شناسایی نقاط مشترک گروه‌های هکری APT

به گزارش کارگروه امنیت سایبربان؛ به‌تازگی کارشناسان شرکت امنیتی پازتیو تکنالجیس (PositiveTechnologies) روش‌ها و تاکتیک‌های مشترک گروه‌های اِی‌پی‌تی (APT) در حملات سایبری را که طی دو سال گذشته علیه سازمان‌های مالی و اعتباری تدارک دیده‌اند، موردبررسی و تجزیه‌وتحلیل قراردادند. الکسی ناویکف (Alexey Novikov) و یِکاتِرینا کیلیوشِوا (Ekaterina Kilyusheva) تحلیلگران ارشد این شرکت اعلام کردند، 75 درصد بانک‌ها در برابر حملات فیشینگ آسیب‌پذیر بوده و کلیه گروه‌های اِی‌پی‌تی نیز از این متد در حملات سایبری به شرکت‌های مالی اعتباری بهره برده‌اند. 

به اعتقاد این کارشناسان، این گروه‌ها از روش‌ها و تکنیک‌های فراوانی برای دور زدن ابزارهای امنیتی استفاده می‌کنند که این خود سبب شده است مؤسسات مالی بودجه زیادی برای امنیت اطلاعات اختصاص داده و سامانه‌های امنیتی خود را ارتقاء دهند. به‌عنوان نمونه، اعضای این گروه‌ها، از بدافزارهای رمزنگاری‌شده جهت دور زدن آنتی‌ویروس و نفوذ به زیرساخت‌ها استفاده می‌کنند. آن‌ها کدهای مخرب را از طریق گواهینامه‌های امضای دیجیتال شرکت‌های معتبر، جایگزین برنامه‌های قانونی کرده و برای استتار کامل نیز از برخی خدمات وب همچون گوگل‌داکس (Google Docs) و پیست‌بین (Pastebin) جهت ذخیره اسکریپت‌های خود بهره می‌گیرند. 

مهاجمان با استفاده از حساب‌های جعلی و ابزارهای قانونی هدایت و کنترل و با بهره‌گیری از روش‌های Service execution و Windows admin shares در میان نودهای شبکه سیستم‌های بانکی را شناسایی می‌کنند. بااین‌حال، رد پای زیادی نیز در سیستم به‌جای می‌گذارند که با مانیتورینگ دائمی رویدادهای فناوری اطلاعات و با شناساگرهای پیشرفته و تجزیه‌وتحلیل عمیق ترافیک شبکه در زمان واقعی می‌توان حملات اِی‌پی‌تی را پیش از دسترسی مجرمان به سیستم‌های بانکی شناسایی کرد.