التهديدات المستمرة المتقدمة (APT) هي هجمات إلكترونية غير مكتشفة مصممة لسرقة البيانات الحساسة أو إجراء عمليات التجسس الإلكتروني أو تخريب الأنظمة الحيوية على مدار فترة طويلة من الزمن. وعلى عكس التهديدات الإلكترونية الأخرى مثل برامج الفدية الضارة، فإن الهدف من مجموعة هجمات التهديدات المستمرة المتقدمة هو أن تظل غير ملحوظة في أثناء تسللها وتوسيع وجودها عبر إحدى الشبكات المستهدفة.
غالبًا ما تنفذ فرق المجرمين الإلكترونيين المدعومة من الدول هجمات التهديدات المستمرة المتقدمة (APT) للوصول إلى المعلومات الحساسة للدول القومية الأخرى أو للملكية الفكرية للمؤسسات الكبيرة. وعلى الرغم من أن تلك الجهات المُهدِّدة قد تستخدم تقنيات الهندسة الاجتماعية التقليدية في البداية، فإنها تشتهر بتخصيص الأدوات والأساليب المتقدمة لاستغلال الثغرات الأمنية الفريدة لمؤسسات محددة. وقد يستمر هجوم التهديدات المستمرة المتقدمة الناجح لعدة أشهر أو حتى لسنوات.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
غالبًا ما تحصل مجموعات التهديدات المستمرة المتقدمة على إمكانية الوصول الأوَّلي إلى شبكتها المستهدفة من خلال الهندسة الاجتماعية والتصيّد الاحتيالي الموجّه. وبالاعتماد على معلومات جُمعت من مصادر داخل المؤسسة وخارجها، سيقوم مهاجمو التهديدات المستمرة المتقدمة بإنشاء رسائل بريد إلكتروني متطورة للتصيّد الاحتيالي الموجّه تقنع المديرين التنفيذيين أو كبار القادة بالنقر فوق رابط ضار.
وقد يسعى المهاجمون أيضًا إلى تتبع نقاط الدخول وأسطح الهجوم الأخرى لاختراق الشبكة. على سبيل المثال، قد يقومون بشن هجوم دون انتظار على ثغرة أمنية غير مصححة في أحد تطبيقات الويب، أو يُدخلون برمجيات ضارة على أحد مواقع الويب العامة التي يُعرف أن الموظفين يزورونه.
بعد التسلل الأوَّليّ، ستقوم مجموعات التهديدات المستمرة المتقدمة باستكشاف الشبكة وتخطيطها لتحديد أفضل الخطوات التالية للحركة الجانبية داخل المؤسسة. من خلال تثبيت سلسلة من الأبواب الخلفية التي تسمح لها بالوصول إلى الشبكة من نقاط دخول متعددة، يمكنها الاستمرار في إجراء الاستطلاع وتثبيت البرمجيات الضارة المخفية.
وقد تحاول أيضًا كسر كلمات المرور والحصول على حقوق إدارية لتأمين المناطق التي تحتوي على البيانات الحساسة. والأهم من ذلك، أن المهاجمين سينشئون اتصالًا بخادم أوامر وتحكم خارجي لإدارة الأنظمة المخترقة عن بعد.
ستنقل مجموعات التهديدات المستمرة المتقدمة المعلومات التي جمعتها بمرور الوقت إلى موقع مركزي وآمن داخل الشبكة للتحضير لأول حالة من سرقة البيانات. وقد يقومون أيضًا بتشفير البيانات وضغطها لتسهيل استخراجها.
وبعد ذلك، قد يدبّرون حدثًا تمويهيًا يُعرف بـ "الضوضاء البيضاء" مثل هجوم موزَّع لحجب الخدمة (DDoS) لتشتيت انتباه أفراد الأمن وتحويل الموارد. في هذه المرحلة، يمكنها نقل البيانات المسروقة إلى خادم خارجي دون رصدها.
قد تبقى مجموعات التهديدات المستمرة المتقدمة داخل شبكة مخترقة لفترة طويلة أو إلى أجل غير مسمى، بينما تنتظر فرصًا جديدة لشن هجوم. خلال هذا الوقت، قد تحافظ على وجودها المخفي عن طريق إعادة كتابة التعليمات البرمجية لإخفاء البرنامج الضار وتثبيت أدوات التحكم الخفي rootkits التي توفر إمكانية الوصول إلى الأنظمة الحساسة دون رصدها. في بعض الأحيان ، يمكنها إزالة الأدلة على الهجوم ومغادرة الشبكة تماما بعد تحقيق أهدافها.
تقنع مجموعات التهديدات المستمرة المتقدمة المستخدمين بالنقر فوق الروابط الضارة أو الكشف عن المعلومات التي تمنحها الوصول إلى الأنظمة المحمية باستخدام رسائل البريد الإلكتروني الاحتيالية الموزعة على نطاق واسع، أو رسائل البريد الإلكتروني المخصصة للغاية التي تهدف إلى التصيد الاحتيالي الموجّه أو غيرها من أساليب التلاعب الاجتماعي.
من خلال نشر shellcode الضار الذي يفحص الشبكات بحثًا عن الثغرات الأمنية غير المصححة في البرامج، يمكن لمجموعات التهديدات المستمرة المتقدمة استغلال مناطق الضعف قبل أن يتمكن مسؤولو تكنولوجيا المعلومات من الاستجابة.
قد تستهدف مجموعات التهديدات المستمرة المتقدمة الشركاء التجاريين أو التقنيين أو المورّدين الموثوقين لدى المؤسسة للحصول على وصول غير مصرح به عبر سلاسل توريد البرمجيات أو الأجهزة المشتركة.
لقدرتها على توفير الوصول المخفي عبر الأبواب الخلفية إلى الأنظمة المحمية، تُعد rootkits أداة قيمة لمساعدة مجموعات التهديدات المستمرة المتقدمة على إخفاء العمليات التي تُنفذ عن بُعد وإدارتها.
بمجرد اكتساب مجموعات التهديدات المستمرة المتقدمة موطئ قدم في شبكة مخترقة، فإنها تنشئ اتصالاً بخوادمها الخارجية لإدارة الهجوم عن بُعد ونقل البيانات الحساسة من دون تصريح.
قد تستخدم مجموعات التهديدات المستمرة المتقدمة مجموعة من الأدوات الأخرى لتوسيع وجودها وإخفائه عبر شبكة، مثل: الديديان الحاسوبية، وبرامج تسجيل ضغطات لوحة المفاتيح، والروبوتات، وكسر كلمات المرور، وبرامج التجسس، وتقنيات تشويش أو إخفاء التعليمات البرمجية.
تشتهر Helix Kitten برسائل البريد الإلكتروني للتصيّد الاحتيالي الموجّه المقنعة والمستندة إلى بحوث دقيقة، ويُزعم أنها تعمل تحت إشراف الحكومة الإيرانية. وتستهدف المجموعة في المقام الأول شركات في منطقة الشرق الأوسط عبر صناعات، مثل: الطيران، والفضاء، والاتصالات، والخدمات المالية، والطاقة، والكيماويات، والضيافة. ويعتقد المحللون أن هذه الهجمات لخدمة مصالح إيران الاقتصادية والعسكرية والسياسية.
Wicked Panda هي مجموعة تهديدات مستمرة متقدمة سيئة السمعة وغزيرة الإنتاج، وتقع في الصين ولها علاقات مزعومة مع وزارة أمن الدولة الصينية والحزب الشيوعي الصيني. بالإضافة إلى إجراء عمليات التجسس الإلكتروني، يُعرف أعضاء هذه المجموعة أيضًا بمهاجمة الشركات لتحقيق مكاسب مالية. ويعتقد البعض أنهم مسؤولون عن اختراق سلاسل توريد الرعاية الصحية، وسرقة بيانات حساسة من شركات التكنولوجيا الحيوية، وسرقة مدفوعات الإغاثة من كوفيد-19 في الولايات المتحدة.
Stuxnet هي إحدى الديدان الحاسوبية التي استُخدمت لتعطيل البرنامج النووي الإيراني من خلال استهداف أنظمة التحكم الإشرافي وجمع البيانات (SCADA). وعلى الرغم من أنها لم تعد نشطةً اليوم، فقد كانت تهديدًا شديد الفعالية عند اكتشافها في عام 2010، ما تسبب في حدوث أضرار جسيمة لهدفها. ويعتقد المحللون أن الولايات المتحدة وإسرائيل اشتركتا في تطوير Stuxnet على الرغم من عدم اعتراف أيٍّ من الدولتين علنًا بمسؤوليتها عن تطويرها.
مجموعة لازاروس هي مجموعة تهديدات مستمرة متقدمة تتخذ من كوريا الشمالية مقرًا لها، ويُعتقد أنها مسؤولة عن سرقة مئات الملايين من دولارات العملة الافتراضية. ووفقًا لوزارة العدل الأمريكية، فتُعدّ هذه الجرائم جزءًا من إستراتيجية تهدف إلى تقويض الأمن السيبراني العالمي وإدرار إيرادات لحكومة كوريا الشمالية. وفي عام 2023، اتهم مكتب التحقيقات الفيدرالي الأمريكي مجموعة لازاروس بسرقة 41 مليون دولار أمريكي بالعملة الافتراضية من إحدى الكازينوهات على الإنترنت.
نظرًا إلى أن هجمات التهديدات المستمرة المتقدمة مصممة لتقليد عمليات الشبكة العادية، فقد يكون من الصعب اكتشافها. ويوصي الخبراء بالعديد من الأسئلة التي يجب على فرق الأمن طرحها إذا كانوا يشتبهون في استهدافهم.
تستهدف عناصر التهديد التي تستخدم التهديدات المستمرة المتقدمة حسابات المستخدمين عالية القيمة التي تتمتع بامتيازات الوصول إلى المعلومات الحساسة. وقد تشهد هذه الحسابات حجم تسجيل دخول مرتفعًا بشكل غير معتاد في أثناء الهجوم. ونظرًا إلى أن مجموعات التهديدات المستمرة المتقدمة غالبًا ما تعمل في مناطق زمنية مختلفة، فقد تحدث عمليات تسجيل الدخول هذه في أوقات متأخرة من الليل. يمكن للمؤسسات استخدام أدوات، مثل: كشف نقطة النهاية والاستجابة لها ( EDR) أو تحليلات سلوك المستخدم والكيان ( UEBA)، لتحليل النشاط غير المعتاد أو المريب على حسابات المستخدمين وتحديده.
تتعرض معظم بيئات تكنولوجيا المعلومات لأحصنة طروادة الخلفية، ولكن في أثناء هجوم التهديدات المستمرة المتقدمة قد ينتشر وجودها على نطاق واسع. وتعتمد مجموعات التهديدات المستمرة المتقدمة على أحصنة طروادة الخلفية كوسيلة احتياطية لإعادة الدخول إلى الأنظمة المخترقة.
قد يشير الانحراف الكبير عن المستوى الطبيعي لنشاط نقل البيانات إلى هجوم التهديدات المستمرة المتقدمة. وقد يشمل ذلك زيادة مفاجئة في عمليات قاعدة البيانات ونقل كميات هائلة من المعلومات داخليًا أو خارجيًا. قد تكون الأدوات التي تراقب سجلات الأحداث وتحللها من مصادر البيانات، مثل: إدارة المعلومات الأمنية والأحداث (SIEM) أو الكشف عن الشبكة والاستجابة لها ( NDR)، مفيدة لتحديد هذه الحوادث والإشارة إليها.
عادةً ما تجمع مجموعات التهديدات المستمرة والمتقدمة كميات كبيرة من البيانات من مختلف أنحاء الشبكة، وتنقل هذه المعلومات إلى موقع مركزي قبل استخراجها. وقد تشير حزم البيانات الكبيرة الموجودة في مواقع غير مألوفة إلى هجوم التهديدات المستمرة والمتقدمة، وخصوصًا إذا كانت بتنسيق مضغوط.
تعد هجمات التصيّد الاحتيالي الموجّه التي تستهدف عددًا محدودًا من القادة رفيعي المستوى أسلوبًا شائعًا لدى مجموعات التهديدات المستمرة المتقدمة. وغالبًا ما تحتوي رسائل البريد الإلكتروني هذه على معلومات سرية وتستخدم تنسيقات مستندات مثل Microsoft Word أو Adobe Acrobat PDF لتشغيل البرمجيات الضارة. يمكن أن تساعد أدوات مراقبة سلامة الملفات (FIM) المؤسسات على اكتشاف ما إذا كانت أصول تكنولوجيا المعلومات الحساسة قد تعرضت للتلاعب بسبب البرمجيات الضارة المضمنة في رسائل البريد الإلكتروني للتصيّد الاحتيالي الموجّه.
هناك إجراءات أمنية يمكن للمؤسسات اتخاذها للتخفيف من حدة مخاطر حصول المخترقين الذين يستخدمون التهديدات المستمرة المتقدمة على إمكانية الوصول غير المصرح به إلى أنظمتها. ونظرًا إلى أن مجموعات التهديدات المستمرة المتقدمة تتكيف باستمرار مع أساليب جديدة لكل ناقل هجوم، يوصي الخبراء باتباع نهج واسع يجمع بين حلول وإستراتيجيات أمنية متعددة بما في ذلك: