روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ تقریباً هر سه ماه یکبار، از جایی میشنویم که تحقیقی با تمرکز بر کمپینها یا رخدادهایی منتشر شده که شامل گروههای APT آسیایی میشود. این کمپینها و رخدادها سازمانهای مختلفی را از سوی صنایع مختلف هدف قرار میدهند. به همین ترتیب، لوکیشن جغرافیایی قربانیان فقط به یک منطقه محدود نیست. این نوع تحقیق معمولاً شامل اطلاعاتی با جزئیات میشود از ابزارهایی که عاملین APT استفاده میکنند؛ همینطور آسیبپذیریهایی که آنها اکسپلویت کرده و گاهی حتی این از این اطلاعات میتوان دست به انتساب خاصی زد. گرچه این نوع گزارشات زیادند اما شرکتها اغلب در مواجهه با این نوع مهاجمین آماده نیستند. متخصصین امنیت سایبری با ابزارها و تکنیکهای پیشرفته استفادهشده تا به امروز توسط عاملین تهدید، نه تنها به مهارت و تجربه بالا نیاز دارند که همچنین محتاج زیرساختی هستند تکمیلشده با پروسههای سامانیافتهی مدیریت دارایی و مدیریت آسیبپذیری، جداسازی شبکه، ممیزیهای درست و اصولی و نیز ابزارهای امنیت داده که به طور هوشمندانهای پیکربندی شدند. در بیشتر موارد، یک زیرساخت آمادهنشده عامل اصلی موفقیت گروههای APT آسیایی در حملات خود میشود.
در این گزارش، اطلاعات ارزشمندی را که در مورد گروههای APT آسیایی جمع کردیم به اشتراک میگذاریم. در طول کار، متوجه شدیم این گروهها به کلی کشور و صنایع حمله کردهاند. از همه مهمتر، تحلیل ما روی صدها حمله نشان داد بین گروههای مختلف یک الگوی مشابه حاکم است. آنها در مراحل مختلف زنجیره کشتار سایبری با استفاده از یک سری تکنیک محدود اما شایع دست به رسیدن به اهداف خود زدند. متخصصین امنیتی کل دنیا با این تکنیکها برخورد داشتهاند. متأسفانه تیمهای امنیتی اغلب در شناسایی این حملات در زیرساخت خود مشکل دارند.
مخاطب مورد نظر این گزارش
ما این گزارش را درست کردیم تا به جامعه امنیت سایبری کمک کنیم با در دست داشتن آمادهترین دادهها به طور مؤثری با گروههای APT آسیایی مبارزه کند. این گزارش بیشتر از همه برای موارد زیر مفید واقع خواهد شد:
- تحلیلگران SOC
- تحلیلگران اطلاعاتی تهدیدات سایبری
- کارشناسان شکار تهدید
- کارشناسان پزشکی قانونی دیجیتال
- کارشناسان امنیت سایبری
- مدیران دامنه
- مدیران سطح C مسئول امنیت سایبری در شرکتهای خود
این مطالب میتواند به عنوان منبع دانشی باشد در مورد رویکردهای اصلی مورد استفاده توسط گروههای APT آسیایی هنگام هک کردن یک زیرساخت. این گزارش همچنین حاوی اطلاعات دقیقی در مورد تاکتیکها، تکنیکها و رویههای مهاجمان [1]TTP) ) بر اساس متدولوژی MITER ATT&CK است.
ساختار گزارش
این گزارش شامل 3 بخش اصلی میشود:
- رخدادهایی شامل ورود گروههای APT آسیایی در مناطق مختلف کره زمین
اطلاعات در مورد 5 رخداد منحصر به فرد که ما در بخشهای مختلف جهان شناسای کردیم. هر رخدادی برای خود پروندهای مجزا است در یک کشور یا صنعت خاص. همچنین عملیاتها و TTPهای مهاجمین را شرح دادهایم. در پایان هر بخش جدولی ارائه دادهایم از فهرست TTPها (مربوط به گروه های APT که در این رخدادها با آنها برخورد کردیم) و کارکرد همپوشانیشان در این رخدادها.
- جزئیات فنی
شرح مفصلی از تکنیکهای فردی که در حملات انجامشده توسط گروههای APT آسیایی شناسایی کردیم. هر تکنیک شامل موارد زیر است:
- توضیحات اصلی جزئیات فنی در مورد نحوه عملکرد تکنیک خاص.
- نمونههایی از رویهها. نمونههایی از پیادهسازی این تکنیک که در حملات گروههای APT آسیایی شناسایی کردیم.
- دادههای مربوط به رویکردهای به کار گرفته شده برای شناسایی تکنیک توصیفشده، و شناسههای رویداد رویدادها در عوامل نظارتی مختلف که برای شناسایی تهدید خاص استفاده میشوند.
- قوانین SIGMA فهرست قوانین SIGMA مربوط به این تکنیک. قوانین واقعی SIGMA را میتوان در پیوست: SIGMA پیدا کرد.
- تحلیل اقدامات مهاجم مبتنی بر زنجیره متحد کشتار
ما از مدل زنجیره متحد کشتار[2] برای ایجاد جدول مخصوص به خود برای گروههای APT آسیایی استفاده کردیم تا بتوانیم نگاهی عمیقتر بر انگیزهها و الگوهای رفتاری این عاملین داشته باشیم و در خصوص اقدامات احتمالی گروههای APT آسیایی وقتی حملات بالقوهشان را پیش میبرند دادههایی ارائه دهیم.
- کاهش
اقدامات انجام شده برای کاهش خطرات مرتبط با TTPهای توصیف شده.
- آمار قربانیان حمله
آمار تلفیقی از قربانیان گروههای APT آسیایی در سراسر جهان و تفکیک بر اساس کشور و صنعت.
- پیوست: SIGMA
قوانین SIGMA که میتواند به شناسایی تکنیکهای شرح داده شده در این گزارش کمک کند.
میتوانید نسخه کامل را در قالب پیدیاف از اینجا دریافت نمایید.
[1] tactics, techniques and procedures
[2] Unified Kill Chain
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
