روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تقریباً هر سه ماه‌ یکبار، از جایی می‌شنویم که تحقیقی با تمرکز بر کمپین‌ها یا رخدادهایی منتشر شده که شامل گروه‌های  APT آسیایی می‌شود. این کمپین‌ها و رخدادها سازمان‌های مختلفی را از سوی صنایع مختلف هدف قرار می‌دهند. به همین ترتیب، لوکیشن جغرافیایی قربانیان فقط به یک منطقه محدود نیست. این نوع تحقیق معمولاً شامل اطلاعاتی با جزئیات می‌شود از ابزارهایی که عاملین APT استفاده می‌کنند؛ همینطور آسیب‌پذیری‌هایی که آن‌ها اکسپلویت کرده و گاهی حتی این از این اطلاعات می‌توان دست به انتساب خاصی زد. گرچه این نوع گزارشات زیادند اما شرکت‌ها اغلب در مواجهه با این نوع مهاجمین آماده نیستند. متخصصین امنیت سایبری با ابزارها و تکنیک‌های پیشرفته استفاده‌شده تا به امروز توسط عاملین تهدید، نه تنها به مهارت و تجربه بالا نیاز دارند که همچنین محتاج زیرساختی هستند تکمیل‌شده با پروسه‌های سامان‌یافته‌ی مدیریت دارایی و مدیریت آسیب‌پذیری، جداسازی شبکه، ممیزی‌های درست و اصولی و نیز ابزارهای امنیت داده که به طور هوشمندانه‌ای پیکربندی شدند. در بیشتر موارد، یک زیرساخت آماده‌نشده عامل اصلی موفقیت گروه‌های APT آسیایی در حملات خود می‌شود.

در این گزارش، اطلاعات ارزشمندی را که در مورد گروه‌های APT آسیایی جمع کردیم به اشتراک می‌گذاریم. در طول کار، متوجه شدیم این گروه‌ها به کلی کشور و صنایع حمله کرده‌اند. از همه مهمتر، تحلیل ما روی صدها حمله نشان داد بین گروه‌های مختلف یک الگوی مشابه حاکم است. آن‌ها در مراحل مختلف زنجیره کشتار سایبری با استفاده از یک سری تکنیک محدود اما شایع دست به رسیدن به اهداف خود زدند. متخصصین امنیتی کل دنیا با این تکنیک‌ها برخورد داشته‌اند. متأسفانه تیم‌های امنیتی اغلب در شناسایی این حملات در زیرساخت خود مشکل دارند.

مخاطب مورد نظر این گزارش

ما این گزارش را درست کردیم تا به جامعه امنیت سایبری کمک کنیم با در دست داشتن آماده‌ترین داده‌ها به طور مؤثری با گروه‌های APT آسیایی مبارزه کند. این گزارش بیشتر از همه برای موارد زیر مفید واقع خواهد شد:

•         تحلیلگران SOC
•         تحلیلگران اطلاعاتی تهدیدات سایبری
•         کارشناسان شکار تهدید
•         کارشناسان پزشکی قانونی دیجیتال
•         کارشناسان امنیت سایبری
•         مدیران دامنه
•         مدیران سطح C مسئول امنیت سایبری در شرکت‌های خود

این مطالب می‌تواند به عنوان منبع دانشی باشد در مورد رویکردهای اصلی مورد استفاده توسط گروه‌های APT آسیایی هنگام هک کردن یک زیرساخت. این گزارش همچنین حاوی اطلاعات دقیقی در مورد تاکتیک‌ها، تکنیک‌ها و رویه‌های مهاجمان [1]TTP)  ) بر اساس متدولوژی MITER ATT&CK است.

ساختار گزارش

این گزارش شامل 3 بخش اصلی می‌شود:

1.      رخدادهایی شامل ورود گروه‌های APT آسیایی در مناطق مختلف کره زمین

اطلاعات در مورد 5 رخداد منحصر به فرد که ما در بخش‌های مختلف جهان شناسای کردیم. هر رخدادی برای خود پرونده‌ای مجزا است در یک کشور یا صنعت خاص. همچنین عملیات‌ها و TTP‌های مهاجمین را شرح داده‌ایم. در پایان هر بخش جدولی ارائه داده‌ایم از فهرست TTPها (مربوط به گروه های APT که در این رخدادها با آنها برخورد کردیم) و کارکرد همپوشانی‌شان در این رخدادها.

2.      جزئیات فنی

شرح مفصلی از تکنیک‌های فردی که در حملات انجام‌شده توسط گروه‌های APT آسیایی شناسایی کردیم. هر تکنیک شامل موارد زیر است:

•         توضیحات اصلی جزئیات فنی در مورد نحوه عملکرد تکنیک خاص.
•         نمونه‌هایی از رویه‌ها. نمونه‌هایی از پیاده‌سازی این تکنیک که در حملات گروه‌های APT آسیایی شناسایی کردیم.
•         داده‌های مربوط به رویکردهای به کار گرفته شده برای شناسایی تکنیک توصیف‌شده، و شناسه‌های رویداد رویدادها در عوامل نظارتی مختلف که برای شناسایی تهدید خاص استفاده می‌شوند.
•         قوانین SIGMA فهرست قوانین SIGMA مربوط به این تکنیک. قوانین واقعی SIGMA را می‌توان در پیوست: SIGMA پیدا کرد.

3.      تحلیل اقدامات مهاجم مبتنی بر زنجیره متحد کشتار

ما از مدل زنجیره متحد کشتار[2] برای ایجاد جدول مخصوص به خود برای گروه‌های APT آسیایی استفاده کردیم تا بتوانیم نگاهی عمیق‌تر بر انگیزه‌ها و الگوهای رفتاری این عاملین داشته باشیم و در خصوص اقدامات احتمالی گروه‌های APT آسیایی وقتی حملات بالقوه‌شان را پیش می‌برند داده‌هایی ارائه دهیم.

4.      کاهش

     اقدامات انجام شده برای کاهش خطرات مرتبط با TTPهای توصیف شده.

5.      آمار قربانیان حمله

آمار تلفیقی از قربانیان گروههای APT آسیایی در سراسر جهان و تفکیک بر اساس کشور و صنعت.

6.      پیوست: SIGMA

قوانین SIGMA که میتواند به شناسایی تکنیکهای شرح داده شده در این گزارش کمک کند.

می‌توانید نسخه کامل را در قالب پی‌دی‌اف از اینجا دریافت نمایید.

[1] tactics, techniques and procedures

[2] Unified Kill Chain

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.