הדור החדש של המתקפות הקיברנטיות: Advanced Persistent Threat

בחודשים האחרונים אנו שומעים יותר ויותר את ראשי התיבות APT בעולם אבטחת המידע. גיא מזרחי מסביר את השינוי שעברו ההתקפות הקיברנטיות בשנים האחרונות ומהו בדיוק ה-Advanced Persistent Threat?

תמונה: stock.xchnge

בחודשים האחרונים אנו שומעים יותר ויותר את ראשי התיבות APT בעולם אבטחת המידע. ראשי התיבות הללו מייצגים את הביטוי Advanced Persistent Threat, שזהו בעצם סוג של קטלוג מחדש של התקפות בעולם האינטרנט (התקפות סייבר).

זבנג וגמרנו

בעבר התקפות בעולם האינטרנט היו בסגנון של “זבנג וגמרנו”. הרעיון היה שבהנחה ומצאנו איום שניתן להשמיש לצורך אקספלויט, הדבר מתחיל ונגמר מהר מאוד. לדוגמה, תוקף מסוים מצא אתר אינטרנט הפגיע למתקפה מסוג SQL Injection, אשר על-ידי ניצולה יוכל התוקף לשנות דפים באתר.

אותו תוקף יכול להשתמש בפירצה על-מנת להשחית את האתר (defacing) או על-מנת להוסיף iframe נסתר שיוביל את הגולשים לדף עם חבילת הדבקות (Exploit-Pack) ויגרום לגולשים לאתר להידבק בסוס טרויאני.

בדוגמה אחרת, תוקף מצא פירצה באתר WEB האחראי על מתן שירות לכרטיסי אשראי נטענים. הניצול יהיה מיידי, כאשר התוקף ישתמש בפירצה ויטען סכומי כסף גדולים בכרטיסים שהשיג. לאחר מכן התוקף ישלם לכמה “פראיירים” שימשכו את הכסף שהוטען בכרטיס ויעבירו לו את חלקו. דברים דומים התבצעו בעבר לא פעם.

מה שמשותף למקרים האלה ולמקרים רבים נוספים זו העובדה שמדובר בהתקפה שנעזרה בעיקר ביכולות הטכנולוגיות של התוקף. מדובר בתוקף חכם שיודע לעשות XYZ ואז להיכנס לאן שצריך. אם התוקף רצה לבצע שוב את המתקפה ולשנות משהו – הפגיעות היתה חייבת עדיין להיות שם.

פעמים רבות השאיר התוקף דלת אחורית (BackDoor), במטרה לייצר לעצמו דרך קלה יותר להיכנס או דרך לחזור לשליטה במידה ומצאו את הפגיעות עליה הוא הסתמך כדי להיכנס.

אז מה זה APT?

כל אלה הן ההתקפות ה”פשוטות”. היום יש לנו ילד חדש בשכונה שנקרא APT. מודל התקפה חדש שמתבסס על כלים שונים לגמרי מיכולות טכנולוגיות מדהימות (אם כי יכולות כאלה אף פעם לא מפריעות). APT בא לתאר מתקפה רצינית יותר, ארוכת טווח (בדרך כלל שבועות אך ניתן להרחיב את היריעה גם לחודשים ושנים), בה תהיה רמת תחכום גבוהה מבחינת הכלים בהם ישתמשו התוקפים וביכולות מסוימות של התוקפים עצמם.

הדבר המשמעותי ביותר ב-APT הוא ההישג הרצוי. כאן לא מדובר בגניבה (חסרת משמעות כמעט) של כסף, בשינוי אתר או בהדבקה של מחשבים תמימים באינטרנט בסוסים טרויאנים פיננסיים. כמעט אפשר להגיד שב-APT, הכסף הוא לא המניע. רק כמעט.

כדי להבין מהי מתקפה מסוג APT, נשתמש בדוגמא הבאה:

ארגון פשע פיננסי מחליט שהוא רוצה לייצר לעצמו רווחים. לצורך כך הוא בודק היטב את שוק המניות ומחליט על שני גופים מתחרים עיקריים שנסחרים בבורסה.

ארגון הפשע בודק ומבין שהתקפה ממוקדת על חברה X תגרום ישירות לעליית מניות בחברה Y. חברה X נסמכת על טריק טכנולוגי כלשהו שאם יהפוך לנחלת הכלל הדבר יפגע בה, באמינותה ובמוצרים שלה וזה יגרום למניות של חברה Y להתייקר. הארגון מחליט לגרום לדבר לאחר שהוא רוכש כמות של מניות בחברה Y. לצורך הביצוע הוא מגייס גוף התקפת סייבר מתוחכם. גוף ההתקפה מייצר לעצמו סוס טרויאני ייחודי (או רוכש/משתמש בסוס פומבי) ומכין לעצמו קבצי הדבקה טובים שכאשר הם יפתחו הסוס יותקן על המחשב (שוב, משתמש בחולשה שרכש או חולשה ישנה שהשיג מאתרי אינטרנט העוסקים בכך).

גוף תקיפת הסייבר (מעכשיו יכונה גת”ס) מייצר לעצמו מודיעין מקדים. הוא בודק מי האנשים שניתן לפנות אליהם בחברה, נכנס לרשתות חברתיות כגון Linkedin, פייסבוק וכדומה, כל זאת על-מנת לבנות לעצמו את בנק המטרות שלו ובסוף המחקר נשלחות כמה הודעות דואר מפתות לאנשי מפתח בארגון. אנשי המפתח נבחרו בקפידה: מהנדסים ואנשי IT. כשהם בתורם פתחו את הודעות הדואר ואת הקובץ בתוכם הותקן על המחשב שלהם סוס טרויאני לשליטה מרחוק (RAT – Remote Access Tool). הסוס יוצא אל מחוץ לארגון בתקשורת SSL מוצפנת דרך פורט 443 וה-FireWall הארגוני בדרך כלל מאפשר יציאה כזו בלי בעיה מיוחדת.

תהליך התקיפה אורך מספר שבועות בהן מצליחים התוקפים להשיג הרשאות ניהוליות על הרשת ו”לשכנע” את מערכות האבטחה וה-DLP לאפשר להוציא את המידע המסווג החוצה.

תהליך כזה הוא APT. סוסים טרויאנים מתוחכמים, הדבקות חכמות, מניע חזק והתעלמות מ”הזדמנות” לרווחים קלים בדרך.

פורסם במקור בבלוג של גיא מזרחי

Avatar

גיא מזרחי

מומחה לאבטחת מידע והבעלים של הבלוג "יומו של האקר". http://www.hacking.org.il

הגב

4 תגובות על "הדור החדש של המתקפות הקיברנטיות: Advanced Persistent Threat"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
שניר דוד
Guest

נראה שלמי שיש אינטרס הכי גדול לעשות את זה זה לחברות המתחרות עצמן. שיש להם גם אופציה מימונית טובה יותר מכל סתם איש.

גיא מזרחי
Guest

שניר – אין התקפות APT שמנוהלות ע”י “סתם איש”.
זו כמעט תמיד תהיה התקפה ממומנת ע”י גוף שזומם לבצע משהו.

שניר דוד
Guest

מובן, התכוונתי שלחברות המתחרות עצמן יש אינטרס הרבה יותר חזק לעשות את זה אחת לשניה מאשר למישהוא מבחוץ.

סקריפט אלרט 1
Guest

הכל טוב ויפה,
רק שאין פה שום דבר ״חדש״, ״מתוחכם״ או תלוי ״כלים שונים״……
יותר כמו, עוד שם נחמד שסימנטק יכולים להוסיף למצגת…
.״advanced” ו ״persistent” ממש נשמע מאיים…. 

wpDiscuz

תגיות לכתבה: