روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مردم اصولاً همانطور که ما به معنای عام جاسوسی فکر می‌کنیمدر مورد APTها فکر می‌کنند: شاید چیز مهم و بزرگی باشد اما ما در امانیم. اینطور نیست؟ بیشتر ما رمز و رازهای دولتی یا صنعتی را در گوشی‌مان نگه نمی‌داریم و روی کامپیوترمان هم با داده‌های دسته‌بندی‌شده سر و کار نداریم؛ پس اصلاً چرا باید طعمه‌ای برای این نوع حملات باشیم؟

بسیارخوب دوستان، شاید تا حد زیادی راست بگویید. خیلی نامعمول است یک فرد عادی بخواهد هدف عاملی باشد که از سوی دولت حمایت می‌شود اما چنین فردی هنوز هم می‌تواند هدف ثانویه‌ باشد. دنیل کریئوس در GReAT (تیم تحلیل و تحقیق جهانی کسپرسکی) اخیراً در بارسلونا این به این مبحث پرداخته است. در ادامه با ما همراه شوید تا به نقل از وی توضیح دهیم چطور ترکش حملات APT  به سه روش می‌تواند به افراد معمولی هم بخورد.

سناریوی شماره یک: وبسایت اشتباه در زمانی اشتباه

APT ها در مقایسه با عاملین کوچکتر به حد کافی برای اکسپلویت‌های روز صفر پول دارند؛ من‌جمله آن‌هایی که موجبات حملات ریموت گودال آب را فراهم می‌کنند. تحقیقات پروژه صفر گوگل در سال 2019 نشان داد که یک عامل برای آلوده کردن هدف‌های خود با جاسوس‌افزار از 14 آسیب‌پذیری در 5 زنجیره اکسپلویت مختلف استفاده کرده است. برخی از این آسیب‌پذیری‌ها برای آلوده‌سازیِ ریموتِ کاربران آی‌او‌اس که به طور خاص از وبسایت‌های مربوط به مسائل سیاسی بازدید می‌کردند مورد استفاده قرار گرفتند. در نهایت روی گوشی‌هایشان جاسوس‌افزار نصب شد. نکته اینجاست که این عامل برای کاربران تفاوتی قائل نشد و در واقع دامن همه‌ی کاربران آی‌اواسی را که از این سایت دیدن کرده بودند گرفت.

این اولین و آخرین حمله APT نبود که به گودال آب مجهز بود. برای نمونه، یکی از بخش‌های حمله‌ی NotPetya بدنام یا همان ExPetr با آلوده کردن وبسایت دولتی کارش را آغاز کرد. وقتی کاربران از این وبسایت دیدن کردند، بدافزاری روی کامپیوترهایشان دانلود و اجرا شد. بنابراین یکی از چالش‌های حملات APT این است که عاملین تهدید شاید به طور خاص علاقه‌ای به هدف قرار دادن شما نداشته باشند اما اگر از قضا در زمانی اشتباه به وبسایتی اشتباه سر بزنید یا اپی اشتباه را دانلود کنید ممکن است ناخواسته به دام بیافتید. حملات APT عادت دارد تر و خشک را با هم می‌سوزاند.

 سناریو شماره دو: اسباب‌بازی‌هایی جدی در دستان مجرمان سایبری

به عنوان مثال APTها اغلب به دنبال رموز و امور محرمانه‌ی سایر APTها می‌گردند. آن‌ها دوست دارند همدیگر را هک کنند و به هم رکب بزنند. برخی‌اوقات هم ابزارهایی که دشمن استفاده می‌کند را افشا می‌کنند. عاملین کمتر پیشرفته و کوچک‌تر هم از خدا خواسته آن‌ها را برداشته و شروع می‌کنند به ساختن بدافزار؛ این کار خیلی وقت‌ها غیر قابل مهار کردن می‌شود. یادتان باشد که واناکرایِ بدنام با استفاده از EternalBlue–یکی از اکسپلویت‌های نشت‌شده توسط شادوبروکرها و قتی تصمیم گرفتند تسلیحات سایبری Equation Group-  بریزند روی داریه- ساخته شد.

تهدیدهای دیگر از جمله NotPetya/ExPetr، Bad Rabbit، EternalRocks و ... نیز به همین اکسپلویت وابسته بودند. یک اکسپلویت نشت‌شده مساویست با مجموعه‌ای از اپیدمی‌های بزرگ و متعدد و کلی رویداد ثانویه که می‌تواند صدها هزار دستگاه را آلوده نموده و کلی کسب و کار و آژانس دولتی در سراسر دنیا را فلج کند.

خلاصه بگوییم که آسیب ثانویه‌ی حملات APT برای افراد معمولی این است که عاملین تهدید ابزارهای بسیار خطرناکی درست می‌کنند و برخی‌اوقات نمی‌توانند آن‌ها را مهار کنند؛ از این رو خیلی از این ابزارها به دست مجرمان سایبری با میزان مختلف مهارت و خلاقیت می‌افتد که لحظه‌ای برای شر درست کردن تردید ندارند.

سناریو شماره سه: نشت داده‌های جمع‌آوری‌شده

همانطور که پیشتر عرض کردیم، عاملین پشت حملات APT قابلیت هک کردن همدیگر را دارند. برخی‌اوقات نه تنها ابزارهای همدیگر را به نمایش می‌گذارند که حتی هر اطلاعاتی از دشمن خود بدست می‌آوردند نیز رو می‌کنند. اطلاعات جمع‌آوری‌شده توسط ابزار جاسوسی ZooPark به همین شکل افشا شد. در طول دو سال گذشته، 13 فروشنده تعقیب‌افزار یا هک شدند و یا اطلاعات جمع‌آوری‌شده‌شان به طور عمومی در معرض نمایش برای همگان قرار گرفت. بنابراین، سناریوی سوم از این قرار است: حتی اگر یک APT با کاربران معمولی کاری نداشته باشد، حتی اگر اطلاعات کاربران را برای هیچ مقصد شری جمع نکند باز هم این امکان وجود دارد که اطلاعات هک شده و به طور عمومی در معرض نمایش گذاشته شود. بدین‌ترتیب مردم معمولی نیز حریم خصوصی‌شان بر باد خواهد رفت.

چطور ایمن بمانیم

• نگذارید اپ‌ها از سوی منابع طرف‌سوم در گوشی‌های اندرویدی نصب شوند (آن‌ها را غیرفعال کنید). اگر واقعاً می‌خواهید اپی مطمئن از جایی غیر از گوگل‌پلی دانلود کنید این کار را یکبار انجام داده و بعد فراموش نکنید تنظیمات را دوباره به حالت غیرفعال درآورید.
• مرتباً مجوز اپ‌هایی را که روی گوشی خود نصب کرده‌اید بررسی نمایید و از هر گونه صدور مجوز غیرضروری به اپ خودداری فرمایید. همچنین خوب است پیش از نصب، فهرست مجوزهایی را که اپ استفاده می‌کند بررسی کنید. این فهرست در گوگل‌پلی موجود است.
• از وبسایت‌های مشکوک دیدن نکرده و روی لینک‌هایی که به منبعشان شک دارید کلیک نکنید. افرادی ناشناس با نیت خیر برای شما چیزی ارسال نخواهند کرد. برخی حملات APT قابلیت آلوده کردن وبسایت‌های قانونی را هم دارند اما بسیاری از آن‌ها بیشتر در بخش فیشینگ وارد هستند.
• از راهکار امنیتی مطمئنی استفاده کنید که هر چیزی را که قرار است روی دستگاه نصب یا دانلود شود اسکن نموده و هر لینک و بسته‌ای را بررسی می‌کند. آن را خط دفاعی آخر خود تلقی کنید: حتی اگر عاملی بد سراغتان آمد و از طریق اکسپلویتی خواست وارد دستگاهتان شود این راهکار از شما حفاظت خواهد کرد.