با استفاده از عوامل معتمد، از راه‌هایی نظیر تزریق نخ، سرقت گواهی دیجیتال یا رسانه‌های قابل حمل معتمد، دسترسی سطح بالا پیدا کرده و اقدام به تخریب می‌کند.

 

عملکرد آرام بدافزار. در اینجا سطح پایین بودن به این معناست که بدافزار بسیار آرام به استخراج داده‌ها و اطلاعات می‌پردازد و تا جای ممکن نشانی از رفتار خرابکارانه‌ی خود بروز نمی‌دهد.

 

۳. آهستگی: سامانه‌های تشخیص نفوذ و ابزارهای همبسته‌سازی هشدار، در بازه‌های زمانی کوتاه به بررسی و تشخیص می‌پردازند. تهدیدات مانای پیشرفته، از این ویژگی استفاده می‌کنند و با افزایش فاصله‌ی زمانی میان رویدادهای خود و مراحل حمله، آنها را فریب می‌دهند. از جمله حملات مانای پیشرفته که چنین رفتاری دارند، می‌توان به پراجکت‌ساورن (ProjectSauron) اشاره کرد.

 

۴. ترکیبی: اغلب سامانه‌های تشخیص نفوذ و همبسته‌سازی هشدار، رویدادهای سیستم عامل را با رویدادهای سطح شبکه همبسته‌سازی نمی‌کنند. حملات APT با کمک رویدادهای سطح سیستم‌ عامل و شبکه، رفتار خود را به شکل ترکیبی توزیع کرده و خود را از دید سامانه‌های موجود پنهان می‌کنند.

 

 

۵. چند مرحله‌ای: برخی حملات مانای پیشرفته، به شکل چند مرحله‌ای عمل می‌کنند. نکته‌ی مهم توالی این مراحل است، بطوری که اجرای دقیق هر مرحله، به اجرای درست مراحل پیش از خود وابسته است. این حملات را مانای پیشرفته ترکیبی می‌نامند.

 

۶. توزیع شده: ویژگی آخر برخی تهدیدات مانای پیشرفته، رفتار توزیعی آنهاست. به این ترتیب که در سطح چند رشته پردازه یا گاهی چندین سیستم عامل مختلف اجرا می‌شوند.

 

 

 

روش‌های امن‌سازی در مقابل حملات APT

 

راهکارها و روش‌های متعددی وجود دارد که سازمانها برای محافظت از خود در برابر تهدیدات مانا می‌توانند اتخاذ کنند. در ادامه به چند مورد از مهمترین آنها اشاره خواهیم کرد:

 

۱.ساخت و اجرای یک چارچوب برای امنیت سایبری سازمان، بر اساس لایه‌های مختلف دفاع (راهکارهای امنیتی، رویه‌ها، آگاهی‌بخشی به کارمندان) که در سازمان ایجاد شده است.

 

۲. آزمودن امنیت سازمان بوسیله‌ی حملات شبیه‌سازی شده، که آسیب‌پذیری‌ها را تحلیل می‌کنند و راهکارهایی برای بهبود امنیت سازمان پیشنهاد می‌دهند.

 

۳. سرمایه‌گذاری بر راه‌حل‌ها و روش‌های خودکار، که امکان ارزیابی در حال اجرا را، در زمان‌های از پیش تعیین شده بوجود می‌آورند.

 

۴. توسعه‌ی هوش حمله‌ی تاکتیکی و استراتژیک، که مخصوص سازمان طراحی شده تا آسیب‌پذیری‌ها و ریسک‌ها را تشخیص دهد.

 

۵. همکاری با یک تیم امنیت سایبری

 

 

روندهای بروز دنیا در کشف حملات مانای پیشرفته

 

با توجه به تنوع و گسترش شکل‌ها و روش‌های حملات APT، نیاز است تا رویکردی جدید به راه‌های کشف و تشخیص این حملات داشته باشیم. از جمله رویکردهای جدید و موثری که می‌توان به کمک آنها به تشخیص و کشف این تهدیدات مانای پیشرفته پرداخت، می‌توان به موارد زیر اشاره کرد:

 

۱. روش‌های مبتنی بر بیگ دیتا یا همان داده‌های عظیم

۲. ایجاد یک داده آزمون استاندارد

۳. پیش‌بینی حملات با استفاده از روش‌های یادگیری ماشین

۴. تمرکز بر پیشگیری از حملات به جای کشف آنها (در برخی حوزه‌ها مانند صنعت)

۵. نظارت دوره‌ای سیستم‌ها و سامانه‌های نرم‌افزاری و ممیزی آنها