تاريخ النشر: 3 إبريل 2024
المساهمون: جريج ليندمولدر وأمبر فورست
التهديدات المستمرة المتقدمة (APT) هي هجمات إلكترونية غير مكتشفة مصممة لسرقة البيانات الحساسة أو إجراء عمليات التجسس الإلكتروني أو تخريب الأنظمة الحيوية على مدار فترة طويلة من الزمن. وعلى عكس التهديدات الإلكترونية الأخرى مثل برامج الفدية الضارة، فإن الهدف من مجموعة هجمات التهديدات المستمرة المتقدمة هو أن تظل غير ملحوظة في أثناء تسللها وتوسيع وجودها عبر إحدى الشبكات المستهدفة.
غالبًا ما تنفذ فرق المجرمين الإلكترونيين التي ترعاها الدول هجمات التهديدات المستمرة المتقدمة للوصول إلى المعلومات الحساسة للدول القومية الأخرى أو للملكية الفكرية للمؤسسات الكبيرة. وعلى الرغم من أن تلك الجهات المُهدِّدة قد تستخدم تقنيات الهندسة الاجتماعية التقليدية في البداية، فإنها معروفة بتخصيص الأدوات والأساليب المتقدمة لاستغلال الثغرات الأمنية الفريدة لمؤسسات محددة. وقد يستمر هجوم التهديدات المستمرة المتقدمة الناجح لعدة شهور أو حتى لسنوات.
حلل الإحصائيات الرئيسية من تقرير تكلفة خرق البيانات
غالبًا ما تحصل مجموعات هجوم التهديدات المستمرة المتقدمة على إمكانية الوصول الأولي إلى شبكتها المستهدفة من خلال الهندسة الاجتماعية والتصيد الاحتيالي الموجّه. باستخدام المعلومات التي جُمعت من مصادر داخل المؤسسة وخارجها، سيقوم مهاجمو التهديدات المستمرة المتقدمة بإنشاء رسائل بريد إلكتروني متطورة للتصيد الاحتيالي الموجّه تقنع المديرين التنفيذيين أو كبار القادة بالنقر فوق رابط ضار. وقد يسعى المهاجمون أيضًا إلى تتبع نقاط الدخول وأسطح الهجوم الأخرى لاختراق الشبكة. على سبيل المثال، قد يقومون بشن هجوم من دون انتظار على ثغرة أمنية غير مصححة في تطبيق ويب، أو تضمين برامج ضارة على أحد موقع الويب العامة التي يُعرف أن الموظفين يزورونه.
بعد الاقتحام الأولي، ستقوم مجموعات التهديدات المستمرة المتقدمة باستكشاف الشبكة وتخطيطها لتحديد أفضل الخطوات التالية للحركة الجانبية عبر المؤسسة. من خلال تثبيت سلسلة من الأبواب الخلفية التي تسمح لها بالوصول إلى الشبكة من نقاط دخول متعددة، يمكنها الاستمرار في إجراء الاستطلاع وتثبيت البرامج الضارة المخفية. وقد تحاول أيضًا اختراق كلمات المرور والحصول على حقوق إدارية لتأمين المناطق التي توجد بها البيانات الحساسة. والأهم من ذلك أن المهاجمين سينشئون اتصالاً بخادم قيادة وتحكمًا خارجيًا لإدارة الأنظمة المخترقة عن بعد.
ستنقل مجموعات التهديدات المستمرة المتقدمة المعلومات التي جمعتها بمرور الوقت إلى موقع مركزي وآمن داخل الشبكة للتحضير لأول حالة من سرقة البيانات. ويمكنها أيضًا تشفير البيانات وضغطها لتسهيل عملية النقل غير المصرح به. وبعد ذلك، قد تنظم حدث "ضجيج أبيض" مثل هجوم موزع لحجب الخدمة (DDoS)) لتشتيت انتباه أفراد الأمن وتحويل الموارد. في هذه المرحلة، يمكنها نقل البيانات المسروقة إلى خادم خارجي من دون اكتشافها.
قد تبقى مجموعات التهديدات المستمرة المتقدمة داخل شبكة مخترقة لفترة طويلة أو إلى أجل غير مسمى، حيث تنتظر فرصًا جديدة لشن الهجوم. خلال هذا الوقت، قد تحافظ على وجودها المخفي عن طريق إعادة كتابة التعليمات البرمجية لإخفاء البرامج الضارة وتثبيت أدوات rootkits التي توفر الوصول إلى الأنظمة الحساسة من دون اكتشافها. وفي بعض الحالات، قد تزيل أدلة الهجوم وتغادر الشبكة تمامًا بعد تحقيق أهدافها.
تقنع مجموعات التهديدات المستمرة المتقدمة المستخدمين بالنقر فوق الروابط الضارة أو الكشف عن المعلومات التي تمنحها الوصول إلى الأنظمة المحمية باستخدام رسائل البريد الإلكتروني الاحتيالية الموزعة على نطاق واسع، أو رسائل البريد الإلكتروني المخصصة للغاية التي تهدف إلى التصيد الاحتيالي الموجّه أو غيرها من أساليب التلاعب الاجتماعي.
من خلال نشر shellcode الضار الذي يفحص الشبكات بحثًا عن الثغرات الأمنية غير المصححة في البرامج، يمكن لمجموعات التهديدات المستمرة المتقدمة استغلال مناطق الضعف قبل أن يتمكن مسؤولو تكنولوجيا المعلومات من الاستجابة.
قد تستهدف مجموعات التهديدات المستمرة المتقدمة شركاء الأعمال أو التكنولوجيا أو البائعين الموثوق بهم بالنسبة إلى المؤسسة للحصول على وصول غير مصرح به من خلال سلاسل توريد البرامج أو الأجهزة المشتركة.
لقدرتها على توفير الوصول المخفي عبر الأبواب الخلفية إلى الأنظمة المحمية، تُعد rootkits أداة قيمة لمساعدة مجموعات التهديدات المستمرة المتقدمة على إخفاء العمليات التي تُنفذ عن بُعد وإدارتها.
بمجرد اكتساب مجموعات التهديدات المستمرة المتقدمة موطئ قدم في شبكة مخترقة، فإنها تنشئ اتصالاً بخوادمها الخارجية لإدارة الهجوم عن بُعد ونقل البيانات الحساسة من دون تصريح.
قد تستخدم مجموعات التهديدات المستمرة المتقدمة مجموعة من الأدوات الأخرى لتوسيع وجودها عبر شبكة وإخفائه، مثل البرامج الضارة ورصد لوحة المفاتيح والروبوتات واختراق كلمات المرور وبرامج التجسس وتشويش التعليمات البرمجية.
تشتهر Helix Kitten برسائل البريد الإلكتروني للتصيد الاحتيالي الموجّه المقنعة والمدروسة جيدًا، ويُزعم أنها تعمل تحت إشراف الحكومة الإيرانية. وتستهدف المجموعة في المقام الأول الشركات في الشرق الأوسط عبر صناعات مثل الطيران والفضاء والاتصالات والخدمات المالية والطاقة والكيماويات والضيافة. ويعتقد المحللون أن هذه الهجمات تهدف إلى إفادة مصالح إيران الاقتصادية والعسكرية والسياسية.
Wicked Panda هي مجموعة تهديدات مستمرة متقدمة سيئة السمعة وغزيرة الإنتاج، وتقع في الصين ولها علاقات مزعومة مع وزارة أمن الدولة الصينية والحزب الشيوعي الصيني. بالإضافة إلى إجراء عمليات التجسس الإلكتروني، يُعرف أعضاء هذه المجموعة أيضًا بمهاجمة الشركات لتحقيق مكاسب مالية. ويعتقد البعض أنهم مسؤولون عن اختراق سلاسل توريد الرعاية الصحية، وسرقة بيانات حساسة من شركات التكنولوجيا الحيوية، وسرقة مدفوعات الإغاثة من كوفيد-19 في الولايات المتحدة.
Stuxnet هو عبارة عن برنامج ضار عبر الكمبيوتر استُخدم لتعطيل البرنامج النووي الإيراني من خلال استهداف أنظمة التحكم الإشرافي والحصول على البيانات (SCADA). وعلى الرغم من أنه لم يعد نشطًا اليوم، فإنه كان تهديدًا فعالاً بقوة عندما اكتُشِف في عام 2010، ما تسبب في حدوث أضرار جسيمة لهدفه. ويعتقد المحللون أن الولايات المتحدة وإسرائيل اشتركتا في تطوير برنامج Stuxnet على الرغم من عدم اعتراف أي من الدولتين علنًا بمسؤوليتها عن تطويره.
مجموعة لازاروس هي مجموعة تهديدات مستمرة متقدمة تقع في كوريا الشمالية، ويُعتقد أنها مسؤولة عن سرقة مئات الملايين من دولارات العملة الافتراضية. ووفقًا لوزارة العدل الأمريكية، فإن الجرائم هي جزء من إستراتيجية لتقويض الأمن الإلكتروني العالمي وإدرار إيرادات لحكومة كوريا الشمالية. في عام 2023، اتهم مكتب التحقيقات الفيدرالي الأمريكي مجموعة لازاروس بسرقة 41 مليون دولار أمريكي بالعملة الافتراضية من ملهى على الإنترنت.
نظرًا إلى أن هجمات التهديدات المستمرة المتقدمة مصممة لتقليد عمليات الشبكة العادية، فقد يكون من الصعب اكتشافها. ويوصي الخبراء بالعديد من الأسئلة التي يجب على فرق الأمن طرحها إذا كانوا يشتبهون في استهدافهم.
تستهدف الجهات المُهدِّدة التي تستخدم التهديدات المستمرة المتقدمة حسابات المستخدمين عالية القيمة التي لديها امتيازات الوصول إلى المعلومات الحساسة. وقد تتعرض هذه الحسابات لأحجام كبيرة من عمليات تسجيل الدخول بشكل غير معتاد في أثناء الهجوم. ونظرًا إلى أن مجموعات التهديدات المستمرة المتقدمة غالبًا ما تعمل في مناطق زمنية مختلفة، فقد تحدث عمليات تسجيل الدخول هذه في أوقات متأخرة من الليل. قد تستخدم المؤسسات أدوات مثل كشف نقطة النهاية والاستجابة لها (EDR) أو تحليلات سلوك المستخدم والكيان (UEBA) لتحليل النشاط غير المعتاد أو المشبوه على حسابات المستخدمين وتحديده.
تواجه معظم بيئات تكنولوجيا المعلومات أحصنة طروادة المخترقة، ولكن في أثناء هجوم التهديدات المستمرة المتقدمة قد يصبح وجودها واسع الانتشار. تعتمد مجموعات التهديدات المستمرة المتقدمة على أحصنة طروادة المخترقة كوسيلة احتياطية لإعادة الدخول إلى الأنظمة المخترقة بعد اختراقها.
قد يشير الانحراف الكبير عن خط الأساس العادي لنشاط نقل البيانات إلى هجوم التهديدات المستمرة المتقدمة. وقد يشمل ذلك زيادة مفاجئة في عمليات قاعدة البيانات والنقل الداخلي أو الخارجي لكميات هائلة من المعلومات. قد تكون الأدوات التي تراقب سجلات الأحداث وتحللها من مصادر البيانات - مثل معلومات الأمان وإدارة الأحداث (SIEM) أو اكتشاف الشبكة والاستجابة لها (NDR)- مفيدة في الإبلاغ عن هذه الحوادث.
عادة ما تجمع مجموعات التهديدات المستمرة المتقدمة كميات كبيرة من البيانات من جميع أنحاء الشبكة، وتنقل هذه المعلومات إلى موقع مركزي قبل نقلها بشكل غير مصرح به. وقد تشير الحزم الكبيرة من البيانات الموجودة في موقع غريب إلى هجوم التهديدات المستمرة المتقدمة، خاصةً إذا كانت بتنسيق مضغوط.
تُعد هجمات التصيد الاحتيالي الموجّه التي تستهدف عددًا صغيرًا من القادة رفيعي المستوى أسلوبًا شائعًا بين مجموعات التهديدات المستمرة المتقدمة. وغالبًا ما تحتوي رسائل البريد الإلكتروني هذه على معلومات سرية وتستخدم تنسيقات المستندات مثل Microsoft Word أو Adobe Acrobat PDF لتشغيل البرامج الضارة. يمكن أن تساعد أدوات مراقبة سلامة الملفات (FIM) المؤسسات على اكتشاف ما إذا كانت أصول تكنولوجيا المعلومات المهمة قد تعرضت للتلاعب بسبب البرامج الضارة المضمنة في رسائل البريد الإلكتروني للتصيد الاحتيالي الموجّه.
هناك إجراءات أمنية يمكن للمؤسسات اتخاذها للتخفيف من حدة مخاطر حصول المخترقين الذين يستخدمون التهديدات المستمرة المتقدمة على إمكانية الوصول غير المصرح به إلى أنظمتها. ونظرًا إلى أن مجموعات التهديدات المستمرة المتقدمة تتكيف باستمرار مع أساليب جديدة لكل ناقل هجوم، يوصي الخبراء باتباع نهج واسع يجمع بين حلول وإستراتيجيات أمنية متعددة بما في ذلك:
يمكنك الحصول على معارف قابلة للتنفيذ لمساعدتك على التعرّف على الطريقة التي تتبعها الجهات المُهدِّدة لتنفيذ الهجمات—وكيفية حماية مؤسستك بشكل استباقي.
إدارة التهديدات هي عملية يستخدمها محترفو الأمن الإلكتروني لمنع الهجمات الإلكترونية واكتشاف التهديدات الإلكترونية والاستجابة للحوادث الأمنية.
الجهات المُهدِّدة، والمعروفة أيضًا باسم الجهات المُهدِّدة في مجال التهديدات الإلكترونية أو الجهات الضارة، هي أفراد أو مجموعات تتسبب عمدًا في إلحاق الضرر بالأجهزة أو الأنظمة الرقمية.