تختلف الهجمات الإلكترونية المستهدفة عن هجمات القراصنة الجماعية من حيث أنها تستهدف شركة أو مؤسسة معينة. هذه الهجمات هي الأكثر فعالية لأنها خططت وشخصية باستخدام المعلومات التي تم جمعها عن الضحية. كل شيء يبدأ مع جمع المعلومات. كقاعدة عامة ، هذا هو الجزء الأطول والأكثر شاقة من العملية. ثم تحتاج إلى إعداد وتنفيذ الهجوم. من الخارج ، يبدو كل شيء معقدًا للغاية ، ويبدو أنه لا يمكن القيام بهذا إلا بمفرقعات النخبة. ومع ذلك ، تبدو الحقيقة مختلفة.
إذا
كانت حصة الهجمات غير المستهدفة في عام 2017 تبلغ 90٪ ، وكان الهدف 9.9٪ فقط ، في عامي 2018 و 2019 ،
كانت هناك زيادة مطردة في الهجمات المستهدفة بدقة . إذا كان من الصعب عليهم القيام بالأداء ، فلماذا هناك المزيد منهم؟ وكيف يتم تنفيذ الهجمات المستهدفة الحديثة ، لماذا يتحول المتسللون من الهجمات الجماعية إلى الهجمات المستهدفة؟ لماذا لا يرتبط عدد هذه الحوادث بمجموعات الإنترنت المعروفة جيدًا؟ هيا بنا
تخيل مجموعة من المتسللين الذين قرروا مهاجمة مصنع ينتج المسواك المجعد لسرقة سر إنتاجهم وبيعه للمنافسين. فكر في المراحل التي يمكن أن يتكون منها هذا الهجوم والأدوات التي ستكون ضرورية لهذا الغرض.
المرحلة 1. جمع المعلومات
يحتاج المتسللون إلى جمع أكبر قدر ممكن من المعلومات حول المصنع ، وإدارته وموظفيه ، والبنية التحتية للشبكة ، وكذلك عن الموردين والعملاء. للقيام بذلك ، يقوم المهاجمون بفحص موقع المصنع وجميع عناوين IP الخاصة بالمؤسسة باستخدام ماسح الثغرات الأمنية. وفقًا للمصادر العامة ، يتم تجميع قائمة الموظفين ، ودراسة ملفاتهم الشخصية على الشبكات الاجتماعية والمواقع التي يزورونها باستمرار. بناءً على المعلومات التي تم جمعها ، يتم إعداد خطة الهجوم واختيار جميع المرافق والخدمات الضرورية.
الأدوات: ماسحة الثغرات الأمنية ، وخدمات تسجيل الموقع ، والبريد الإلكتروني المسروق وبيانات اعتماد الموقع.
المرحلة 2. تنظيم نقاط الدخول
باستخدام المعلومات التي تم جمعها ، يستعد المتسللون لاختراق شبكة الشركة. أسهل طريقة هي رسائل التصيد الاحتيالي التي تحتوي على مرفقات أو روابط ضارة.
لا يحتاج المجرمون إلى امتلاك مهارات الهندسة الاجتماعية أو تطوير عمليات استغلال الويب للإصدارات المختلفة من المتصفح - كل ما تحتاجه متوفر في شكل خدمات على منتديات الهاكرز وعلى شبكة darknet. مقابل رسوم رمزية نسبيًا ، سيقوم هؤلاء المتخصصون بإعداد رسائل البريد الإلكتروني الخاصة بالخداع استنادًا إلى البيانات التي يتم جمعها. يمكن أيضًا شراء محتوى ضار لمواقع الويب كخدمة تثبيت برمجية ضارة كخدمة. في هذه الحالة ، لا يحتاج العميل إلى الخوض في تفاصيل التنفيذ. سيقوم البرنامج النصي تلقائيًا باكتشاف المستعرض ومنصة الضحية وسيستغل ويستخدم الإصدار المناسب من المستغل لإدخال الجهاز واختراقه.
الأدوات: خدمة
"الكود الضار كخدمة" ، وهي خدمة لتطوير رسائل البريد الإلكتروني الخادعة الخبيثة.
الخطوة 3. الاتصال بخادم الإدارة
بعد الدخول إلى شبكة المصنع ، يحتاج المتسللون إلى رأس جسر لتأمين وتنفيذ المزيد من الإجراءات. يمكن أن يكون جهاز كمبيوتر محفوفًا بالمخاطر مع وجود باب خلفي مثبت ، أو قبول أوامر من خادم الإدارة على مضيف مخصص "مضاد للرصاص" (أو "مضاد للشكوى" ، كما أنه "مقاوم للرصاص" أو BPHS - خدمة استضافة مضادة للرصاص). هناك طريقة أخرى تتضمن تنظيم خادم إدارة مباشرة داخل البنية التحتية للمؤسسة ، في حالتنا ، المصنع. في الوقت نفسه ، لا يتعين عليك إخفاء حركة المرور بين البرامج الضارة المثبتة على الشبكة والخادم.
المصدر: الاتجاه الصغيرتقدم أسواق الجرائم الإلكترونية خيارات مختلفة لمثل هذه الخوادم ، المصنوعة في شكل منتجات برمجيات كاملة ، والتي يتم توفير الدعم الفني لها.
الأدوات: الاستضافة "المتسامحة مع الأخطاء" (مقاومة للرصاص) ، خادم C & C كخدمة.
المرحلة 4. التشريد الجانبي
ليس من الواقع أن الوصول إلى أول كمبيوتر معرض للخطر في البنية التحتية للمصنع سيوفر فرصة للحصول على معلومات حول إنتاج المسواك المجعد. للوصول إليهم ، تحتاج إلى معرفة مكان تخزين السر الرئيسي وكيفية الوصول إليه.
وتسمى هذه المرحلة "الحركة الجانبية" (الحركة الجانبية). كقاعدة عامة ، يتم استخدام البرامج النصية لإجراء ذلك ، وأتمتة مسح الشبكة ، والحصول على امتيازات إدارية ، وإزالة مقالب من قواعد البيانات ، والبحث عن المستندات المخزنة على الشبكة. يمكن للبرامج النصية استخدام الأدوات المساعدة لنظام التشغيل أو تنزيل التصميمات الأصلية المتوفرة بتكلفة إضافية.
الأدوات: البرامج النصية لمسح الشبكة ، والحصول على امتيازات إدارية ، واستنزاف البيانات والبحث عن المستندات.
المرحلة 5. دعم الهجوم
إن الأوقات التي كان على المتسللين الجلوس فيها يدفنوا أنفسهم في المحطة لمرافقة الهجوم وطرق المفاتيح باستمرار ، وكتابة الأوامر المختلفة ، هي شيء من الماضي. يستخدم مجرمو الإنترنت العصريون واجهات وألواح ولوحات معلومات مريحة على الويب لتنسيق أعمالهم. يتم عرض مراحل الهجوم في شكل رسوم بيانية بصرية ، ويتلقى المشغل إخطارات بالمشاكل التي تنشأ ، وقد يتم تقديم حلول متنوعة لحلها.
الأدوات: لوحة تحكم هجوم الويب
المرحلة 6. سرقة المعلومات
بمجرد العثور على المعلومات اللازمة ، من الضروري نقلها من شبكة المصنع إلى المتسللين في أسرع وقت ممكن وبهدوء. يجب أن يتم إخفاء ناقل الحركة كحركة مرور مشروعة حتى لا يلاحظ نظام DLP أي شيء. لهذا ، يمكن للمتسللين استخدام الاتصالات الآمنة والتشفير والتعبئة وعلم إخفاء المعلومات.
الأدوات: المشفرات ، المشفرات ، أنفاق VPN ، أنفاق DNS.
نتيجة الهجوم
اخترق المتسللون الافتراضيون لدينا بسهولة شبكة المصنع ، ووجدوا المعلومات اللازمة للعميل وسرقوها. كل ما احتاجوا إليه كان مبلغًا صغيرًا نسبيًا لاستئجار أدوات المتسللين ، والتي قاموا بتعويضها عن طريق بيع سر المسواك إلى المنافسين.
النتائج
كل ما تحتاجه لتنفيذ هجمات مستهدفة متاح بسهولة على darknet وعلى منتديات الهاكر. يمكن لأي شخص شراء أو استئجار أدوات ، ومستوى العرض مرتفع للغاية بحيث يقدم البائعون الدعم الفني ويخفضون الأسعار باستمرار. في هذه الحالة ، لا جدوى من إضاعة الوقت في إطلاق الطيور الطنانة من المدفع والقيام بحملات ضارة واسعة النطاق. زيادة كبيرة في العائدات سيجلب العديد من الهجمات المستهدفة.
مجموعات القراصنة النخبة أيضا مواكبة الاتجاهات وتنويع المخاطر. إنهم يفهمون أن تنفيذ الهجمات أمر خطير ، وإن كان مربحًا. أثناء التحضير للهجمات وفي الفترات الفاصلة بينهما ، أريد أيضًا تناول الطعام ، مما يعني أن الدخل الإضافي لن يضر. فلماذا لا تدع الآخرين يستخدمون تصميماتهم مقابل مكافأة لائقة؟ أدى هذا إلى عرض هائل لخدمات القرصنة للإيجار ، ووفقًا لقوانين السوق ، أدى إلى انخفاض في تكلفتها.
المصدر: الاتجاه الصغيرنتيجة لذلك ، انخفض الحد الأدنى لدخول قطاع الهجمات المستهدفة ، وشهدت الشركات التحليلية زيادة في عددها عامًا بعد عام.
نتيجة أخرى لتوافر الأدوات في أسواق جرائم الإنترنت هي أن هجمات مجموعات APT أصبحت الآن أكثر صعوبة للتمييز عن الهجمات التي يقوم بها المجرمون الذين يستأجرون أدواتهم. وبالتالي ، تتطلب الحماية من APT والمجرمين الإلكترونيين غير المنظمين نفس التدابير تقريبًا ، على الرغم من الحاجة إلى مزيد من الموارد لمواجهة APT.
كمعيار تجريبي يتم من خلاله تحديد أعمال قراصنة APT ، لا يوجد سوى تعقيد الهجمات وأصالتها ، واستخدام التطورات الفريدة والاستغلالات غير المتاحة في الأسواق السرية ، ومستوى أعلى من المعرفة بالأدوات.