معرفی عوامل تهدید
مقالات تخصصی IT و هاستینگ 20 اردیبهشت 1403 ساعت 11:08

عوامل تهدید یا Threat Actor چیست و چه تفاوتی با هکر دارد؟ (بخش دوم)

در بخش اول مقاله ضمن معرفی عوامل تهدید، انواع و ویژگی های آنها نیز توضیح داده شد. در بخش دوم مقاله به مفاهیم و سایر موارد مرتبط پرداخته می شود. برخی از مفاهیم امنیت سایبری که نیاز است به آنها آگاه باشید عبارتند از:

بدافزار یا Malware
بدافزار (Malware) نوعی نرم افزار مخرب می باشد که برای آسیب زدن یا غیرفعال کردن کامپیوترها طراحی شده است. از بدافزار می‌توان برای سرقت اطلاعات، کنترل سیستم‌ها یا حمله به سایر رایانه‌ها استفاده نمود. انواع مختلفی از بدافزار مانند ویروس‌ها، کرم‌ها، اسب‌های Trojan و باج‌افزار وجود دارد. بدافزار می‌تواند از طریق پیوست‌های ایمیل، وب‌سایت‌های آلوده یا نرم‌افزارهای آسیب‌پذیر منتشر شود.

حمله DOS

مقابله با عوامل تهدید

 

تصویر(1)

DoS نوعی حمله سایبری است که سعی می‌کند یک سیستم یا شبکه را برای کاربران غیرقابل دسترس نماید. این حملات، وب‌سایت‌ها یا سرویس‌های آنلاین را هدف قرار داده و می‌توانند کل سیستم‌ها را از کار بیندازند.

حملات DoS معمولاً سیستم یا شبکه هدف را با ترافیک و درخواست‌های زیاد اصطلاحا بمباران می کند تا جایی که هدف موردنظر دیگر نتواند بار را تحمل نماید و از دسترس خارج شود. همچنین می‌توان از حمله DOS جهت غیرفعالسازی سیستم‌ها و شبکه‌ها از طریق خراب کردن داده‌ها، سوءاستفاده از آسیب‌پذیری‌ها یا لود بیش از حد (overloading) منابع استفاده نمود.

باج‌افزار (Ransomware)

باج‌افزار نوعی بدافزار است که فایل‌ها را رمزگذاری یا سیستم‌ها را قفل می‌کند و دسترسی کاربران به آنها را غیرممکن می‌سازد. این بدافزار می‌تواند از طریق پیوست‌های ایمیل، وب‌سایت‌های آلوده یا نرم‌افزارهای آسیب‌پذیر منتشر شود. باج‌افزار با انسداد دسترسی یا رمزنگاری اطلاعات، از قربانیان برای برگشت اطلاعات درخواست باج می کند.

این تصور که باج‌افزار اطلاعات سرقت‌شده را صرفا رمزگذاری می‌کند، صحیح نیست. مجرمین سایبری حالا به جای اینکه وقت خود را صرف رمزنگاری اطلاعات نمایند، مستقیما آنها را به سرقت می‌برند. به نظر می‌رسد که رمزنگاری تمام اطلاعات قربانی، برای بسیاری از مجرمین سایبری زمانبر است و احتمال تشخیص حمله توسط کاربر را افزایش می دهد.

دانلود مخفیانه و بدون اجازه (Drive-by Download)

دانلود Drive-by نوعی حمله سایبری است که در آن، بدون اطلاع و اجازه کاربر، بدافزار به سیستم او وارد می‌شود. این اتفاق معمولا زمانی رخ می‌دهد که کاربر از یک وب‌سایت آلوده بازدید کند یا روی لینکی مخرب کلیک نماید. از طریق دانلود Drive-by، می‌توان انواع بدافزارها از جمله ویروس‌ها، تروجان‌ها و باج‌افزار را روی سیستم قربانی نصب کرد.

نمونه‌هایی از عوامل تهدید

همانطور که گفته شد عوامل تهدید انواع مختلفی دارند. عده ای از آنها به صورت تک‌نفره و پنهانی عمل می‌کنند، در حالی که برخی دیگر عضو گروه‌های بزرگ‌تر و سازمان‌یافته هستند.

با بررسی نمونه‌ حملات سایبری که اخیرا رخ داده است، سازمان‌ها می‌توانند درک بهتری از عوامل تهدید و حملات احتمالی داشته باشند. این بررسی به سازمان‌ها کمک می‌کند تا برای مقابله با چنین حملاتی در آینده، آمادگی بیشتری کسب نمایند.

8220 Gang

گروهی از مجرمان سایبری با نام "8220 Gang" هستند که زیرساخت‌های ابری شرکت‌های بزرگی مثل آمازون (AWS)، مایکروسافت (Azure)، گوگل (Google Cloud) و Aliyun را هدف قرار می‌دهند. آنها با نفوذ به این زیرساخت‌ها، نرم‌افزارهای مخرب استخراج ارز دیجیتال (ماینر) را روی سیستم‌های قربانیان نصب می‌کنند تا از منابع آنها برای سودجویی شخصی استفاده نمایند.

این گروه چندین سال است که در این زمینه فعالیت می کند. در اواسط سال ۲۰۲۱ با راه‌اندازی کمپین‌های جدید و استفاده از زیرساخت‌های دائمی، تعداد دستگاه‌های آلوده تحت کنترل آنها به شدت افزایش یافت. این رقم که در گذشته حدود ۲۰۰۰ دستگاه بود، حالا به بیش از ۳۰,۰۰۰ دستگاه رسیده است.

همانطور که مثال "8220 Gang" نشان می‌دهد، عوامل تهدید اغلب با تکامل تدریجی و فعالیت‌های پنهانی، کمپین‌های خود را به اندازه‌ای گسترش می دهند که برچیدن آنها در آینده بسیار دشوار شود.

باج‌افزار REvil

خطرات حمله DOS

تصویر(2)

باج‌افزار REvil با سوءاستفاده از یک حفره امنیتی ناشناخته (حمله‌ روز صفر) در نرم‌افزار مدیریت از راه دور شرکت کاسیا (Kaseya VSA) که توسط شرکت‌های زیادی در زمینه تامین امنیت (MSSP) و مدیریت فناوری اطلاعات (IT) استفاده می‌شود، به هزاران سیستم‌ نفوذ کرد. این حمله وسیع که یکی از بزرگ‌ترین حملات باج‌افزاری تاریخ است، با پیشنهادی عجیب همراه بود. هکرها در ازای ارائه یک ابزار رمزگشایی که می‌توانست تمام فایل‌های رمزگذاری‌شده را برای همه قربانیان بازگرداند، مبلغ هنگفتی معادل ۵۰ میلیون دلار (در ابتدا ۷۰ میلیون دلار درخواست شده بود) را طلب کردند.

حمله سایبری REvil نکات مهمی را آشکار و گوشزد کرد:

1- سودآوری بالای حملات سایبری برای مجرمین

2- لزوم به‌کارگیری ابزارهای EDR برای سازمان‌ها

همچنین این حمله نشان داد که اتکا به روش‌های امنیتی سنتی دیگر کافی نیست و سازمان‌ها باید برای ارتقای سطح امنیت سایبری خود و مقابله با تهدیدات نوظهور، از ابزارها و راهکارهای پیشرفته استفاده کنند.

Aoqin Dragon

Aoqin Dragon یک گروه هکر چینی است که از سال 2013 به طور فعال در جاسوسی سایبری علیه سازمان‌های دولتی، آموزشی و مخابراتی در جنوب شرقی آسیا و استرالیا فعالیت می‌کند. آنها از روش‌های فریبنده مانند اسناد آلوده و درایوهای USB جعلی برای نفوذ به سیستم‌ها و سرقت اطلاعات استفاده می‌ نمایند. Aoqin Dragon به دلیل مهارت و پنهان‌کاری خود شناخته شده است و برای سال‌ها بدون جلب توجه فعالیت می‌کرد.

Moshen Dragon

Moshen Dragon، یک گروه هکر چینی است که از سال 2017 در زمینه جاسوسی سایبری فعالیت می‌کند. آنها عمدتاً به دنبال اطلاعات از شرکت‌های مخابراتی در آسیای مرکزی هستند. این گروه از روش‌های مختلفی برای حمله به سیستم‌ها، از جمله نصب بدافزار، سرقت اطلاعات ورود و جاسوسی از ترافیک شبکه استفاده می‌کنند.

Moshen Dragon به دلیل مهارت و توانایی خود در انطباق با روش‌های امنیتی، شناخته شده است. آنها از ابزارها و تکنیک‌های مختلفی برای دور زدن موانع امنیتی و دسترسی به اطلاعات مورد نظر خود استفاده می‌کنند. در حال حاضر، Moshen Dragon یکی از فعال‌ترین گروه‌های هکری در آسیای مرکزی است و برای شرکت‌های مخابراتی در این منطقه یک تهدید جدی محسوب می‌شود.

نحوه جلوگیری و متوقف سازی حملات سایبری 

بهترین توصیه برای متخصصان امنیت این است که همیشه فرض کنند عوامل تهدید در شبکه آنها حضور دارند. برای جلوگیری از نفوذ عوامل تهدید، داشتن یک راهکار امنیتی جامع، بسیار مهم است. برخی از راهکار ها عبارتند از:

Endpoint Detection and Response یا EDR

EDR یک راه حل امنیتی است که روی endpoint های شبکه، مانند لپ تاپ ها، دسکتاپ ها و سرورها نصب می شود.  این راه حل، فعالیت های مشکوک را در endpoint رصد می کند و در صورت مشاهده هرگونه رفتار غیرعادی، می تواند به طور خودکار اقدام به قرنطینه یا انسداد آن نماید. EDR به سازمان ها کمک می کند تا حملات سایبری را به سرعت شناسایی و به آنها پاسخ دهند، قبل از اینکه آسیب قابل توجهی به داده ها یا سیستم ها وارد شود.

امنیت Zero Trust

تصویر(3)

Zero Trust Security

مدل امنیتی Zero Trust Security بر این اساس عمل می کند که هیچ کاربر یا دستگاهی به طور پیش فرض قابل اعتماد نیست. در این مدل، همه افراد و دستگاه ها باید قبل از دسترسی به منابع شبکه، احراز هویت شوند. این امر موجب کاهش احتمال نفوذ به شبکه توسط عوامل تهدید می شود زیرا آنها نمی توانند صرفا با استفاده از نام کاربری و رمز عبور سرقت شده، به شبکه دسترسی پیدا کنند.

احراز هویت چند عاملی (Multi-Factor Authentication)

احراز هویت چند عاملی (MFA) یک لایه امنیتی اضافی برای فرآیند ورود به سیستم اضافه می کند. علاوه بر نام کاربری و رمز عبور، کاربران باید اطلاعات دیگری مانند کد تأیید ارسال شده به تلفن همراه یا اثر انگشت خود را نیز ارائه دهند. این ویژگی کار هکرها را دشوارتر می کند زیرا حتی اگر نام کاربری و رمز عبور کاربر را به دست آورند، نمی توانند به حساب کاربری دسترسی پیدا کنند.

دفاع در برابر تهدیدات پیشرفته مداوم (APTs)

تهدیدات پیشرفته مداوم (APTs) حملات سایبری پیچیده ای هستند که توسط گروه های هکری حرفه ای انجام می شوند. این گروه ها اغلب ماه ها یا حتی سال ها برای نفوذ به یک شبکه زمان صرف کرده و از روش های پیشرفته ای جهت پنهان کردن فعالیت خود استفاده می کنند. دفاع در برابر APTs دشوار است اما سازمان ها می توانند با ترکیبی از راه حل های امنیتی، مانند EDR، Zero Trust Security و MFA از سیستم و شبکه خود محافظت نمایند.

نتیجه‌گیری

عوامل تهدید، افراد یا گروه‌هایی هستند که با انگیزه‌های مختلفی مانند سود مالی، سرقت داده یا ایجاد اختلال، به سیستم‌های رایانه‌ای آسیب می‌رسانند. انواع مختلفی از عوامل تهدید از جمله Cybercriminals، Nation-States، هکرها، هکتیویست‌ها و.. وجود دارد. برای محافظت از سیستم و شبکه در برابر این تهدیدهای سایبری، انجام اقداماتی مانند استفاده از رمزهای عبور قوی، بروزرسانی نرم‌افزار، استفاده از برنامه های امنیتی، آگاهی از تهدیدات سایبری و سایر راهکار هایی که در مقاله ذکر شد، ضروری می باشد.

برچسب‌ها:
اشتراک گذاری:

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *