حمله APT چیست؟

حمله APT یکی از مهم ترین مسائل برای یک تریدر کریپتو است، در جهان امروزی که مردم به ارزهای دیجیتال علاقه مندند و تلاش می کنند در این حوزه فعالیت کنند، توسعه بلاک چین به میزانی بالا است که نمی توان آن را اندازه گرفت. به نظر می رسد که این پیشرفت در آینده نیز با سرعت بسیار بالاتر ادامه یابد. شاید در نگاه اول کل حوزه ارزهای دیجیتال برای شما بدون مشکل و سرشار از سود باشد اما بهتر است بدانید که این تمام ماجرا نیست. امروزه مبحث امنیت یکی از چالش های بسیار مهم است که هیچ کاربری نمی تواند از کنار آن به سادگی عبور کند زیرا معامله گران سرمایه خود را در این بازار معامله می کنند و برایشان بسیار مهم است که این محیط امنیت بسیار بالایی داشته باشد. طبق اطلاعات منتشر شده، روزانه چندین حمله سایبری بسیار خطرناک علیه کاربران و یا شرکت های بزرگ صورت می گیرد که ممکن است موجب شود معامله گران سرمایه خود را از دست بدهند. ما در این مقاله قصد داریم به یکی از حملات سایبری یعنی حمله APT بپردازیم.

حمله APT به چه معنا است؟

حمله APT مخفف کلمه Advanced Persistent Threats و به معنی تهدید دائمی پیشرفته است. در حقیقت حمله APT یک اختلال گسترده سایبری و پیچیده و پایدار است؛ در این حمله یک مهاجم احراز نشده با هدف سرقت داده های حساس و حیاتی به شبکه نفوذ می کند. بهتر است بدانید که این حمله دارای نفوذ بسیار بالا است و به گونه ای طراحی می شود که مهاجم پس از سرقت اطلاعات حساس، هیچ ردپایی از خود جای نگذارد.

اگر حمله APT را با حمله ی سنتی دیگری مقایسه کنیم خواهیم دید که این حمله دارای فرایندی بسیار پیچیده و حساس است که هیچ شباهتی به نمونه های سنتی ندارد. معمولا حمله APT از سوی شخص انجام نمی ‌شود و تیمی سازمان ‌دهی ‌شده با بودجه ‌ای چشمگیر هدف ‌های مهم را نشانه می‌ گیرند.

مهم ترین دستاوردهای APT برای تیم طراح

• در این نوع حمله سایبری، طراحان می توانند مالکیت یا اسرار دولتی را به دست آورند.
• جرائم الکترونیکی برای منافع مالی یکی دیگر از دستاوردهای این نوع حمله است.
• معمولا این افراد با هدف سیاسی و یا اجتماعی اقدام به حمله می کنند.
• تخریب اطلاعات یکی دیگر از موارد است.
• تخریب اطلاعات یک سازمان خاص یکی از اتفاقاتی است که پس از حمله سایبری اتفاق می افتد.
• طراحان پس از حمله سایبری به صورت کامل سایت مورد نظر خود را تصاحب می کنند.
• دسترسی به ارتباطات حساس یا محرمانه آخرین دستاورد حمله سایبری APT است.

برای کسب اطلاعاتی در مورد دکس تریدینگ، بر روی لینک کلیک کنید.

بررسی تاریخچه حمله سایبری APT

اگر برای شما نیز مبدا انجام حمله سایبری APT سوال شده است باید بدانید که این حمله برای اولین بار در کشور چین رخ داد. تاریخچه حمله APT مربوط به سال 2003 است، در آن سال ها هکرهای کشور چین یک کمپین به نام Titan Rain علیه کشور آمریکا راه اندازی کردند که هدف اصلی آنها از تاسیس این کمپین، سرقت اطلاعات مهم و حساس این کشور بود.

در کمپین تشکیل شده مهاجمان در اولین گام خود داده های نظامی حساس را هدف قرار دادند و چندین حمله‌ APT به سیستم‌ های پیشرفته سازمان ‌های دولتی ازجمله ناسا و FBI انجام شد. تحلیلگران امنیتی، ارتش آزادی ‌بخش خلق چین را به‌ عنوان متهم اصلی این حملات اعلام کردند اما این گروه، هیچگاه آن را نپذیرفتند.

حمله APT چگونه صورت می گیرد؟

بهتر است بدانید که حملات APT معمولا از پنج مرحله متفاوت تشکیل می شود، تیم هکری به صورت برنامه ریزی شده و با نهایت حساسیت این مراحل را اجرا می کنند؛ در قسمت زیر این مراحل را برای شما شرح خواهیم داد.

مرحله اول: دسترسی اولیه

در گام اول، تیم نفوذی تلاش می کند حمله خود را با دسترسی به یک شبکه آغاز کند. این تیم یکی از سه بسته گفته شده در قسمت زیر را برمی گزیند:

1. سیستم های مبتنی بر وب
2. شبکه ها
3. کاربران انسانی

هکرها معمولا از طریق آپلودهای مخرب، جستجو و سوء استفاده از آسیب ‌پذیری‌ های برنامه، شکاف ‌های موجود در ابزارهای امنیتی و فیشینگ کارمندان به سیستم دسترسی پیدا می ‌کنند؛ پس از دسترسی آنها تلاش می‌ کنند تا هدف، با نرم ‌افزارهای مخرب آلوده شود.

مرحله دوم: نفوذ و استقرار بدافزار

پس از آن که تیم سایبری دسترسی مورد نظر را به دست می آورند، در گام بعدی یک تروجان یا همان بدافزار را در یک نرم افزار قانونی قرار می دهند و تمام تلاش خود را به کار می گیرند که با استفاده از آن به شبکه نفوذ کنند و به طور کامل به آن شبکه مسلط شوند. از مهم ترین و اساسی ترین کارهایی که تیم سایبری باید انجام دهند این است که یک ارتباط خروجی با سیستم فرماندهی و تیم خود به وجود آورند و این اتفاق به عنوان یک نقطه عطف عملیات شناخته می شود. رمزنگاری، مبهم سازی یا بازنویسی کد یکی از مهم ترین تکنیک های بدافزار پیشرفته است که معمولا APT به هدف پنهان کردن فعالیت های خود از آن بهره می برد. این شیوه از نفوذ را می ‌توان تا حدودی نزدیک به حمله ۵۱ درصدی دانست که با نفوذ، ممکن است بیش از ۵۰ درصد شبکه را به ‌دست بگیرند.

مرحله سوم: گسترش دسترسی و حرکات جانبی

در مرحله سوم پس از آن که مهاجمان به شبکه دسترسی پیدا کردند، بدون درنگ مراحل گردآوری اطلاعات را شروع می کنند؛ این جمع آوری اطلاعات، بیشتر در خصوص شبکه هدف آغاز می شود. تیم سایبری معمولا از حملاتی به نام brute force برای این که بتوانند اطلاعات جمع آوری نمایند استفاده می کنند. البته ایجاد آسیب پذیری شبکه یکی دیگر از اهداف این تیم است؛ همچنین تلاش می کنند که کنترل عمیقی بر روی سیستم های حساس تر داشته باشد و در انتها تونل هایی در سراسر شبکه ایجاد کرده تا قادر به انجام حرکات جانبی در سرتاسر شبکه باشند و داده‌ ها را به مکان ‌های دلخواه خود منتقل کنند.

برای کسب اطلاعاتی در مورد دنیای رمزارزها و آموزش ارز دیجیتال، بر روی لینک کلیک کنید.

مرحله چهارم: پایه گذاری حمله

پس از آن که نفوذ در شبکه گسترش می یابد، هکرها تلاش می کنند تا داده و دارایی مورد نظر خود را شناسایی کنند و به یک محیط امن در داخل شبکه منتقل کنند. معمولا در این مکان ها داده های رمزگذاری شده فشرده می شود تا از چشم صاحبان اصلی به دور باشد. همچنین این مرحله بسیار زمان بر و طولانی است و در همین حین مهاجمان همچنان به سیستم‌ های حساس ‌تر آسیب زده و داده‌ های خود را به فضاهای ذخیره ‌سازی امن منتقل می ‌کنند.

مرحله پنجم: نفوذ و یا آسیب زدن به شبکه

آخرین مرحله این است که مهاجمان برای اینکه داده ها را به خارج از سیستم انتقال دهند آماده می شوند. در این مرحله معمولا یک حمله white noise ازجمله DDoS انجام می ‌دهند تا از این طریق، تمرکز تیم های امنیتی را بهم بریزند. بعد از مراحل گفته شده، داده ها به بهترین شکل ممکن از شبکه خارج می شود و در انتها تیم سایبری اقداماتی برای حذف شواهد موجود انجام می دهند و تمام ردپای خود را پاک می کنند.

هنگامی که مهاجمان شناسایی نشوند این قابلیت را دارند که در شبکه باقی بمانند و در یک موقعیت مناسب دوباره حملات خود را تکرار کنند و داده های مهم سیستم را به سرقت ببرند. همچنین آنها حفره امنیتی Backdoor را ایجاد کرده که تشخیص آن دشوار است، حتی اگر این مهاجمان دستگیر شوند در آینده می توانند با بهره از این حفره ها، به سیستم مورد نظر دسترسی پیدا کنند و به سرقت داده ها بپردازند.

بررسی نشانه های مهم حمله APT

همانطور که تا این قسمت از مقاله متوجه شدید مهم ترین هدف حمله APT سرقت اطلاعات بسیار حساس و حیاتی است. معمولا هنگامی که تیم حمله به این اطلاعات دسترسی پیدا می کنند با سرعت و بدون هیچ ردپایی از آن خارج می شوند.

بهتر است بدانید که اگر حمله APT از سوی حرفه ای ترین هکرهای جهان صورت گیرد و این تیم ها بهترین و پیشرفته ترین ابزارها را برای هک استفاده کنند باز هم راهی برای شناسایی آنها وجود دارد؛ توجه کنید که وجود تنها یکی از نشانه ‌های زیر دال بر اجرای فرایند نیست.

ورودهای غیر منتظره

هنگامی که حجم غیر قابل پیش بینی و غیر منتظره به سرورهای شما خارج از ساعات اداری انجام می شود به این معنی است که یک حمله APT در حال انجام است. یکی از مهم ترین راه هایی که مهاجمان برای نفوذ از آن استفاده می کنند، اکانت های سرقت شده کارمندان رده بالای نهاد مورد نظر است. مهاجمان با بهره از این اکانت ها، به راحتی به شبکه وارد می شوند. با این حال مهاجمان احتمالا در یک منطقه زمانی متفاوت از شما حضور دارند و در شب کار می‌ کنند تا احتمال توجه به فعالیت آنها کاهش یابد. بدین ترتیب ورود کارمندان به سرور در خارج از ساعات اداری را زیر نظر داشته باشید.

بهتر است بدانید که جعل هویت و سرقت حساب کاربری تنها در حمله APT انجام نشده است و هکرها برای اجرای سیبل اتک نیز از آن استفاده می ‌کنند؛ این عملیات برای کسب حداکثر نفوذ در سیستم انجام شده اما این تمام ماجرا نیست.

افزایش تعداد تروجان‌ های backdoor

همانطور که می دانید ابزارهای امنیتی پیشرفته محافظ شبکه، این توانایی را دارد که به شناسایی تعداد تروجان‌های backdoor بپردازند. هنگامی که هشدار آنها افزایش پیدا کند احتمال حمله سایبری وجود دارد، اگر ابزارهای شما نیز به صورت مرتب هشدار ارسال می کنند به احتمال زیاد شما تحت حمله APT قرار گرفته اید. مهاجمان این تروجان را نصب کرده تا از دسترسی مجدد به شبکه و سیستم اطمینان داشته باشند؛ حتی درصورت تغییر اطلاعات اکانت، باز هم به سیستم دسترسی خواهند داشت.

منتقل کردن داده های هماهنگ نشده

مهم ترین استراتژی حمله APT انتقال داده های بسیار ضروری و حساس به مکان امن در شبکه است. در این روش مهاجمان داده ها را کپی می کنند و در موقعیت مناسب آن را منتقل می کنند. این جریان اطلاعات معمولا به‌ صورت سرور به سرور، سرور به کلاینت یا شبکه به شبکه رخ می ‌دهد، جابجایی هماهنگ ‌نشده و بدون توضیح داده‌ ها یکی از اصلی ‌ترین نشانه ‌ها است.

برای کسب اطلاعاتی در مورد نحوه ثبت نام در صرافی مکسی به صورت تصویری، بر روی لینک کلیک کنید.

چگونه از حملات APT در امان بمانیم؟

بهتر است بدانید که راه های زیادی برای در امان ماندن از Advanced Persistent Threats وجود دارد که شما می توانید با رعایت نکات گفته شده در قسمت زیر از خطر APT در امان بمانید و هیچ خطری امنیت اطلاعات حساس شما را تهدید نکند.

آگاهی یافتن از حملات فیشینگ

یکی از مرسوم ترین روش مهاجمان برای نفوذ به سیستم ها فیشینگ است، معمولا مهاجمان از این روش مرسوم برای حمله استفاده می کنند. معمولا راه هایی برای جلوگیری از این تهاجم وجود دارد، برای مثال یک شرکت می تواند با ارائه آموزش های لازم به کارمندان خود سطح آگاهی کارمندان خود را ارتقا بخشد تا آنها از وجود ایمیل های حاوی لینک های مخرب آگاه شوند؛ در این صورت می توان تا حدود زیادی از حملات فیشینگ جلوگیری کرد.

بروزرسانی پچ های امنیتی

نکته بسیار ضروری که باید بدانید این است که مهاجمان معمولا به دنبال نقطه ضعف در شبکه هستند تا از این طریق به آن حمله کنند و اطلاعات مربوطه را به سرقت ببرند. با اطمینان از نصب پچ امنیتی و به ‌روز بودن آنها می‌ توان شانس قرارگیری در معرض چنین آسیب‌ پذیری‌هایی را کاهش داد و امنیت اطلاعات را تامین کرد. همچنین شرکت ‌ها می ‌توانند با نصب ابزارهای امنیتی جدید از آسیب حملات سایبری در امان بمانند.

همچنین می ‌توان با استفاده از رمزنگاری، امنیت اطلاعات را افزایش داد تا هکرها به‌ سادگی قادر به استفاده از آنها نباشند، امنیت بلاک چین را نیز می ‌توان با روش ‌هایی مشابه تامین کرد.

بهره گیری از کنترل دستی بسیار قدرتمند

ضروری است بدانید که استفاده از یک سیستم کنترل دسترسی قدرتمند می تواند تا حد بسیار زیادی از ورود موفقیت آمیز اکانت های به سرقت رفته جلوگیری کند.

کنترل دائمی

یکی از مهم ترین روش هایی که از سوی افراد متخصص به سازمان ها و شرکت های با حساسیت بالا توصیه می شود این است که همواره کنترل دائم و شبانه روزی سیستم را جدی بگیرند؛ بدین ترتیب چند نیروی انسانی در ۲۴ ساعت شبانه ‌روز شبکه را زیر نظر داشته و هر گونه فعالیت مشکوک را گزارش می ‌دهند تا حمله در مراحل اولیه خنثی شود.

مثال هایی از حمله صورت گرفته توسط APT

این حمله برای اولین بار از سوی کاشفش نام گذاری شد، بعد از این نام گذاری چندین بار نیز توسط دیگر محققان کشف و نام گذاری شد. در قسمت زیر قصد داریم به بررسی حملات APT بپردازیم.

مورد اول: خانواده بدافزار Sykipot APT

خانواده بدافزار Sykipot APT برای اولین بار در سال 2006 شناسایی شد، این حمله تا سال 2013 ادامه دار بود. در این حمله مهاجمان تلاش کردند که از بدافزارSykipot  برای مجموعه حملات سایبری بهره ببرند. هدف از این حملات، به دست آوردن اطلاعات بسیار مهم سازمان های آمریکایی و بریتانیایی بود. مهاجمان از فیشینگ استفاده می کردند که این فیشینگ ها دارای لینک ها و پیوست های بسیار مخرب بود، سپس از این طریق به سیستم ها نفوذ کرده و اطلاعات بسیار مهمی را به سرقت می بردند.

برای اطلاع از نحوه معامله با اسمارت مانی، بر روی لینک کلیک کنید.

عملیات GhostNet

GhostNet cyberespionage نیز برای اولین بار در سال 2009 شناسایی شد. مبدا آغاز این حمله نیز از کشور چین بود، مهاجمان با ارسال ایمیل های فیشینگ با لینک های مخرب به سیستم ها نفوذ می کردند. این حمله در سراسر جهان گسترش یافت و کامپیوترهای بیش از صد کشور را تهدید کرد. در این مورد تمرکز مهاجمان روی دسترسی به شبکه وزارت ‌خانه‌ ها و سفارت ‌خانه ‌های دولتی بود و به هکرها قدرت می ‌داد تا سیستم‌ ها را کنترل کنند؛ بدین ترتیب آنها با روشن کردن دوربین ‌ها و فعال کردن قابلیت ضبط صدا از راه دور آنها را به دستگاه‌ های شنود تبدیل می‌ کردند.

عملیات Stuxnet Worm

این عملیات برای ما ایرانیان یکی از حملات بسیار مهم است زیرا هدف از این حمله شناسایی برنامه اتمی کشور بود که در سال 2010 شناخته شد، عملیات Stuxnet Worm همواره نیز یکی از بدافزارهای تاریخ است.

حمله APT28

این حمله نیز در سال 2014 شناخته شد و از سوی گروهی روسی تبار صورت گرفت. نام این گروه روسی Fancy Bear، Pawn Storm، Sofacy Group و Sednit بود و هدف از این حمله این بود که سیستم های نظامی و تسلیحاتی کشور مقابل روسیه در جنگ 2014 مختل شود. بدین ترتیب به سیستم ‌های نظامی اوکراین، گرجستان، ناتو و ایالات ‌متحده حمله شد و APT28 ضرر و زیان چشمگیری به حریفان روسیه وارد کرد و توانست بر پیروزی این کشور برگ برنده ای باشد.

حمله APT43

حمله APT43 در سال 2018 به صورت رسمی شناسایی شد که از سود کشور کره شمالی برای سرقت اطلاعات حیاتی دیگر کشورها انجام شد، هکرهای کشور کره‌ شمالی از رمزارزهای دیجیتالی که پیش ‌تر به سرقت برده‌ بودند برای خرید زیرساخت و دستگاه‌ های سخت ‌افزاری مورد نیاز جهت اجرای جمله‌ ها استفاده می ‌کنند.