التهديدات المستمرة المتقدمة: أول إلهام في الحرب الإلكترونية القادمة؟

2024

جدول المحتويات:

ما هو APT؟
كيف هي APTs مختلفة؟
بعض الأمثلة من APTs
إلى أين APTs؟
التهديدات الأمنية في القرن الحادي والعشرين

لم يعد الهجوم على شبكة الكمبيوتر هو الأخبار الرئيسية ، ولكن هناك نوعًا مختلفًا من الهجمات التي تنقل مخاوف الأمن السيبراني إلى المستوى التالي. وتسمى هذه الهجمات التهديدات المستمرة المتقدمة (APT). تعرف على كيفية اختلافها عن التهديدات اليومية ولماذا يمكنها إلحاق الكثير من الأضرار في مراجعتنا لبعض الحالات البارزة التي حدثت خلال السنوات القليلة الماضية. (لقراءة الخلفية ، تحقق من أكثر التهديدات الخمسة رعباً في مجال التكنولوجيا.)

ما هو APT؟

يمكن أن يشير مصطلح التهديد المستمر المتقدم (APT) إلى المهاجم باستخدام وسائل وتنظيم ودوافع جوهرية لتنفيذ هجوم إلكتروني مستمر ضد هدف ما.

و APT ، وليس من المستغرب ، المتقدمة والمستمرة والتهديد. تم تطويره لأنه يستخدم أساليب التخفي والهجمات المتعددة للتنازل عن هدف ، غالبًا ما يكون مصدرًا تجاريًا أو حكوميًا ذا قيمة عالية. من الصعب أيضًا اكتشاف هذا النوع من الهجوم وإزالته والسمات لمهاجم معين. والأسوأ من ذلك ، بمجرد أن يتم اختراق الهدف ، غالبًا ما يتم إنشاء الأماكن الخلفية لتزويد المهاجم بوصول مستمر إلى النظام المشتبه فيه.

تعتبر APTs ثابتة بمعنى أن المهاجم قد يقضي أشهر في جمع المعلومات الاستخبارية حول الهدف واستخدام تلك المعلومات في شن هجمات متعددة على مدى فترة زمنية طويلة. إنها تهديد لأن الجناة غالباً ما يتبعون معلومات حساسة للغاية ، مثل تصميم محطات أو أكواد الطاقة النووية لاقتحام مقاولي الدفاع الأمريكيين.

لهجوم APT عموما ثلاثة أهداف رئيسية:

سرقة المعلومات الحساسة من الهدف
مراقبة الهدف
تخريب الهدف

يأمل المهاجم في أن يكون قادرًا على تحقيق أهدافه بينما يظل غير مكتشف.

غالبًا ما يستخدم مرتكبو APTs اتصالات موثوقة للوصول إلى الشبكات والأنظمة. يمكن العثور على هذه الروابط ، على سبيل المثال ، من خلال شخص متعاطف من الداخل أو موظف غير لائق يقع فريسة لهجوم التصيد العشوائي.

كيف هي APTs مختلفة؟

تختلف APTs عن الهجمات الإلكترونية الأخرى بعدة طرق. أولاً ، غالبًا ما تستخدم APTs أدوات مخصصة وتقنيات اقتحام - مثل مآثر الضعف والفيروسات والديدان والجذور الخفية - المصممة خصيصًا لاختراق المؤسسة المستهدفة. بالإضافة إلى ذلك ، غالبًا ما تشن APTs هجمات متعددة في وقت واحد لخرق أهدافها وضمان الوصول المستمر إلى الأنظمة المستهدفة ، بما في ذلك في بعض الأحيان شرك لخداع الهدف في التفكير في صد الهجوم بنجاح.

ثانيًا ، تحدث هجمات APT على فترات زمنية طويلة يتحرك خلالها المهاجمون ببطء وبهدوء لتجنب اكتشافها. على النقيض من التكتيكات السريعة للعديد من الهجمات التي يشنها مجرمو الإنترنت النموذجيون ، فإن الهدف من APT هو أن تظل غير مكتشفة عن طريق تحريك "منخفض وبطيء" مع المراقبة والتفاعل المستمر حتى يحقق المهاجمون أهدافهم المحددة.

ثالثا ، تم تصميم APTs لتلبية متطلبات التجسس و / أو التخريب ، وعادة ما تنطوي على الجهات الفاعلة الدولة السرية. الهدف من APT يشمل جمع المعلومات العسكرية أو السياسية أو الاقتصادية أو البيانات السرية أو تهديد الأسرار التجارية أو تعطيل العمليات أو حتى تدمير المعدات.

رابعا ، تهدف APTs إلى مجموعة محدودة من الأهداف ذات القيمة العالية. تم شن هجمات APT ضد الوكالات والمرافق الحكومية ، ومقاولي الدفاع ، والشركات المصنعة للمنتجات عالية التقنية. المنظمات والشركات التي تحتفظ وتدير البنية التحتية الوطنية هي أيضا أهداف محتملة.

بعض الأمثلة من APTs

كانت عملية Aurora واحدة من أوائل APTs التي تم نشرها على نطاق واسع ؛ كانت سلسلة الهجمات ضد الشركات الأمريكية متطورة ، مستهدفة ، خفية ومصممة للتلاعب بالأهداف.

استغلت الهجمات ، التي أجريت في منتصف عام 2009 ، ثغرة أمنية في متصفح Internet Explorer ، مما مكّن المهاجمين من الوصول إلى أنظمة الكمبيوتر وتنزيل البرامج الضارة لتلك الأنظمة. تم توصيل أنظمة الكمبيوتر بخادم عن بعد وتم سرقة الملكية الفكرية من الشركات ، بما في ذلك Google و Northrop Grumman و Dow Chemical. (اقرأ عن الهجمات الضارة الأخرى في البرامج الضارة: الدودات وأحصنة طروادة والبوتات ، يا بلدي!)

كانت Stuxnet أول APT تستخدم هجومًا إلكترونيًا لتعطيل البنية التحتية المادية. يعتقد أن دودة Stuxnet التي طورتها الولايات المتحدة وإسرائيل ، استهدفت أنظمة التحكم الصناعية لمحطة الطاقة النووية الإيرانية.

على الرغم من أن Stuxnet قد تم تطويرها لمهاجمة المنشآت النووية الإيرانية ، إلا أنها امتدت إلى ما هو أبعد من الهدف المقصود ، ويمكن استخدامها أيضًا ضد المنشآت الصناعية في الدول الغربية ، بما في ذلك الولايات المتحدة.

كان من أبرز الأمثلة على APT خرق RSA ، وهي شركة لأمن الكمبيوتر والشبكات. في آذار (مارس) 2011 ، تسببت RSA في حدوث تسرب عندما اخترقها هجوم تصيّد رمح قام بتوصيل أحد موظفيها مما أدى إلى إصابة كبيرة بالمهاجمين الإلكترونيين.

في رسالة مفتوحة إلى RSA نشرها العملاء إلى موقع الشركة على الويب في مارس 2011 ، قال رئيس مجلس الإدارة التنفيذي آرت كوفيللو إن هجوم APT المتطور قد استخرج معلومات قيمة تتعلق بمنتج المصادقة SecurID ثنائي العوامل الذي يستخدمه العمال عن بُعد للوصول الآمن إلى شبكة شركتهم .

"بينما نحن على ثقة في الوقت الحالي من أن المعلومات المستخرجة لا تتيح هجومًا ناجحًا مباشرًا على أي من عملاء RSA SecurID لدينا ، فمن المحتمل أن تستخدم هذه المعلومات لتقليل فعالية تنفيذ المصادقة الثنائية الحاليين كجزء من تطبيق أوسع الهجوم "، وقال كوفيللو.

لكن تبين أن كوفيللو كان مخطئًا في ذلك ، حيث أبلغ العديد من عملاء الرمز المميز RSA SecurID ، بمن فيهم عملاق الدفاع الأمريكي Lockheed Martin ، عن هجمات ناتجة عن اختراق RSA. في محاولة للحد من الضرر ، وافقت RSA على استبدال الرموز لعملائها الرئيسيين.

إلى أين APTs؟

شيء واحد مؤكد: APTs ستستمر. طالما أن هناك معلومات حساسة لسرقة ، سوف تتبعها المجموعات المنظمة. وطالما أن الأمم موجودة ، سيكون هناك تجسس وتخريب - ماديًا أو سيبرانيًا.

هناك بالفعل متابعة لدودة Stuxnet ، التي أطلق عليها اسم Duqu ، والتي تم اكتشافها في خريف عام 2011. مثل عميل النائم ، دمجت Duqu نفسها بسرعة في النظم الصناعية الرئيسية وتجمع المعلومات الاستخباراتية وتجد وقتها. كن مطمئنًا أنه يدرس مستندات التصميم للعثور على نقاط ضعف للهجمات المستقبلية.

التهديدات الأمنية في القرن الحادي والعشرين

من المؤكد أن Stuxnet و Duqu و ورثتهم سوف يبتلى بشكل متزايد الحكومات ومشغلي البنية التحتية الحيوية ومتخصصي أمن المعلومات. لقد حان الوقت للتعامل مع هذه التهديدات بجدية مثل مشاكل أمن المعلومات الدنيوية في الحياة اليومية في القرن ^الحادي والعشرين.