- مجموعات APT تعطي الأولوية للتجسس وسرقة البيانات: ما يقرب من ثلثي جميع أنشطة مجموعة التهديدات المتقدمة المتقدمة التي تتبعها شركة Trustwave SpiderLabs مدفوعة بالتجسس، وتستهدف قطاعات الحكومة والدفاع والاتصالات في المقام الأول في الولايات المتحدة وأوكرانيا وروسيا.
- أعلى الدول المهاجمةتعد الصين (41%)، وإيران (12.5%)، وروسيا هي المصادر الرئيسية لهجمات التجسس، مما يؤكد الحاجة الماسة إلى معلومات استخباراتية قوية عن التهديدات لتتبع الأنشطة التي ترعاها الدول.
- ما بعد الكشف: استخبارات التهديدات القابلة للتنفيذ: تعمل Trustwave SpiderLabs على تشغيل الاستخبارات المتعلقة بالتهديدات من خلال تحليل تكتيكات وتقنيات وإجراءات مجموعة APT (TTPs) وتحويلها إلى قواعد اكتشاف مخصصة لتقليل وقت بقاء المهاجم بشكل كبير.
تعد مؤسسات الإدارة الحكومية والدفاع والقطاع المالي هي المجالات الرئيسية التي تستهدفها مجموعات التهديدات المستمرة المتقدمة (APT)، وفقًا لأحدث البيانات الصادرة عن فريق استخبارات التهديدات السيبرانية (CTI) التابع لشركة Trustwave SpiderLabs.
ووجد الفريق أن معظم الهجمات تنطلق من الصين وروسيا وإيران، وتقع الأهداف الرئيسية في الولايات المتحدة وأوكرانيا، وروسيا بشكل مثير للاهتمام. وتشمل المجموعات التي تم تعقبها Lapsus$ وShinyHunters وSilk Typhoon.
قائمة CTI الخاصة بـ Trustwave ليست شاملة، ولكنها تقدم نظرة عامة قوية على الجهات الفاعلة المعنية، ومن أين تنطلق الهجمات، والدول التي تتعرض لأعنف هجوم. تقوم SpiderLabs بتجميع المعلومات بشكل مستمر من مجموعة متنوعة من قواعد بيانات APT التي يحتفظ بها قطاع الأمن السيبراني، إلى جانب التقارير الداخلية.
لنبدأ بتذكير سريع حول مجموعات APT ثم نلقي نظرة على العوامل المحفزة التي تحرك نشاط APT.
تم تعريف APT
التهديد المستمر المتقدم (APT) هو نوع من الهجمات السيبرانية الموجهة والمطولة والتي يحصل فيها الدخيل على وصول غير مصرح به إلى الشبكة ويظل غير مكتشف لفترة طويلة، قد تصل في بعض الأحيان إلى أشهر أو سنوات.
غالبًا ما تستخدم مجموعات التهديدات المستمرة المتقدمة (APT) مجموعات أدوات وتقنيات معقدة، مثل البرامج الضارة المطورة خصيصًا، وعمليات استغلال يوم الصفر، وطرق متعددة للتهرب من الدفاعات الأمنية التقليدية والحصول على إمكانية الوصول.
يتم الحفاظ على الثبات، حيث لا يبحث هؤلاء المهاجمون عن ضربة سريعة للاستيلاء على البيانات ولكنهم يريدون الوصول على المدى الطويل إلى الشبكة لمراقبة النشاط بشكل مستمر وسرقة البيانات على مدى فترة طويلة. وسيقومون بإعادة محاولة الوصول إذا تم حظرهم في البداية.
العوامل المحفزة لمجموعة APT
- سرقة المعلومات والتجسس – يمثل هذا النشاط حوالي ثلثي إجمالي أنشطة التهديدات المتقدمة المستمرة التي تتبعها SpiderLabs. وأشار محللونا إلى أن الصين مسؤولة عن حوالي 41% من هذه الهجمات، تليها إيران التي نفذت 12.5%، وروسيا بنسبة 5%. ركزت هذه الهجمات على أهداف داخل الولايات المتحدة، وجاءت أوكرانيا في المرتبة الثانية الأكثر استهدافًا، تليها منطقة المحيط الهندي البريطانية وروسيا. وكانت الأهداف التي تم ضربها في أغلب الأحيان هي الحكومة/الإدارة، والدفاع، والاتصالات.
- مالي – تشمل هذه الفئة المهاجمين الذين يبحثون عن مكاسب مالية مباشرة وأولئك الذين يحاولون ارتكاب جرائم ضد المؤسسات المالية. ويمكن أن يشمل ذلك سرقة البيانات وبرامج الفدية وما إلى ذلك. ومرة أخرى، كانت الولايات المتحدة هي الدولة الأكثر استهدافًا، تليها أوكرانيا وكندا. إن رؤية SpiderLabs حول الدول التي تؤوي المهاجمين ليست واضحة، حيث لا يُعرف نصفها تقريبًا، ولكن من بين الدول المعروفة، فإن روسيا هي الرائدة، تليها الصين.
- التخريب والتدمير – كانت فئة جيمس بوند هذه هي الأقل احتمالاً لحدوثها، حيث شكلت الحالات أقل من 5% من جميع الهجمات. قادت روسيا الطريق، حيث نفذت معظم الهجمات، تليها إيران، حيث كانت الولايات المتحدة وأوكرانيا وألمانيا وإسرائيل هي الأكثر تعرضًا للضربات. وكانت الأهداف الأكثر شعبية هي قطاعات الطاقة والحكومة والدفاع والمالية.
علم الضحايا
لقد حددت SpiderLabs أيضًا القطاعات الرأسية المحددة التي يتم استهدافها في أغلب الأحيان.
كان القطاع الحكومي، الذي تعرض للهجوم في المقام الأول من قبل جهات التهديد التي تتخذ من الصين مقراً لها، هو الأكثر تضرراً في أغلب الأحيان، حيث كانت قطاعات الدفاع والمالية والتعليم والطاقة والرعاية الصحية جميعها على الطرف المتلقي لنشاط مجموعة التهديدات المستمرة المتقدمة. وكانت الصين وإيران وروسيا في كثير من الأحيان القواعد الأساسية لأولئك الذين يهاجمون هذه الجماعات.
الدور المباشر لـ SpiderLabs في الدفاع عن التهديدات المستمرة المتقدمة (APT).
لا تقوم SpiderLabs بتتبع التهديدات فحسب، بل تعمل أيضًا كأداة فعالة تساعد Trustwave، إحدى شركات LevelBlue، على حماية عملائها، بما في ذلك من خلال الدفاع ضد تهديدات APT. تعتمد المعلومات المستمدة من هذا التقرير على العمل الذي تقوم به SpiderLabs في الميدان مع عملائنا.
تعتمد الحماية التي توفرها Trustwave ضد التهديدات المستمرة المتقدمة (APTs) بشكل كبير على العمل المستمر الذي تقوم به SpiderLabs، والتي تعمل عبر ثلاثة مجالات رئيسية:
1. استخبارات النخبة للتهديدات وتتبع TTP
يكرس محللو SpiderLabs جهودهم لتتبع وتحليل العشرات من مجموعات APT المحددة والمتطورة في جميع أنحاء العالم (على سبيل المثال، APT34 وAPT44/Sandworm وSalt Typhoon وSilver Fox وScattered Spider).
- تشريح TTPs: يقوم الفريق بإجراء تحليل عميق للتكتيكات والتقنيات والإجراءات (TTPs) والبرامج الضارة المخصصة والبنية التحتية التي تستخدمها هذه المجموعات.
- الاستخبارات القابلة للتنفيذ: يتم تحويل هذه المعلومات الاستخبارية الخاصة على الفور إلى قواعد كشف مخصصة وأدلة تشغيل. ويتم دمجها مباشرة في منصة Trustwave Fusion وأدوات الأمان الخاصة بالعميل (على سبيل المثال، EDR/XDR/SIEM)، مما يتيح لمراكز العمليات الأمنية (SOCs) التابعة لـ Trustwave اكتشاف الحالات الشاذة السلوكية الدقيقة التي قد تفوتها الأدوات القائمة على التوقيع.
2. صيد التهديدات المتقدمة بقيادة الإنسان
في حين تعتمد أدوات الأمان الآلية على مؤشرات معروفة، فإن التهديدات المتقدمة المتقدمة تتخصص في التخفي وتجنب الاكتشاف (المعروف بالهجمات المنخفضة والبطيئة). يتم استخدام الخبرة البشرية لشركة SpiderLabs للعثور على هذه التهديدات الخفية.
- الصيد المبني على الفرضيات: يستخدم خبراء SpiderLabs نهجًا قائمًا على الفرضيات (على افتراض أن العميل قد تم اختراقه بالفعل) للبحث بشكل استباقي عن مؤشرات التسوية التي تتوافق مع عمليات TTP المعروفة لـ APT.
- رسم خرائط ميتري ATT&CK: يتم تعيين منهجية الصيد الخاصة بهم إلى إطار عمل MITRE ATT&CK، مما يسمح لهم بالبحث بشكل منهجي عن النشاط عبر سلسلة الهجوم بأكملها – بدءًا من الوصول الأولي إلى المثابرة والقيادة والسيطرة.
- تقليل وقت المكوث: يؤدي هذا الصيد الاستباقي إلى تقليل وقت بقاء المهاجم بشكل كبير (الفترة التي يظل فيها المهاجم في الشبكة غير مكتشفة)، مما يقلل من الضرر الذي يمكن أن تسببه التهديدات المستمرة المتقدمة (APT).
3. الاستجابة للحوادث والتحضير لها
إذا نجحت التهديدات المستمرة المتقدمة (APT) في اختراق العميل، فسيتم تنشيط قدرات الطب الشرعي والاستجابة الخاصة بـ SpiderLabs على الفور.
- الطب الشرعي الرقمي والاستجابة للحوادث (DFIR): يقدم الفريق دعمًا عالميًا على مدار الساعة طوال أيام الأسبوع للاستجابة لحالات الاختراق الطارئة، وإجراء التحقيقات الجنائية لتحديد النطاق والسبب الجذري وهوية ممثل التهديدات المستمرة المتقدمة.
- الاحتواء والاستئصال: يقومون بسرعة بتنفيذ الخطوات اللازمة لاحتواء التهديد والتأكد من القضاء على التهديدات المستمرة المتقدمة (APT) تمامًا من البيئة.
- الأمن الهجومي: يقوم المتسللون الأخلاقيون التابعون لشركة SpiderLabs أيضًا بإجراء اختبارات الاختراق وتمارين الفريق الأحمر التي تعتمد على تقنيات APT TTP في العالم الحقيقي. وهذا يختبر دفاعات العميل ضد الخصوم الأكثر تقدمًا، ويحدد الثغرات الأمنية قبل أن تستغلها التهديدات المستمرة المتقدمة (APT) الفعلية.
تضمن SpiderLabs أن العملاء ليسوا فقط محميين ضد التهديدات العامة، بل محصنين بشكل خاص ضد المجموعات المتطورة التي ترعاها الدولة وذات الدوافع المالية والتي تشكل أكبر المخاطر.
المحتوى المقدم هنا هو لأغراض إعلامية عامة فقط ولا ينبغي تفسيره على أنه نصيحة قانونية أو تنظيمية أو تتعلق بالامتثال أو الأمن السيبراني. يجب على المؤسسات استشارة متخصصيها في الشؤون القانونية أو الامتثال أو الأمن السيبراني فيما يتعلق بالتزامات محددة واستراتيجيات إدارة المخاطر. في حين أن حلول الكشف عن التهديدات المُدارة والاستجابة لها من LevelBlue مصممة لدعم الكشف عن التهديدات والاستجابة لها على مستوى نقطة النهاية، إلا أنها ليست بديلاً عن المراقبة الشاملة للشبكة، أو إدارة الثغرات الأمنية، أو برنامج الأمن السيبراني الكامل.
