گزارش اختصاصی: تحلیل اقدامات گروه های هکری APT (از اکتبر 2022 تا پایان سال 2023)

۱- مقدمه

مهم ترین گروه‌های هکری جهان، هکرهای Advanced Persistent Threat یا به اختصار APT هستند که گروه‌ های پیشرفته و معمولاً مخفی می باشند و حملات مستمر و پیشرفته ای علیه افراد یا سازمان‌ها انجام می‌دهند. گروه های APT توسط دولت ها تاسیس و حمایت می شوند و برخلاف دیگر مهاجمین و گروه های که در حوزه هک و نفوذ فعالیت می کنند، غالبا بر روی اهداف خود ماه ها و حتی سال ها تمرکز دارند و آنها را تحت نظر می گیرند. این گروه ها طی سال های اخیر توسط دولت ها و کشور های متنوعی ایجاد شده اند و توانسته اند آسیب های زیادی را در پاسخ و یا در شروع به یک حمله، به اهداف خود وارد نمایند.

این گزارش قصد دارد اقدامات گروه‌های هکری APT حد فاصل اکتبر 2022 تا پایان سال میلادی 2023 را بررسی و تحلیل نماید. برای انجام این کار هم ابتدا چهار گزارش تحلیلی شرکت امنیت سایبری ESET بررسی شده‌اند و سپس براساس آن گروه‌های APT فعال در این دوره زمانی شناسایی شده‌اند. در قدم بعدی با جستجو اسامی گروه های APT در موتورهای جستجو اقدام به جمع آوری اخبار مرتبط با آنها شد که مجموعا حدود 240 خبر مختلف مربوط به این گروه‌ها جمع آوری و بررسی شده‌اند.

با تجمیع اطلاعات حاصله، تمامی اقدامات گروه‌های هکری APT در بازه زمانی ذکر شده دسته بندی شدند. در این دسته بندی اقدامات آنها براساس کشورهای مبدا و مقصد حملات، صنایع مورد حمله و ابزارها و تکنیک های مورد استفاده این گروه‌های هکری مرتب شده اند که نمودارهای آن در بخش های بعدی آورده شده‌اند.

 

۲- اطلاعات آماری
در این بخش به سراغ نتایج آماری حاصل از تحلیل اقدامات گروه‌های APT خواهیم رفت.

۲-۱- کشورهای مبدا
در بازه زمانی اکتبر 2022 تا انتهای سال میلادی 2023، حدود 40 گروه APT از پنج کشور ایران، روسیه، چین، کره شمالی و هند فعالیت داشتند و حملاتی را علیه کشورهای مختلف جهان ترتیب دادند ( کشور مرتبط با یکی از گروه های هکری نامعلوم بود و اطلاعاتی از کشور حامی آنها وجود نداشت).
شکل 1 کشورهای مبدا گروه های APT را براساس تعداد گروه های فعال مرتبط با آنها مشخص کرده است. طبق نمودار بیشتر گروه های فعال، چینی بوده اند و بعد از آن گروه های ایرانی و روسی بیشترین فعالیت را داشته‌اند.

 
شکل۱- کشورهای مبدا گروه های APT

۲-۲- کشورهای مقصد
گروه های APT علیه 84 کشور جهان حملات سایبری انجام داده اند. یعنی در حقیقت حدود 40 درصد کشورهای جهان تحت تاثیر این حملات قرار گرفته‌اند و بیشترین حملات آنها علیه 6 کشور ایالات متحده، اسرائیل، پاکستان، هند، لهستان و اوکراین بوده است.
در شکل 2 تمامی کشورهایی که هدف آماج حملات گروه‌های APT قرار گرفته اند، نمایش داده شده است. همچنین این نمودار براساس تعداد گروه‌های APT که این کشورها را هدف حملات خود قرار داده اند، مرتب شده است.

لطفا برای مشاهده جزییات روی تصویر کلیک کنید.

شکل ۲- کشورهای مقصد

۲-۳- صنایع هدف
گروه های APT صنایع مختلفی را هدف حملات خود قرار داده اند که بیشترین سهم حملات مربوط به سازمان های دولتی، نظامی، انرژی و اپراتورهای مخابراتی می باشد.
در شکل 3 صنایع درگیر در حملات سایبری براساس تعداد گروه‌هایی که آنها را به عنوان هدف انتخاب کرده‌اند، مرتب شده است.

لطفا برای مشاهده جزییات روی تصویر کلیک کنید.

شکل ۳- صنایع هدف

۲-۴- تکنیک های مورد استفاده
هکرها در بازه زمانی اکتبر 2022 تا انتهای سال 2023 از روش های متنوعی برای نفوذ به اهداف خود استفاده کرده‌اند که مهم ترین و پرکاربردترین تکنیک‌های آنها شامل Spearphishing, Vulnerability Exploitation و Social Engineering می باشد.
در شکل 4 تمامی تکنیک‌ها براساس میزان محوبیت و استفاده آنها توسط گروه های APT مرتب شده‌اند.
 

لطفا برای مشاهده جزییات روی تصویر کلیک کنید.

شکل ۴- تکنیک های مورد استفاده

2-5- نمودار ابزارهای استفاده شده
گروه های APT معمولا دارای ابزارهای اختصاصی هستند، به همین دلیل تنوع استفاده از ابزارها در میان گروه های هکری بسیار بالاست. در بازه زمانی این گزارش 40 گروه APT از حدود 214 ابزار مختلف به منظور هک سازمان ها استفاده کرده اند و همین موضوع نشان دهنده تنوع بسیار بالای ابزارهاست.
در شکل 5 ابزارهای مورد استفاده گروه های هکری براساس میزان محوبیتشان مرتب شده اند. همچنین همانطور که در نمودار مشخص است، هکرها غالبا از ابزارهای Cobalt Strike، Webshell، Plink، Mimikatz استفاده کرده اند و این ابزارها محبوبیت بالایی بین آنها دارد.
 

لطفا برای مشاهده جزییات روی تصویر کلیک کنید.

شکل ۵- ابزارهای مورد استفاده

۳- جمع بندی
در این گزارش با تحلیل اقدامات گروه های هکری APT مشخص شد که در بازه زمانی اکتبر 2022 تا انتهای سال 2023 مجموعا 40 گروه فعالیت داشتند که اکثر گروه ها متعلق به 3 کشور چین و سپس ایران و روسیه بودند.
همچنین در این دوره زمانی گروه های APT علیه 84 کشور جهان حمله سایبری انجام داده اند که محبوب ترین اهداف آن ها کشورهای ایالات متحده، اسرائیل، لهستان، هند، پاکستان و اوکراین بوده است.
در ادامه نمودار محبوب ترین مناطق و صنایع هدف گروه های APT در شکل 6 آمده است که طبق این نمودار:

1. گروه های هکری چینی غالبا اهداف خود را از میان کشورهایی آسیایی و اروپایی انتخاب کرده اند و بیشتر علیه سازمان های دولتی و نهادهای سیاسی حملات سایبری ترتیب داده اند.
2. گروه های هکری ایرانی بیشتر به اهداف آسیایی و آمریکایی علاقه مند بوده اند و غالبا علیه شرکت ها و سازمان های IT و صنایع مرتبط با حوزه انرژی حملات سایبری انجام داده اند.
3. گروه های هکری روسی غالب حملات خود را بر روی کشورهای اروپایی، آمریکایی و آسیایی متمرکز کرده اند و سازمان دولتی و نظامی محبوب ترین صنایع هدف آنها به شمار می آیند.
4. گروه های هکری کره شمالی بیشتر به دنبال اهدافی در مناطق آسیایی و اروپایی بوده اند و سازمان های دولتی، نظامی و دفاعی، شرکت ها و سازمان های IT، خبرگزاری ها و روزنامه نگاران سیاسی اهداف اصلی آنها در حملات سایبری بوده است.
5. و در نهایت گروه های هکری هندی علاقه زیادی به حمله علیه کشورهای آسیایی داشته اند و بیشتر سازمان های دولتی و نظامی را هدف حملات خود قرار داده اند.

لطفا برای مشاهده جزییات روی تصویر کلیک کنید.

 
شکل ۶- محبوب ترین مناطق و صنایع هدف گروه های هکری

42 حوزه و صنعت مختلف طی این مدت دچار حمله سایبری شده است که غالب حملات علیه سازمان های دولتی، نظامی، انرژی و اپراتورهای مخابراتی انجام شده است.
هکرها برای حملات خود از 70 تکنیک متنوع استفاده کرده اند که محبوب ترین تکنیکها و روش های آنها spearphishing، Vulnerability Exploitation و Social Engineering بوده است.
گروه های APT در حملات خود علیه کشورهای مختلف جهان از 214 ابزار مختلف استفاده کرده اند که محبوب ترین آنها ابزارهای Cobalt Strike، Webshell، Plink، Mimikatz بوده است.

نکته مهم در این گزارش‌ها اخبار گروه های هکری فعال کشورهای آمریکایی و اروپایی از جمله ایالات متحده، انگلیس، فرانسه، آلمان و اسرائیل پوشش داده نشده است. در حقیقت اخبار مربوط به تیم‌های هکری این کشورها در رسانه‌ها سانسور می شود. به همین دلیل در گزارش تحلیلی حاضر هم مجموعه اقدامات تیم های هکری این کشورها دیده نمی شود.