امیرحسین تنگسیری نژاد
مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

گروه APT چیست؟ معرفی معروف ترین گروه های APT

گروه های APT یا همان Advanced Persistent Threat به گروه های گفته میشود که توسط دولت ها تاسیس و حمایت میشوند تا به سبب آن ها دولت ها بتوانند حملات سایبری و منافع مورد نیازشان را به دست بیاورند، این گروه ها مانند دیگر گروه های تهاجمی هدف در سرقت اطلاعات، آسیب رساندن و ایجاد اختلال به زیرساخت هدف های خود را دارند. برخلاف دیگر مهاجمین و گروه های که در حوزه هک و رخنه سایبری فعالیت میکنند این گروه ها بر روی اهداف خود حتی ماه ها و سال ها کار میکنند و آنهارا تحت نظر و دنبال کروند دارند. این گروه ها طی سال های اخیر توسط دولت ها و کشور های متنوعی ایجاد شده است و توانسته اند آسیب های زیادی را در پاسخ و یا در شروع به یک حمله به هدف های خود وارد کنند که در این مقاله ما به معرفی این گروه ها میپردازیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

معرفی گروه APT 39

این گروه به گفته FireEye و دیگر شواهد موجود توسط کشور ایران ایجاد شده است و تحت حمایت کشور ایران میباشد.
تمرکز این گروه بر روی خطوط ارتباطات از راه دور شرکت ها و شبکه های حمل و نقل و مسافربری میباشد و عمده فعالیت آنها در خاورمیانه بوده است.
این گروه تابحال حملات زیادی را پياده سازی کرده است و بد افزار های متنوعی را از جمله Seaweed و Cacemoney بکارگیری کرده است و همچنین این گروه در اکثر شرایط به زیرساخت های سازمان ها و الخصوص وب سرور های هدف خود حمله میکنند. این گروه وب سرور های آسیب پذیر سازمان هدف را شناسایی و برای نصب کردن Web Shell های مانند ASPXSPY و ANTAK از آنها سو استفاده میکند.

گروه APT چیست؟ معرفی معروف ترین گروه های APT

معرفی گروه APT 35

این گروه مانند گروه APT 39 متعلق به کشور ایران میباشد و عمده اهداف و حملات آن بر روی بخش های اروپای غربی و پرسنل های نظامی و دیپلماتیک خاورمیانه و ایالات متحده آمریکا بوده است و همچنین زیرساخت های صنایع دفاعی و مهندسی و خدمات تجاری و مخابراتی نیز هدف این‌ گروه بوده اند.
گروه APT35 با عنوان های دیگری از جمله Newscaster Team هم شناخته میشود این تیم عملیات های بلند مدت و مختلفی را پیاده سازی کرده است که یکی از آنها Mandiant Threat Intelligence میباشد که به سال 2014 برمیگردد. این گروه از ابزارهای نسبتا پیچیده ایی استفاده میکند که بیشتر آنها شامل Web Shell ها و ابزار های موجود در دسترس عموم میباشد و این گزینه میتواند نشان دهنده نوپا بودن تیم توسعه این گروه باشد.
این تیم از تکنیک های متنوعی در حملات خود استفاده میکند که عمده آنها مهندسی اجتماعی (Social Engineering)، سو استفاده از آگهی های تبلیغاتی و شغلی، رزومه اهداف و حتی سیاست ها و قوانین رمز عبور را شامل میشود.

گروه APT چیست؟ معرفی معروف ترین گروه های APT

معرفی گروه APT 33

این گروه نیز مانند دو گروه قبل متلعق به کشور ایران میباشد و علاقه خاصی نیز به زیرساخت های هوافضا و انرژی دارند بدین شکل که طی فعالیت این گروه عمده هدف های آنها زیرساخت سازمان های بود که صنایع و کسب و کار آنها در حوزه هوانوردی تجاری و نظامی بوده است و اکثر این سازمان ها دفترمرکزیشان در کشور های هم‌چون ایالات متحده آمریکا، عربستان سعودی و کره جنوبی بوده است.
تکنیک های که این گروه بکارگیری میکنند عمده آنها استفاده از ایمیل های مخرب و حاوی لینک های Phishing میباشد. این ایمیل ها اکثرا حاوی موضوعات استخدامی بوده است که به فایل ها و پیوند های مخرب دیگری در قالب فایل .hta (Html) متصل هستند.

معرفی گروه APT 31

گروه APT 31 یکی از گروه های جاسوسی و APT میباشد که شواهد و گفته ها نشان میدهد که این گروه متعلق به کشور چین میباشد. هدف این گروه به مراتب مورد هدف دادن بخش ها و به دست اوردن اطلاعاتی میباشد که میتواند به کشور چین در بخش ها و نهاد مختلف از جمله اقتصادی، مالی، سیاسی و نظامی کشور چین کمک کند.
این گروه همواره به صورت چندگانه و نامتمرکز بخش های مختلفی را مورد هدف قرار میدهد و در اکثر شرایط مربوط به منطقه و کشور خاصی نیستند اما هدف این گروه دولت ها و سازمان‌های مالی بین المللی و البته سازمان‌های نظامی و هوافضا بوده است.
بد افزار های مربوط به این گروه عبارتند از:

  • SOGU
  • LUCKYBIRD
  • SLOWGYRO
  • DUCKFAT

همچنین تکنیک ها و Attack Vector های که توسط این گروه مورد استفاده قرار گرفته است آسیب پذیری های مربوط به Java و نرم افزارهای شرکت Adobe الخصوص Adobe Flash بوده است.

گروه APT چیست؟ معرفی معروف ترین گروه های APT

معرفی گروه APT 9

تابحال تمامی گروه های APT که معرفی کردیم متعلق به دولت و یا کشور خاصی بودند اما این گروه براساس شواهد و اطلاعاتی که در دست میباشد متعلق به دولت و کشور خاصی نیست و به اصطلاح یک گروه Freelancer در بین گروه های APT میباشد. این گروه دراغلب شرایط سازمان های را مورد هدف قرار میدهد که با دیگر سازمان ها رقابت میکنند و با هدف قرار دادن آنها اطلاعات مختلف آنهارا استخراج و به سرقت میبرند که اغلب این سازمان ها در حوزه های سلامت و بهداشت، هوا و فضا و مهندسی و صنایع بوده است
بد افزار های مربوط به این گروه عبارتند از:

  • SOGU
  • HOMEUNIX
  • PHOTO
  • FUNRUN
  • Gh0st
  • ZXSHEL

گروه APT چیست؟ معرفی معروف ترین گروه های APT

معرفی گروه APT 28

این گروه کشور های متعددی را مورد حمله و هدف خود قرار داده است که در اکثر شرایط گرجستان و کشورهای اروپایی از این گروه ضربه خورده اند همچنین سازمان های مانند NATO و دیگر سازمان های امنیتی اروپایی نیز هدف این گروه بوده اند. براساس شواهد متنوعی از سازمان استخراج و سرقت اطلاعات و حملات وجود دارد حاکی از این ماجرا است که این گروه متعلق به شرکت روسیه میباشد به دو دلیل
دلیل اول: نوشته شدن و پیدا شدن نمونه های از بدافزارها که به زبان روسی نوشته شده اند.
دلیل دوم: استفاده از بدافزارها و پیدایش حملات در ساعات کاری شهر های بزرگ روسیه مانند سمپترزبورک و مسکو ( 8 صبح تا 6 بعد از ظهر )

بد افزار های مرتبط به این گروه:

  • CHOPSTICK
  • SOURFACE

گروه APT چیست؟ معرفی معروف ترین گروه های APT

موفق باشید


امیرحسین تنگسیری نژاد
امیرحسین تنگسیری نژاد

مهندس و مدرس شبکه و امنیت سایبری و مدیر کل جزیره هک و امنیت اطلاعات توسینسو

متخصص امنیت اطلاعات و کارشناس شکار تهدیدات بانک ملی ایران ، دارای مدارک مختلف از Splunk و AWS و Fortinet و Huawei حوزه اصلی فعالیت بنده در زمینه شبکه مباحث R&S و Service Provider می‌باشد و در زمینه امنیت نیز در موقعیت های مختلفی مانند PenTest و SoC فعالیت داشته و دارم. سابقه همکاری با بعضی سازمان های در قالب پروژه و... را داشته ام الان به عنوان تحلیلگر امنیت سایبری در زیرساخت بانک ملی مشغول به کار هستم. لینکداین: https://www.linkedin.com/in/amirhoseintangsirinezhad/

نظرات