في الأمن السيبراني ، هناك عدد كبير من التهديدات الخبيثة. تكتب العديد من هذه التهديدات برامج ضارة ، على الرغم من وجود العديد من الطرق الأخرى التي يمكن لمجرمي الإنترنت أن يكونوا ضارين. لكن مستوى المهارة بينهما يختلف كثيرًا. العديد من "المتسللين" هم مجرد أطفال نصوص ، وقادرون فقط على تشغيل الأدوات الموجودة ويفتقرون إلى المهارات اللازمة لصنعها. يمتلك العديد من المتسللين المهارات اللازمة لصنع برامجهم الضارة ، على الرغم من اختلاف العيار الدقيق بشكل كبير. هناك فئة حصرية أخرى ، على الرغم من ذلك ، APT.
APT تعني "التهديد المستمر المتقدم". إنها أفضل طريقة للمخترقين وهي الأفضل بشكل عام في هذا المجال. لا تتمتع APTs بالمهارات الفنية فقط في تطوير برمجيات إكسبلويت ؛ يستخدمون أيضًا مجموعة من المهارات الأخرى ، بما في ذلك الدقة والصبر والأمن التشغيلي. بشكل عام ، من المفترض أن معظم ، إن لم يكن كل ، APTs هم جهات فاعلة في الدولة القومية أو على الأقل ترعاها الدولة. تم بناء هذا الافتراض من الوقت والجهد والتفاني الذي يظهرونه في تحقيق هدفهم.
بصمات جهاز APT
تختلف الأهداف الدقيقة لـ APT باختلاف البلد ، و APT ، والهجوم. يتم تحفيز معظم المتسللين من خلال المكاسب الشخصية وبالتالي اقتحام ومحاولة الاستيلاء على أكبر قدر ممكن من البيانات القيمة في أسرع وقت ممكن. تقوم APTs بتنفيذ هجمات تخريبية أو تجسس أو تخريبية وعادة ما تكون ذات دوافع سياسية أو اقتصادية في بعض الأحيان.
في حين أن معظم الجهات المهددة عادة ما تكون انتهازية ، تميل APTs إلى الهدوء أو حتى شديدة الاستهداف. وبدلاً من مجرد تطوير برمجيات إكسبلويت للثغرات التي يعثرون عليها ، فإنهم سيحددون هدفًا ، ويعملون على إيجاد أفضل السبل لإصابتها ، ومن ثم البحث عن برمجيات إكسبلويت وتطويرها. عادة ، سيتم تكوين هذه الثغرات بعناية شديدة لتكون هادئة ودقيقة قدر الإمكان. يقلل هذا من مخاطر الاكتشاف ، مما يعني أنه يمكن استخدام برمجيات إكسبلويت على أهداف أخرى مختارة قبل اكتشافها وإصلاح الثغرة الأمنية الأساسية.
تطوير الثغرات هو عمل تقني ويستغرق وقتًا طويلاً. وهذا يجعله عملاً مكلفًا ، خاصة عند التعامل مع أنظمة شديدة التعقيد بدون نقاط ضعف معروفة. نظرًا لأن أموال الدولة القومية متاحة لأجهزة APT ، فيمكنهم عادةً قضاء الكثير من الوقت والجهد في تحديد نقاط الضعف الدقيقة والخطيرة هذه ثم تطوير برمجيات إكسبلويت معقدة للغاية لهم.
الإسناد صعب
قد يكون من الصعب نسب هجوم إلى أي مجموعة أو دولة قومية. من خلال إجراء عمليات غوص عميقة في البرامج الضارة الفعلية المستخدمة والأنظمة الداعمة وحتى أهداف التتبع ، يمكن ربط سلالات فردية من البرامج الضارة بجهاز APT بثقة إلى حد ما وربط APT بدولة ما.
تشترك العديد من هذه الثغرات المتقدمة للغاية في أجزاء من التعليمات البرمجية من مآثر أخرى. قد تستخدم هجمات محددة نفس ثغرات يوم الصفر. يسمح ذلك بربط الحوادث وتعقبها بدلاً من كونها برامج ضارة غير عادية لمرة واحدة.
يتيح تتبع العديد من الإجراءات من APT إنشاء خريطة للأهداف المختارة. يمكن لهذا ، إلى جانب المعرفة بالتوترات الجيوسياسية ، أن يضيق على الأقل قائمة الدول الراعية المحتملة. يمكن أن يعطي التحليل الإضافي للغة المستخدمة في البرامج الضارة تلميحات ، على الرغم من إمكانية تزويرها لتشجيع الإسناد الخاطئ.
تأتي معظم الهجمات الإلكترونية من APTs مصحوبة بإنكار معقول لأن لا أحد يمتلكها. وهذا يسمح لكل دولة مسؤولة بأداء أعمال لا تريد بالضرورة أن ترتبط بها أو تتهم بها. نظرًا لأن معظم مجموعات APT تُنسب بثقة إلى دول قومية معينة ، ويُفترض أن تلك الدول القومية لديها المزيد من المعلومات لتبني عليها هذه الإسناد ، فمن المحتمل بشكل معقول أن يعرف الجميع من هو المسؤول عن ماذا. إذا اتهمت أي دولة دولة أخرى رسميًا بالهجوم ، فمن المحتمل أن يكونوا في الطرف المتلقي للإسناد الانتقامي. من خلال اللعب بالغباء ، يجب على الجميع الحفاظ على إنكارهم المعقول.
أمثلة
العديد من المجموعات المختلفة تسمي APTs أشياء أخرى ، مما يعقد تعقبها. بعض الأسماء هي مجرد تسميات مرقمة. يعتمد بعضها على أسماء استغلال مرتبطة تستند إلى أسماء نمطية.
هناك ما لا يقل عن 17 APTs منسوبة إلى الصين. يشير رقم APT ، مثل APT 1 ، إلى البعض. APT 1 هي أيضًا وحدة PLA 61398 على وجه التحديد. تم تسمية اثنين على الأقل من مجموعات APT الصينية بأسماء تنين: Double Dragon و Dragon Bridge. هناك أيضًا Numbered Panda و Red Apollo.
العديد من APTs المنسوبة إلى إيران تحتوي على كلمة "kitten" في الاسم. على سبيل المثال ، Helix Kitten و Charming Kitten و Remix Kitten و Pioneer Kitten. غالبًا ما تتميز APT الروسية بأسماء تحمل ، بما في ذلك Fancy Bear و Cozy Bear و Bezerk Bear و Venomous Bear و Primitive Bear. نُسبت كوريا الشمالية إلى ثلاث مجموعات من APT: Ricochet Chollima و Lazarus Group و Kimsuky.
إسرائيل وفيتنام وأوزبكستان وتركيا والولايات المتحدة لديها واحدة على الأقل منسوبة إلى APT. تسمى APT المنسوبة إلى الولايات المتحدة باسم مجموعة المعادلات ، والتي يُعتقد أنها TAO أو وحدة عمليات الوصول المخصصة التابعة لوكالة الأمن القومي. حصلت الجماعة على اسمها من اسم بعض مآثرها واستخدامها المكثف للتشفير.
تعتبر مجموعة المعادلات عمومًا الأكثر تقدمًا من بين جميع APTs. من المعروف أن لديها أجهزة تم منعها وتعديلها لتشمل برامج ضارة. كان يحتوي أيضًا على أجزاء متعددة من البرامج الضارة التي كانت قادرة بشكل فريد على إصابة البرامج الثابتة لمحركات الأقراص الثابتة من مختلف الشركات المصنعة ، مما يسمح للبرامج الضارة بالاستمرار عبر عمليات مسح محرك الأقراص بالكامل ، وعمليات إعادة تثبيت نظام التشغيل ، وأي شيء آخر غير تدمير محرك الأقراص. كان من المستحيل اكتشاف هذا البرنامج الضار أو إزالته وكان سيتطلب الوصول إلى الكود المصدري للبرنامج الثابت لمحرك الأقراص لتطويره.
خاتمة
APT تعني "التهديد المستمر المتقدم" وهو مصطلح يستخدم للإشارة إلى مجموعات القرصنة المتقدمة للغاية ، والتي لها روابط مزعومة بالدولة القومية بشكل عام. مستوى المهارة والصبر والتفاني الذي أظهرته APTs لا مثيل له في العالم الإجرامي. بالاقتران مع الأهداف السياسية غالبًا ، من الواضح جدًا أن هذه ليست مجموعات القرصنة مقابل المال العادية. بدلاً من الذهاب إلى خروقات البيانات بصوت عالٍ ، تميل أجهزة الإرسال والاستقبال المزود بنقطة وصول إلى أن تكون دقيقة وتغطي مساراتها قدر الإمكان.
بشكل عام ، لا يحتاج المستخدم العادي إلى القلق بشأن أجهزة الإرسال والاستقبال المزود بنقطة وصول. إنهم يقضون وقتهم فقط على أهداف ذات قيمة خاصة بالنسبة لهم. الشخص العادي لا يخفي الأسرار التي تعتبرها الدولة القومية ذات قيمة. إن الشركات الكبرى فقط ، خاصة تلك التي تقوم بأعمال حكومية ، والأشخاص المؤثرين بشكل خاص هم المعرضون بشكل واقعي لخطر الاستهداف. بالطبع ، يجب على الجميع أن يأخذوا أمنهم ، وكذلك أمن شركتهم ، على محمل الجد.
ومع ذلك ، فإن النظرة العامة في عالم الأمان هي أنه إذا قررت APT أنك مثير للاهتمام ، فستتمكن من اختراق أجهزتك بطريقة ما ، حتى لو كان عليها إنفاق ملايين الدولارات من الوقت في البحث والتطوير. يمكن ملاحظة ذلك في الحالات القليلة التي يتم فيها تصميم البرامج الضارة بعناية للقفز على "فجوات هوائية" مثل فيروس Stuxnet .