هجمات التهديد المستمر المتقدم APT

• “APT” اختصار ل ” Advanced Packaging Tool”.

كيف يعمل هجوم APT

• الوصول: تحصل مجموعات (APT) على إمكانية الوصول إلى هدف من خلال استهداف الأنظمة عبر الإنترنت، عادةً، من خلال رسائل البريد الإلكتروني المخادعة أو عبر ثغرة أمنية في التطبيق بهدف الاستفادة من أي وصول عن طريق إدخال برامج ضارة في الهدف.

• إنشاء موطئ قدم: والمقصود بها هو انه وبعد الوصول إلى الهدف، يستخدم المهاجمون وصولهم للقيام بمزيد من الاستطلاع، يستخدمون البرامج الضارة التي قاموا بتثبيتها لإنشاء شبكات من الأبواب الخلفية والأنفاق للتنقل دون أن يلاحظها أحد، قد تستخدم (APTs) تقنيات البرامج الضارة المتقدمة مثل إعادة كتابة التعليمات البرمجية لتغطية مساراتها، كما يزرع مجرمو الإنترنت برامج ضارة تسمح بإنشاء شبكة من الأبواب الخلفية والأنفاق المستخدمة للتنقل في الأنظمة دون أن يتم اكتشافها، غالبًا ما تستخدم البرامج الضارة تقنيات مثل إعادة كتابة التعليمات البرمجية لمساعدة المتسللين على إخفاء مساراتهم وغيرها من التقنيات المختلفة.

• تعميق الوصول: بمجرد الدخول إلى الشبكة المستهدفة، قد يستخدم ممثلو (APT) طرقًا وتقنيات مثل اختراق كلمة المرور للحصول على حقوق إدارية، حيث يمنحهم هذا مزيدًا من التحكم في النظام والحصول على مستويات وصول أعمق.

• التحرك أفقيا: بمجرد أن ينتهك ممثلو التهديد أنظمتهم المستهدفة، بما في ذلك اكتساب حقوق المسؤول، يمكنهم بعد ذلك التنقل في شبكة المؤسسة حسب الرغبة، حيث يمكنهم أيضًا محاولة الوصول إلى خوادم أخرى وأجزاء آمنة أخرى من الشبكة، بالإضافة إلى مناطق آمنة أخرى في الشبكة، بشكل أعمق داخل النظام مع حقوق المسؤول، يمكن للمتسللين التنقل حسب الرغبة.

• تنظيم الهجوم: في هذه المرحلة، يقوم المتسللون بتركيز البيانات وتشفيرها وضغطها حتى يتمكنوا من اختراقها،من داخل النظام، حيث يكتسب المتسللون فهمًا كاملاً لكيفية عمله ونقاط الضعف فيه، مما يسمح لهم بجمع المعلومات التي يريدونها متى شاءوا، كما يمكن للقراصنة محاولة إبقاء هذه العملية قيد التشغيل وربما إلى أجل غير مسمى أو الانسحاب بمجرد تحقيق هدف معين، غالبًا ما يتركون الباب الخلفي مفتوحًا للوصول إلى النظام مرة أخرى في المستقبل.

• أخذ البيانات: يقوم المهاجمون بجمع البيانات ونقلها إلى نظامهم الخاص.

• البقاء حتى يتم اكتشافهم: يمكن لمجرمي الإنترنت تكرار هذه العملية لفترات طويلة من الوقت حتى يتم اكتشافهم، أو يمكنهم إنشاء باب خلفي حتى يتمكنوا من الوصول إلى النظام مرة أخرى لاحقًا.

خصائص هجوم APT

نظرًا لأن التهديدات المستمرة المتقدمة تستخدم تقنيات مختلفة من المتسللين العاديين، فإنها تترك وراءها علامات مختلفة، بالإضافة إلى حملات التصيد بالرمح التي تستهدف قادة المنظمات، تشمل أعراض هجوم (APT):

• تهديد متقدم ومستمر متبقٍ يتمثل الخطر الرئيسي لهجمات (APT) في أنه حتى عندما يتم اكتشافها ويبدو أن التهديد المباشر قد انتهى، فقد يكون المتسللون قد تركوا أبواب خلفية متعددة مفتوحة تسمح لهم بالعودة عندما يختارون ذلك. بالإضافة إلى ذلك، فإن العديد من الدفاعات الإلكترونية التقليدية، مثل برامج مكافحة الفيروسات والجدران النارية، لا يمكنها دائمًا الحماية من هذه الأنواع من الهجمات.

• العامل البشري لـ (APT) نظرًا لأن الدفاعات الإلكترونية للشركات تميل إلى أن تكون أكثر تعقيدًا من دفاعات المستخدم الخاص، فإن أساليب الهجوم غالبًا ما تتطلب المشاركة النشطة لشخص ما في الداخل لتحقيق لحظة “المخل” الحاسمة والأكثر أهمية، لكن هذا لا يعني أن الموظف شارك عن علم في الهجوم، وعادة ما ينطوي على مهاجم ينشر مجموعة من تقنيات الهندسة الاجتماعية، مثل صيد الحيتان أو التصيد بالرمح.

• نشاط غير عادي على حسابات المستخدمين، مثل زيادة عمليات تسجيل الدخول عالية المستوى، وانتشار واسع لأحصنة طروادة في الباب الخلفي.

• حزم بيانات غير متوقعة أو غير معتادة، والتي قد تشير إلى أنه تم تجميع البيانات استعدادًا لعملية الاستخراج.

• تدفقات المعلومات غير المتوقعة، مثل الحالات الشاذة في البيانات الصادرة أو الزيادة المفاجئة وغير المعهودة في عمليات قاعدة البيانات التي تنطوي على كميات هائلة من البيانات

أمثلة على التهديدات المستمرة المتقدمة

• GhostNet، ومقرها في الصين، تم تنفيذ الهجمات عن طريق رسائل التصيد الاحتيالي التي تحتوي على برامج ضارة، حيث قامت المجموعة باختراق أجهزة الكمبيوتر في أكثر من 100 دولة، مع التركيز على الوصول إلى شبكات الوزارات الحكومية والسفارات، حيث قام المهاجمون باختراق الأجهزة داخل هذه المنظمات وتشغيل الكاميرات والميكروفونات الخاصة بهم وتحويلها إلى أجهزة مراقبة.

• Stuxnet: وهي دودة تستخدم لمهاجمة البرنامج النووي الإيراني، والتي تم تسليمها عبر جهاز (USB) مصاب وهو ناقل بيانات واتصالات وطاقة معتمد من النوع التوصيل والتشغيل، وألحقت أضرارًا بأجهزة الطرد المركزي المستخدمة في تخصيب اليورانيوم، (Stuxnet) عبارة عن برنامج ضار يستهدف أنظمة التحكم في الإشراف الصناعي والحصول على البيانات، فقد كان قادرًا على تعطيل نشاط الآلات في البرنامج النووي الإيراني دون علم مشغليها.
• “USB” اختصار ل” Universal Serial Bus”.

• Deep Panda: هجوم (APT) ضد مكتب إدارة شؤون الموظفين التابع للحكومة الأمريكية، وربما نشأ من الصين، حيث كان الهجوم البارز في عام 2015 هو الرمز المسمى (Deep Panda)، وأدى إلى اختراق أكثر من 4 ملايين من سجلات الموظفين الأمريكيين، والتي ربما تضمنت تفاصيل حول موظفي الخدمة السرية ومعلومات في غاية الخطورة.

الأهداف الرئيسية للتهديدات المستمرة المتقدمة APT

نظرًا لمستوى الجهد المطلوب لتنفيذ مثل هذا الهجوم، يتم عادةً توجيه (APTs) إلى أهداف عالية القيمة، مثل الدول القومية والشركات الكبيرة، بهدف نهائي هو سرقة المعلومات على مدى فترة طويلة من الوقت، بدلاً من المغادرة بسرعة، كما يفعل العديد من قراصنة القبعة السوداء أثناء الهجمات الإلكترونية ذات المستوى الأدنى، حيث ان (APT) هي طريقة هجوم يجب أن تكون على رادار الشركات في كل مكان، ومع ذلك، هذا لا يعني أنه يمكن للشركات الصغيرة والمتوسطة تجاهل هذا النوع من الهجوم.

كما يستخدم مهاجمو (APT) بشكل متزايد الشركات الأصغر التي تشكل سلسلة التوريد لهدفهم النهائي كطريقة للوصول إلى المؤسسات الكبيرة، يستخدمون مثل هذه الشركات، التي عادة ما تكون أقل حمايةً، كنقاط انطلاق، كما يتطلب اكتشاف وحماية (APT) المناسبين نهجًا متعدد الأوجه من جانب مسؤولي الشبكة وموفري الأمان والمستخدمين الفرديين.