اخبار امنیت

حملات پیشرفته APT

۶ خرداد ۱۳۹۹

حملات پیشرفته APT

APTمخفف Advanced Persistent Threat می‌باشد. نوعی حمله است که در آن یک مهاجم احراز هویت نشده می‌تواند برای مدت زمان زیادی به صورت ناشناس به یک شبکه دسترسی داشته باشد. به نقل از وب‌سایت BlackBerry، اخیراً ۵ گروه مرتبط با حملات APT که ظاهراً در جهت منافع دولت چین عمل می‌کنند، نزدیک به یک دهه است که به صورت ناشناس، سرورهای لینوکسی، سیستم‌های ویندوزی و دستگاه‌های اندرویدی را مورد حمله قرار داده‌اند. همانطور که امروزه چین نقش یک ابر قدرت را در جهان بازی می‌کند، برای دستیابی به فناوری‌های خارجی و مالکیت فکری و همچنین موضع‌گیری بهتر در مقابل رقبای بین‌المللی به عملیات جاسوسی سایبری متکی گردیده است. در پاسخ به تهدیدات گسترده جاسوسی اقتصادی توسط چین، وزارت دادگستری ایالات متحده (DOJ) در نوامبر سال ۲۰۱۸ راهکار China Initiative با محوریت جلوگیری و محاکمه سرقت فناوری‌های امریکایی و مالکیت فکری آن‌ها توسط چین را ارائه داد. گزارش پیش رو دید عمیق‌تری نسبت به عملیات گسترده جاسوسی اقتصادی با هدف مالکیت فکری را ارائه می‌دهد. طبق اعلام وزارت دادگستری ایالات متحده (DOJ)، این موضوع دارای بیش از ۱۰۰۰ پرونده بسته نشده در تمام دفاتر پلیس FBI در سراسر امریکا می‌باشد.

بیشتر سازمان‌های بزرگ به لینوکس متکی هستند

ویژگی چندسکویی (Cross Platform) این حملات، با توجه به افزایش ناگهانی تعداد کاربران دورکار، نگرانی‌های زیادی را ایجاد نموده است. ابزارهای شناسایی شده در این کمپین‌های حملاتی به گونه‌ای طراحی شده‌اند که بیشترین تهدید را متوجه کاربران خانگی دورکار خواهند نمود. از طرفی حضور اندک پرسنل در محل کار برای تأمین امنیت سیستم‌ها، خطرات این موضوع را افزایش داده است. در حالی که بیشتر نیروهای کاری برای مقابله با بحران بیماری کرونا در محل کار حضور فیزیکی ندارند اما مالکیت فکری و معنوی سازمان (از جمله اسرار تجاری) همچنان در مراکز داده آن باقی مانده‌اند که بیشتر آن‌ها بر روی سیستم‌های تحت لینوکس کار می‌کنند.

چرا لینوکس هدف ارزشمندی است؟

لینوکس در حالی که کمترین میزان کاربرپسندی را دارد ارزشمندترین سیستم‌عامل در دنیا می‌باشد. این سیستم‌عامل پایین‌ترین رتبه را در استفاده به عنوان دسکتاپ برای کاربران خانگی داشته اما در زیرساخت‌های مراکز داده مدرن سلطه زیادی دارد. بر اساس آمارهای منتشر شده توسط Netcraft در سال ۲۰۱۹ و بنیاد لینوکس در سال ۲۰۲۰، تقریباً تمام یک میلیون وب‌سایت برتر اینترنتی، ۷۵% سرویس‌دهنده‌های وب، ۹۸% ابررایانه‌های دنیا و ۷۵% ارائه دهندگان عمده خدمات ابری بر روی سیستم‌های لینوکسی بنا شده‌اند. بیشتر سازمان‌های بزرگ برای اجرای وب‌سایت‌ها، استفاده از پروکسی‌ها برای انتقال ترافیک شبکه و ذخیره اطلاعات با ارزش خود به لینوکس متکی هستند. ماهیت منبع باز بودن لینوکس که آن را ایمن‌تر و کمتر نیازمند نگهداری می‌کند، لینوکس را به یک سیستم‌عامل ایده‌آل برای ستون فقرات مراکز داده تبدیل کرده است. در پشت صحنه مراکز دولتی، دانشگاه‌ها و شرکت‌های مختلف در سراسر جهان، لینوکس را بر روی سرورهایی خواهید دید که با اطلاعات حساس سر و کار داشته و از آن‌ها نگهداری می‌کند.

این گزارش به بررسی این موضوع می‌پردازد که چطور حملات APT از ویژگی “همیشه روشن” و “همیشه در دسترس” سرورهای لینوکسی به عنوان بستری برای اجرای عملیات خود به منظور نیل به اهداف گسترده استفاده می‌کنند. مجموعه ابزارهای مخرب لینوکسی شامل دو روت‌کیت در سطح کرنل سیستم‌عامل می‌باشند که شناسایی آن‌ها بسیار دشوار است و این احتمال وجود دارد که تعداد سازمان‌های آلوده و مدت زمان آلودگی آن‌ها عدد قابل توجهی باشد. اریک کُرنیلوس رئیس معمار محصولات BlackBerry می‌گوید: “لینوکس به طور معمول فقط با کاربر روبرو نیست و اکثر شرکت‌ها تمرکز خود در حوزه‌های بازاریابی و مهندسی را بر روی تولید محصولاتی برای ویترین شرکت صرف می‌کنند و به آنچه در مراکز داده اتفاق می‌افتد توجه کمتری نشان می‌دهند. به همین خاطر لینوکس دارای پوشش کمتری است.” گروه‌های APT سال‌ها از این شکاف‌های امنیتی به دلیل مزیت استراتژیکی که دارند برای سرقت مالکیت فکری از بخش‌های هدفمند استفاده کرده‌اند بدون اینکه کسی متوجه شود.

گروه‌های APT: سایر یافته‌ها

گروه‌های APT مورد بررسی در این گزارش که احتمالاً پیمانکاران غیرنظامی هم‌سو با دولت چین هستند، به راحتی ابزارها، روش‌ها، زیرساخت‌ها و اطلاعات مربوط به قربانیان را با یکدیگر و همتایان دولتی خود به اشتراک می‌گذارند. گروه‌های APT به طور سنتی موضوعات مختلفی را دنبال کرده‌اند و بر روی اهداف گسترده‌ای متمرکز شده‌اند. با این وجود هماهنگی قابل ملاحظه‌ای بین این گروه‌ها خصوصاً زمانی که سیستم‌های مبتنی بر لینوکس را مورد هدف قرار می‌دهند وجود دارد. این پژوهش دو نمونه جدید از بدافزارهای اندرویدی را شناسایی کرده که نشان می‌دهد چطور گروه‌های APT از ترکیب بدافزارهای موبایلی و بدافزارهای سنتی دسکتاپ برای نظارت بر مقاصد چندسکویی و کمپین‌های جاسوسی استفاده کرده‌اند. کد منبع یکی از این بدافزارهای اندرویدی شباهت بسیاری زیادی به کد منبع یکی از ابزارهای تجاری تست نفوذ دارد. اما بررسی‌ها نشان می‌دهد که این بدافزار تقریباً دوسال قبل از ارائه نسخه تجاری ابزار تست نفوذ ساخته شده است. این گزارش به بررسی چندین نمونه جدید از بدافزارهای معروف پرداخته که در حالی که از گواهینامه‌های نرم‌افزاری برای تبلیغ‌افزارها استفاده می‌کرده‌اند توسط کارشناسان امنیتی شناسایی شده‌اند. در این روش، مهاجم امیدوار است که نرخ آلودگی را در حالی که هشدارهای آنتی‌ویروس خاموش است افزایش دهد. همچنین این پژوهش نشان می‌دهد که مهاجمین تمایل دارند از ارائه‌دهنگان خدمات ابری که ترافیک شبکه قابل اعتمادی دارند برای پیاده‌سازی سرورهای فرمان و کنترل (C&C) و استخراج داده‌ها استفاده نمایند.

کمپین‌های مبتنی بر ویندوز

سیستم‌عامل ویندوز تاریخچه‌ای طولانی در فراهم نمودن بستری برای حملات APT  مرتبط با رویکرد WINNTI دارد. این به این دلیل است که تروجان‌های دسترسی از راه دور (RAT) در ویندوز بیش از یک دهه است که دسکتاپ‌ها و سرورها را به طور یکپارچه در عملیات خود مورد هدف قرار داده‌اند. برخی از این گروه‌ها، تخصص خود را در حمله به لینوکس و سایر سیستم‌عامل‌‌ها نیز نشان داده‌اند. در حالی که جابجایی بین سیستم‌عامل‌های لینوکس و ویندوز ممکن است به عنوان یک پدیده جدید به نظر برسد، بسیاری از این گروه‌ها در سال ۲۰۱۲ به ثبت رسیده‌اند. یکی از گروه‌های اخیر که توسط CrowdStrike رصد شده است، موسوم به WICKED SPIDER می‌باشد که به نظر می‌رسد MacOS را نیز مورد هدف قرار داده است. به منظور تسهیل حرکت بین سیستم‌عامل‌ها، برخی از گروه‌های APT از ابزار تونل زنی چندسکویی (Cross Platform) به نام EarthWorm برای پروکسی نمودن ترافیک شبکه بین سیستم‌عامل‌های مختلف استفاده نموده‌اند.

نتیجه‌گیری

امروزه‌ گروه‌های APT با محیط‌های عملیاتی جدید به راحتی سازگار شده و ابزارهای جدیدی را توسعه داده و روش‌های تازه‌ای را برای جمع‌آوری اطلاعات بکار گرفته‌اند. علاوه بر این بسیاری از روش‌هایی که در یک دهه گذشته مورد استفاده قرار می‌گرفت همچنان تأثیرگذار هستند. در حالی که اکثر سازمان‌های امنیتی در تلاش برای شناسایی و پاسخ به حملات پیشرفته بعدی هستند تعداد معدودی از آن‌ها با نگاه به گذشته، نقاط ضعف و نقایص خود را برطرف می‌نمایند. بنابراین به نظر می‌رسد که مهاجمین با اعمال تغییرات جزئی در روش‌های خود قادر به دور زدن راهکارهای امنیتی باشند.

  • تهدیدات لینوکسی: نتایج تحقیقات نشان می‌دهد که گروه‌های APT از طریق بدافزاری که به وسیله یک ماژول روت‌کیت سطح کرنل سیستم‌عامل مبهم‌سازی شده قادر به نفوذ و ایجاد پایداری در سرورهایی هستند که به عنوان ستون فقرات مراکز داده می‌باشند. این ویژگی‌ها به آن‌ها اجازه می‌دهد که بدون شناسایی شدن به فعالیت خود در سیستم قربانی ادامه دهند. این واقعیت که این ابزار جدید لینوکسی در یک دهه گذشته بدون اینکه شناسایی شود توسط گروه‌های APT مورد استفاده قرار گرفته است نشان می‌دهد که احتمالاً تعداد موارد آلودگی و مدت زمان آن بسیار قابل توجه باشد.
  • تهدیدات ویندوزی: پژوهش‌های انجام شده حاکی از آن است که بدافزارهای ویندوزی سعی در مخفی نگهداشتن خود با استفاده از گواهینامه‌های دیجیتالی به سرقت رفته دارند با این امید که در کنار تبلیغ‌افزارها و همانند سایر هشدارهای امنیتی نادیده گرفته شوند.
  • تهدیدات تلفن همراه: تحقیقات صورت گرفته نشان می‌دهد که دستگاه‌های اندرویدی مورد حمله گروه‌های مرتبط با WINNTI قرار گرفته‌اند. همچنین بر اساس پژوهش‌های انجام شده توسط محققین BlackBerry استفاده از بدافزارهای موبایلی در ترکیب با بدافزارهای دسکتاپ، روند افزایشی دارد.

آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی

برای کسب اطلاعات بیشتر با ما تماس بگیرید

تعداد بازدید: 141


تازه ترین ها