در نوامبر ۲۰۱۴ کمپانی Sony Pictures اعلام کرد که سیستم های آنها هک شده و برخی از داده های داخلی شرکت ها از جمله ایمیل های اجرایی، اطلاعات شخصی کارمندان، فیلم ها و فایل هایی که تا آن زمان منتشر نشده بود، فاش شده است. این حمله به گروهی موسوم به گروه لازاروس نسبت داده شد که حملات دیگری از جمله سرقت از صرافی ها و شرکت های مالی در کارنامه آنها وجود دارد. در این مقاله قصد داریم به بررسی حملات Advanced Persistent Threats یا همان APT ها بپردازیم که attack به کمپانی سونی پیکچرز به عنوان یک نمونه از این دسته شناخته می شود. به اصطلاح در پشتی به حمله کننده این امکان را میدهد تا هر زمان که خواست ابزار مخرب را بر روی سیستم ها نصب کند . هرچند یافتن حملات APT ، کار به نظر دشواری است ولی سرقت اطلاعات کاملاً مخفی باقی نمی ماند. می توان با تشخیص انومالی در ترافیک خروجی سازمان، که شاید بهترین راه ممکن هم باشد، این حملات را شناسایی نمود.
حملات تحت شبکه ای که یک شخص احراز هویت نشده می تواند برای مدت زمان زیادی به صورت ناشناس به شبکه دسترسی پیدا کند. هدف یک حمله APT تنها ضربه زدن به سازمان و یا انجام اعمال خراب کارانه نبوده و هدف سرقت اطلاعات نیز می باشد. از این رو هدف اکثر حملات معمولاً سازمان هایی می باشد که اطلاعات مفیدی در اختیار دارند مانند سازمان دفاع، صنایع تولیدی و مالی و ... . در یک حمله معمولی حمله کننده تلاش می کند تا به سرعت وارد شده و اطلاعات را سرقت نماید سپس از شبکه خارج شود تا سیستم های تشخیص نفوذ شانس کمتری برای یافتن این گونه حملات داشته باشند. هرچند در این حملات هدف ورود و خروج سریع نیست و معمولاً این گونه حملات، مانا یا Persistent هستند. بدین منظور حمله کننده باید دائماً کدهای فایل مخرب را بازنویسی نماید و تکنیک های پنهان سازی پیچیده ای را استفاده نماید ( به همین دلیل به آنها Advanced گفته میشود).
منظور روش های پیشرفته و معمولاً مخفی برای بدست آوردن مستمر اطلاعات در مورد فرد یا گروهی از افراد از جمله دولتهای خارجی است. در حوزه امنیت اطلاعات، منظور زیرمجموعه ای از تهدیدهاست که در یک الگوی دراز مدت حملات نفوذی پیچیده علیه دولت ها، شرکت ها و فعالان سیاسی استفاده می شود. این اصطلاح به گروهی که پشت این حملات است نیز اشاره می کند. تصور غلط رایج درباره APT این است که این نوع تهدیدها بطور ویژه دولت ها را هدف قرار داده است. فناوری اینترنتی APT توسط حمله کنندگان در بسیاری از کشورها به عنوان وسیله ای برای جمع آوری اطلاعات از فرد، گروه و افراد مشخص استفاده می شود. گفته می شود که برخی از گروه های درگیر در APT توسط منابع متعدد دولتی به طور مستقیم یا غیرمستقیم حمایت می شوند.
حملات APT معمولاً از طریق حمله Spear Fishing، که نوعی حمله به سبک مهندسی اجتماعی است به شبکه نفوذ میکنند و وقتی نفوذ انجام شد فایل مخرب یک در پشتی بر روی شبکه ایجاد مینماید.قدم بعدی یافتن نام و پسورد کاربری معتبر مانند ادمین شبکه می باشد تا بتواند خود را بر روی دیگر سیستم های درون شبکه منتقل نماید و در پشتی را بر روی آن ها نیز نصب نماید. در پشتی به حمله کننده این امکان را میدهد تا هر زمان که خواست ابزار مخرب را بر روی سیستم ها نصب کند و اصطلاحاً یک زیرساخت روح یا Ghost Infrastructure برای توزیع بدافزار ایجاد نماید.هرچند یافتن حملات APT کار به نظر دشواری است، ولی سرقت اطلاعات کاملاً مخفی باقی نمی ماند. می توان با تشخیص انومالی در ترافیک خروجی سازمان، که شاید بهترین راه ممکن هم باشد، این حملات را شناسایی نمود.
باتوجه به اینکه هدف یک حمله APT صرفاً ضربه زدن به سازمان و یا انجام اعمال خراب کارانه نیست، اغلب هدف این گونه حملات سازمانی هایی است که اطلاعات مفیدی در اختیار دارند. حمله کننده تلاش می کند تا به سرعت وارد شده، اطلاعات را گرفته و سیستم را ترک کند تا سیستم های تشخیص نفوذ شانس کمتری برای یافتن این گونه حملات داشته باشند. سوء استفاده گران و هکرها همواره به دنبال راهی برای نفوذ به سیستم های کاربران خصوصاً کاربران خاص که سیستم های آنها حاوی اطلاعات مهم و با ارزش است، بوده اند اما از طرفی شرکت های امنیتی نیز همواره به دنبال کشف انواع ضد بدافزار برای جلوگیری از حمله هکرها بوده اند و تا حد زیادی توانسته اند جلوی فعالیت های مخرب آنها را بگیرند به همین دلیل هکرها به دنبال ایجاد بد افزار هایی هستند که قابل ردیابی نباشند تا بتوانند به مدت طولانی در سیستم کاربران باقی بمانند و نهایت استفاده را از نفوذ خود ببرند و به همین دلیل این روزها به سمت حملات APT و بدافزارهای FILELESS حرکت می کنند.
در این حملات این بدافزار به روش های مختلفی خود را پنهان می کند که میتوان به موارد زیر اشاره کرد:
. بخشی از حافظه اختصاص داده شده به یک پروسه مجاز را استفاده می کند و اگرچه کد مخربی بر روی دیسک سخت قرار داده شده است، اما همچنان به فایلی برای اجرا کردن آن در هر بار راه اندازی سیستم نیاز دارد.
. این بد افزار خود را در پشت یک API در سطح کاربر و یا در سطح هسته مخفی می کند و با اینکه بر روی دیسک سخت موجود است، توسط کاربر و حتی توسط ضد ویروس ها قابل شناسایی نیست.
. برخی از انواع جدید بدافزارهای FILELESS در REGISTERY ویندوز سیستم جایگزین می شوند. بدافزار در ابتدا به عنوان یک فایل به سیستم وارد می شود اما پس از آن با REBOOT یا راه اندازی مجدد دیگر نیازی به اجرای فایل اولیه نخواهد بود و عموماً سیستم ها و ایمیل ها ابزاری برای نفوذ این نوع بدافزار می باشند و به محض اجرای فایل ضمیمه، بدافزار کد مخرب را به صورت رمزگذاری شده در REGISTERY ثبت می کند و خود را از سیستم حذف می کند.
پروسه عملیات در حمله APT در چندین مرحله برنامه ریزی و اعمال میگردد که به اختصار آنها را خواهیم شناخت:
1. دستیابی به دسترسی: هکرهای حملات APT با دستیابی به شبکه هدف با استفاده از نفوذ در مواردی مثل پیوست های ایمیل، فایل های انتقالی کار خود را آغاز کرده و سعی می کنند بد افزارهایی را وارد سیستم کنند اما هنوز موفق به نفوذ کامل نشده اند.
2. درج بدافزار: بعد از اینکه مجرمان سایبری به شبکه دسترسی پیدا کردند، بدافزارهایی را تزریق می کنند که فضای بیشتری را برای فعالیت آن ها مهیا کند و به نحوی بستر را برای گسترش فعالیت ها افزایش دهد.
3. گسترش: در این مرحله زمان آن رسیده است که مهاجمان دسترسی خود را به سیستم هدف عمیق تر کنند. آنها راه های نفوذ بیشتری ایجاد کرده تا کنترل بیشتری بر روی سیستم ها داشته باشند. همچنین آن ها در این مرحله بر روی ایجاد تونل هایی برای انتقال داده ها که بعد تر به آن نیازمندند کار خواهند کرد.
4. اکتشاف داده ها: هنگامی که مهاجمان دسترسی عمیق تری به سیستم پیدا کردند، می توانند اطلاعات و داده های مورد نیاز را کشف کرده و به مکان دیگری در داخل شبکه فشرده سازی و از طریق تونل هایی که ایجاد کرده اند انتقال دهند. به همین ترتیب به گسترش خود ادامه داده، کشف داده های بیشتری را انجام می دهند و انتقال می دهند.
5. استخراج داده ها: در آخرین مرحله هدف رسماً به خطر افتاده است. وقتی داده ها در یک مکان امن در شبکه ذخیره می شوند، اغلب توسط هکر رمزگذاری می شوند. آن ها می توانند با استفاده از تونل های انتقال از قبل تأسیس شده، داده ها را به یک سرور خارجی منتقل کنند.