IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Cyber Attacks

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

5G در ایران، شناسایی آسیب پذیری جدید و مخاطرات پیش روی کاربر

 

با توجه به راه اندازی نسل جدید ارتباطات همراه در برخی مناطق پایتخت کشور و ارتقای شبکه، ایران اکنون در زمره کشورهای دارای فناوری نسل پنجم ارتباطات یا 5G قرار گرفته است. حال محققین در ساختار این نسل جدید آسیب پذیری جدی ای را کشف کرده اند که میبایست مورد توجه مسئولین و کاربران نیز قرار گیرد.

به طور خلاصه، آسیب پذیری شناسایی شده 5G، امکان استخراج داده ها و حملات DoS بین اسلایس های مختلف شبکه بر روی یک اپراتور تلفن همراه را فراهم می کند و مشتریان شرکت ها را در معرض حملات سایبری مخرب قرار می دهد.

محققان امنیت فناوری اطلاعات در ادپتیوموبایل یک آسیب پذیری بزرگ را در ساختار اسلایس شبکه 5G و توابع شبکه مجازی آن شناسایی کرده اند که در پی آن مشخص شده است این آسیب پذیری امکان دسترسی به داده ها و حملات Denial of Service یا DoS بین اسلایس های مختلف شبکه بر روی یک اپراتور تلفن همراه را فراهم می کند که باعث می شود مشتریان آن مجموعه در معرض حملات سایبری مخرب قرار گیرند.

 

5G چیست؟

5G شبکه تلفن همراه نسل 5 ، بعد از شبکه های 1G، 2G ، 3G و 4G که قبلاً معرفی شده بود، استاندارد جهانی ارتباط بی سیم جدید است. جای این نسل شبکه اهمیت پیدا میکند که بدانیم این نوع و نسل جدید شبکه، امکان اتصال تقریبا و همه و تمامی دستگاه ها و وسایل را از جمله ماشین آلات، اشیاء، دستگاه ها و غیره را فراهم می آورد.

فناوری 5G برای ارائه حداکثر سرعت داده های چند گیگابیت بر ثانیه، تأخیر بسیار کم، قابلیت اطمینان بیشتر، ظرفیت گسترده شبکه، افزایش در دسترس بودن و تجربه کاربری یکنواخت تر به بیشتر کاربران ارائه شده است.

 

اسلایس شبکه5G چیست؟

اسلایس شبکه در اصل به اپراتور تلفن همراه اجازه می دهد شبکه اصلی و رادیویی خود را به چندین بلوک مجازی مجزا تقسیم کند که منابع مختلفی را برای انواع مختلف ترافیک فراهم می نماید.

یک مزیت بزرگ اسلایس شبکه 5G برای اپراتورهای این شبکه، توانایی استفاده از توابع لازم برای پشتیبانی از مشتریان خاص و بخش های خاصی از بازار مانند خودروها، مراقبت های بهداشتی، زیرساخت های مهم و همچنین سرگرمی های آنلاین خواهد بود.

برخی از کشورهای پیشرو که از 5G استفاده می کنند نیز از جمله کره جنوبی، انگلستان، آلمان و ایالات متحده، بیشتر تحت تأثیر این آسیب پذیری قرار دارند زیرا شرکت های مختلفی در این کشورها شبکه مستقر کرده و دستگاه های سازگار با این نسل شبکه را می فروشند.

 

آسیب پذیری و سناریوهای حمله

طبق گزارشی که ادپتیوموبایل منتشر کرده است، سه سناریوی حمله خاص ممکن است به دلیل این نقص رخ دهد که با توجه به فناوری مشخص شده امروز، نمی توان سطح و حجم آن را کاهش داد. استخراج داده های کاربر؛ به ویژه ردیابی مکان، DoS در برابر عملکردهای دیگر شبکه و دسترسی به عملکرد شبکه و دسترسی سِری به اطلاعات مربوط به مشتری های دیگر.

علاوه بر این، اپراتور و مشتریان آنها نیز در معرض خطر هستند و داده های حساس موقعیت مکانی را از لو و نشت می دهند؛ که این امر باعث می شود اطلاعات مربوط به شارژ و حتی احتمال قطع شدن عملکرد اسلایس ها و عملکردهای شبکه، از دست برود.

دکتر سیلک هولتمنس، رئیس تحقیقات امنیت 5G در ادپتیوموبایل سکیوریتی پیشنهاد کرده است که:

"وقتی نوبت به امنیت 5G می رسد، صنعت مخابرات باید از یک رویکرد جامع و مشترک برای ایجاد امنیت شبکه ها در ارگان های استاندارد، گروه های کاری، اپراتورها و فروشندگان این خدمات استفاده کند".

"هرچه تعداد بیشتری از شبکه های اصلی به سمت ساختار ابری و معماری مبتنی بر فناوری اطلاعات حرکت می کنند، ابزارهای هک مناسب تری برای هکرها در دسترس قرار می گیرد".

"در حال حاضر، در عمل و حالت عرضه انبوه این نسل، تأثیر حملات به اسلایس های شبکه فقط به تعداد اسلایس های موجود در شبکه های 5G در سطح جهان محدود می شود. اگر این نقص اساسی در طراحی استانداردهای 5G کشف نشده و بدون اصلاح باقی بماند، خطرات قابل توجهی را در پی خواهد داشت".

"ما این موضوع را از طریق مجامع و فرآیندهای متناسب به اطلاع افراد و صنایع رسانیده ایم و خوشحالیم که با اپراتورهای شبکه تلفن همراه و جوامع بررسی استاندارد در جهت برجسته سازی این آسیب پذیری ها و بهبود اقدامات جهت رفع این آسیب پذیری ها در حال کار همکاری هستیم".

 

نتیجه گیری

حال نظر به اینکه نسل پنجم ارتباطات همراه یا 5G به تازگی در کشور عزیزمان ایران راه اندازی شده است، انتظار میرود که مسئولین امر نسبت به حل این مشکلات و پیشگیری از هرگونه آسیب پذیری در آینده به کاربران، جلوگیری به عمل آورده تا شاهد آسیب به زیرساخت های ارتباطی و کاهش سطح اعتماد کاربران نباشیم.

Babuk، تهدید باج افزاری جدید و در حال رشد

 

گروه باج افزاری Babuk که در آغاز سال 2021 کشف شده است، چندین بخش از جمله مراقبت های بهداشت و درمان، تولید و تدارکات را هدف قرار داده است. این شرکت اخیراً بسیار فعال بوده و از قربانیان خود هزاران دلار باج مطالبه کرده است.

takian.ir babuk ransomware locker

 

چرا بابوک یک تهدید رو به رشد است؟

مجرمان پشت پرده این باج افزار، تکنیک اخاذی مضاعف را اجرا می کنند، که در آن اپراتورها پس از سرقت اطلاعات، فایل ها را قفل می کنند. مطالبات پرداختی برای باج این باند بدافزاری از 60،000 تا 85،000 دلار متغیر است.

به گزارش سای‌ور، تنها در طی یک ماه، این باند به چندین سازمان از جمله هیوستون راکتز، فروشگاه تلفن همراه اسپانیا، اداره پلیس متروپولیتن و تلتون بیوتک حمله کرده است.

در این ماه، سازمان های ورزشی، ارتباطی و دولتی دیگر را نیز هدف قرار داده است. پیش از این، اهداف شناخته شده شامل نهادهای تولیدی نیز میبودند.

این باند اخیراً ویژگی های جدیدی را به مرحله اجرا درآورده است تا اطمینان حاصل کند دستگاه های قربانی می توانند قبل از استقرار باج افزار رمزگذاری شوند. علاوه بر این، این گروه وب سایتی را برای درز اطلاعات و فشار به قربانیان برای پرداخت باج و مطالبات مالی از آنها ایجاد کرده است.

 

انتقال دهندگان آلودگی

گروه Babuk از چندین وکتور برای گسترش و انتقال آلودگی استفاده می کند؛ از جمله آنها میتوان به فیشینگ ایمیل اشاره کرد که در آن، گروه ایمیل اولیه ای را که به یک بدافزار متفاوت مانند Trickbot یا Emotet لینک شده است، ارسال می کند و به شکل یک لودر عمل می کند.

باند باج افزار بابوک به سوءاستفاده از آسیب پذیری های افشا شده که پچ نشده و بروزرسانی نشده اند، شناخته میشود. این باج افزار بخصوص برای بهره برداری از نرم افزارهای دسترسی از راه دور، سخت افزارهای شبکه، سرورهای وب و فایروال ها نیز شناخته شده است.

این گروه با استفاده از حساب های معتبر در معرض خطر، در شبکه هدف قربانی رسوخ میکند. این کار معمولاً از طریق دسترسی RDP با محافظت ضعیف و با گواهینامه های معتبری که از طریق فروشندگان اطلاعات بدست می آورد، انجام می شود.

آسیب پذیری اجرای کد از راه دور در سیستم عامل Junos شرکت Juniper Networks

 

یک آسیب پذیری امنیتی به طور مستقیم بر سیستم عامل محصول شرکت جونیپز نتورکز با نام Junos تأثیر گذاشته و امکان حملات اجرای کد از راه دور را فراهم می کند. تامین کنندگان امنیت سایبری در کنار به اشتراک گذاشتن برخی راه حل ها، ظاهرا این اشکال را برطرف کرده اند.

 takian.ir juniper networks

 

آسیب پذیری سیستم عاملJunos شرکت جونیپر نتوکز

در گزارش اخیر شرکت جونیپر نتوکز جزئیات این آسیب پذیری مهم که بر سیستم عامل Junos این تأثیر می گذارد به اشتراک گذاشته شده است.

جونیپز نتورکز یک شرکت شبکه و امنیت مستقر در ایالات متحده است که محصولات مختلفی از جمله روترها و سوئیچ ها، نرم افزارهای شبکه و ابزارهای امنیتی را تولید می کند.

به گزارش لیتست هکینگ نیوز، با تشریح آسیب پذیری، تامین کنندگان امنیت توضیح دادند که این نقص در اعتبارسنجی اندازه بافر بر سیستم عامل Junos (سیستم عامل اصلی دستگاه های شبکه این شرکت) تأثیر گذاشته است.

سوءاستفاده از این آسیب پذیری می تواند به یک مهاجم تأیید و شناخته شده اجازه دهد که باعث حملات DoS شود یا حملات اجرای کد از راه دور را انجام دهد. این گزارش با توضیحات بیشتر در مورد این اشکال می افزاید:

"پکت های Overlay OAM توسط بسته هایی پوشیده شده ای مانند ping و traceroute که با پوشش ارسال می شوند، کنترل می کنند. این سرویس به صورت پیش فرض به عنوان root اجرا می شود و اتصالات UDP را در پورت 4789 بررسی می کند. این مسئله از اعتبارسنجی نامناسب اندازه بافر ناشی می شود که می تواند منجر به افزایش زیاد بافر شود. مهاجمان غیرمجاز می توانند بسته های دستکاری شده ویژه ای را برای ایجاد این آسیب پذیری ارسال کنند و در نتیجه امکان اجرای کد از راه دور را به وجود بیاورند.

این آسیب پذیری ، CVE-2021-0254 ، دارای نمره شدت بحرانی با نمره CVSS 9.8 است.

 

بروزرسانی عرضه شده

تامین کنندگان در پی گزارش Hoàng Thạch Nguyễn (d4rkn3ss) از طریق شرکت استار لَبز، از این اشکال مطلع شدند.

با شناسایی موضوع، جونیپر نتورکز اصلاحاتی را ایجاد کرد که متعاقباً با نسخه های نرم افزاری زیر منتشر کرده است.

نسخه های نرم افزاری زیر برای حل این مشکل خاص به روز شده اند: Junos OS 15.1X49-D240، 15.1R7-S9، 17.3R3-S11، 17.4R2-S13، 17.4R3-S4، 18.1R3-S12، 18.2R2-S8، 18.2R3-S7 ، 18.3R3-S4 ، 18.4R1-S8 ، 18.4R2-S7 ، 18.4R3-S7 ، 19.1R2-S2 ، 19.1R3-S4 ، 19.2R1-S6 ، 19.2R3-S2 ، 19.3R3-S1 ، 19.4R2-S4 ، 19.4R3-S1 ، 20.1R2-S1 ، 20.1R3 ​​، 20.2R2 ، 20.2R2-S1 ، 20.2R3 ، 20.3R1-S1 ، 20.4R1 ، و کلیه نسخه های بعدی.

علی رغم اینکه این مورد یک آسیب پذیری حیاتی و خطرناک است، تامین کنندگان تأیید کرده اند که هیچ بهره برداری فعالی از آن را پیدا نکرده اند.

با این حال، CISA ایالات متحده با هشدار به کاربران خواستار نصب سریع بروزرسانی ها یا پَچ ها شده است. شرکت تاکیان به کاربران توصیه میکند که در بروزرسانی سیستم ها با آخرین نسخه ها تعجیل به عمل آورند تا از تهدیدات سایبری در امان بمانند.

آسیب پذیری امنیتی شدید OpenSSL و ارائه دو به روزرسانی

takian.ir openssl

 

تیم ارائه خدمات و نگهداری OpenSSL برای دو نقص امنیتی بزرگ در نرم افزار خود به روزرسانی هایی را برای رفع مشکل ارائه کرده اند که این آسیب پذیری ها می توانند برای انجام حملات Denial of Service (DoS) و تأیید گواهی های bypass مورد استفاده قرار گیرند.

دو مورد با عنوان CVE-2021-3449 و CVE-2021-3450 مطرح شده اند، که این دو آسیب پذیری در به روزرسانی (نسخه OpenSSL 1.1.1k) که روز پنجشنبه گذشته منتشر شد، برطرف شده اند. در حالی که CVE-2021-3449 بر تمام نسخه های OpenSSL 1.1.1 تأثیر می گذارد، CVE-2021-3450 بر نسخه های OpenSSL 1.1.1h و جدیدتر موثر است.

OpenSSL یک مجموعه نرم افزاری متشکل از توابع رمزنگاری است که پروتکل Transport Layer Security را با هدف ایمن سازی ارتباطات ارسال شده از طریق شبکه رایانه ای پیاده سازی می کند.

طبق یک متن مشاوره ای که توسط OpenSSL منتشر شده است، CVE-2021-3449 مربوط به یک آسیب پذیری احتمالی DoS ناشی از بازگشت مجدد پوینتر NULL است که می تواند اگر در جریان تبادل مجدد کاربر پیام مخرب "ClientHello" در طول پیام بین کاربر و سرور انتقال داده شود، باعث خراب شدن سرور OpenSSL TLS شود. این معزل به عنوان بخشی از تغییرات مربوط به ژانویه 2018 معرفی شده است.

در متن مشاوره گفته شده است که: "اگر یک TLSv1.2 در طی ارسال پیام مجدد ClientHello پسوند signature_algorithms را حذف کند (در حالی که در ClientHello اولیه وجود داشته است)، اما شامل یک پسوند signature_algorithms_cert باشد که نتیجه آن به یک بازگشت مجدد پوینتر NULL منجر شود، نتیجتا این پدیده منجر به خرابی و حمله DoS می شود".

کمپانی نوکیا که گفته میشود این آسیب پذیری و نقص را در 17 ماه مارس سال 2021 گزارش کرده است ، با تغییر کد یک خطی، مشکل DoS را برطرف کرده است.

از طرفی دیگر، CVE-2021-3450 مربوط به یک فلگ X509_V_FLAG_X509_STRICT است که امکان بررسی مجدد امنیت certificate های موجود در یک زنجیره certificate را فراهم می کند. در حالی که این فلگ به طور پیش فرض تنظیم نشده است، اما یک خطا در پیاده سازی بدین معناست که OpenSSL نتوانسته است آنرا بررسی کند (گواهی های غیر CA نباید توانایی صدور سایر گواهی ها را داشته باشند) و در نتیجه باعث ایجاد با‌ی‌پس certificate می شود.

در نتیجه ، این نقص مانع مسدودسازی گواهی های TLS صادر شده که توسط CA های معتبر مرورگر تایید نشده اند، می شود.

OpenSSL اعلام کرده است که: "برای اینکه OpenSSL تحت تأثیر این آسیب پذیری قرار گیرد، یک برنامه باید مستقیما فلگ تأیید X509_V_FLAG_X509_STRICT را تنظیم کند و همچنین یا مقصدی برای تأیید گواهی تعیین نکند یا در مورد کاربر TLS یا استفاده از سرور، مقصد پیش فرض نادیده گرفته شود".

گفته می شود که بنیامین کادوک از آکامای این موضوع را در تاریخ هجدهم ماه مارس سال جاری به تیم خدمات و نگهداری OpenSSL گزارش داده است. این آسیب پذیری توسط شیانگ دینگ و همکاران وی در آکامای کشف شده و همچنین توسط مهندس اصلی نرم افزار سابق رِدهَت و توسعه دهندهOpenSSL ، توماش مراز، یک اصلاحیه نیز ارائه گردیده است.

اگرچه هیچ یک از این دو نقص و آسیب پذیری بر OpenSSL 1.0.2 تأثیر نمی گذارد، اما همچنین لازم به ذکر است که پشتیبانی این نسخه، از 1 ژانویه 2020 پایان یافته است و دیگر به روزرسانی نمی شود. شرکت تاکیان به کاربران نرم افزارهایی که به نسخه آسیب پذیر OpenSSL متکی هستند توصیه میکند که به روزرسانی ها را در راستای کاهش خطرات مرتبط با این نقایص و آسیب پذیری ها، در اسرع وقت نصب و اعمال نمایند.

از بین بردن سرورهای DNS معتبر به وسیله نقص جدید TsuNAME

 

محققان امنیتی روز پنجشنبه آسیب پذیری جدیدی را که بر Domain System Name (DNS) تأثیر می گذارد و می تواند توسط مهاجمان برای حملات DoS بازگشتیِ علیه nameserver های معتبر، مورد استفاده قرار گیرد را افشا نمودند.

این نقص که نام 'TsuNAME' به آن اطلاق شده است، توسط محققان SIDN Labs و InternetNZ کشف شد که به ترتیب دامنه های اینترنتی رده بالای ".nl" و ".nz" برای هلند و نیوزیلند را مدیریت می کنند.

محققان اعلام کرده اند که: "TsuNAME هنگامی رخ می دهد که نام های دامنه به شکل ناصحیح و به صورت چرخشی وابسته به رکوردهای DNS پیکربندی شده باشد و هنگامی که ریزالورهای آسیب پذیر به این تنظیمات نادرست دسترسی پیدا کنند، شروع تکرار لوپ میکنند و درخواست های DNS را به سرعت به سرورهای معتبر و سایر ریزالورها می فرستند".

ریزالور بازگشتی DNS یکی از مولفه های اصلی در Resolve DNS است. به عنوان مثال، تبدیل نام هاستی مانند www.google.com به آدرس IP قابل قبول برای کامپیوتر مانند 142.250.71.36. برای نیل به این هدف، تا مادامی که به DNS nameserver شناخته شده برای رکوردهای DNS مورد درخواست دسترسی پیدا کند، به درخواست کاربر برای یک صفحه وب، با ایجاد یک سری از درخواستها پاسخ میدهد. سرور معتبر DNS شبیه دیکشنری است که آدرس IP دقیق دامنه که جستجو شده را در خود جای داده است.

اما در مورد TsuNAME این ایده مطرح است که تنظیمات نادرست هنگام ثبت دامنه می تواند یک چرخه وابستگی ایجاد کند، به طوری که رکوردهای nameserver برای دو منطقه، به سمت یکدیگر تنظیم شوند و باعث میشود ریزالورهای آسیب پذیر به سادگی از قسمتی به قسمت دیگر برگردند، و درخواست های بی وقفه ای را به سرورهای معتبر هر دو نقطه مادر ارسال کنند که به موجب آن سرورهای معتبر منطقه مادر به آنها غلبه می کنند.

در مورد چگونگی وقوع این اتفاق میتوان گفت که زیرا ریزالورهای بازگشتی از چرخه غافل شده و رکوردهای نام وابسته به چرخه را ذخیره نمی نمایند.

takian.ir tsuname dns vulnerability

 

داده های جمع آوری شده از دامنه .nz نشان داده است که دو دامنه با پیکربندی اشتباه منجر به افزایش 50 درصدی حجم کلی ترافیک برای سرورهای معتبر .nz شده است. Google Public DNS (GDNS) و Cisco OpenDNS (که برای هدف قرار دادن دامنه های .nz و .nl در سال 2020 مورد سواستفاده قرار گرفتند) ، از آن زمان در نرم افزار ریزالور DNS خود به این مسئله اشاره کرده اند.

برای کاهش تأثیر TsuNAME در محیط سایبری، محققان ابزار متن بازی به نام CycleHunter منتشر کرده اند که برای اپراتورهای سرور DNS معتبر امکان شناسایی چرخه وابستگی ها را فراهم می کند. این مطالعه همچنین 184 میلیون دامنه را که شامل هفت دامنه بزرگ سطح بالا و 3.6 میلیون رکورد nameserver متمایز است، مورد تجزیه و تحلیل قرار داده است و 44 لوپ وابستگی مورد استفاده توسط 1435 نام دامنه را کشف کرده است.

محققان هشدار داده اند: "با توجه به اینکه سوابق NS می توانند در هر زمان تغییر کنند، هیچ راه حل دائمی برای این مشکل وجود ندارد. به عبارت دیگر، اگر یک منطقه DNS فاقد رکورد NS وابسته به چرخش در زمان t باشد، به این معنی است که این منطقه فقط در آن زمان خاص t آسیب پذیر نیست. از همین رو ما همچنین به ثبت کنندگان توصیه مینماییم به طور مثال، به عنوان بخشی از روند ثبت نام دامنه، CycleHunter را به طور منظم اجرا کنند".

استوریج های QNAP، آسیب پذیری 7zip و درآمد 250 هزار دلاری در پنج روز

 

یک گروه باج افزار با رمزگذاری از راه دور فایل ها در استوریج های QNAP با استفاده از نرم افزار بایگانی 7zip در فاصله 5 روز 250,000 دلار درآمد کسب کرده اند. کاربران QNAP NAS در سراسر جهان از روز دوشنبه و پس از بهره برداری با باج افزاری به نام Qlocker توسط مهاجمین و سوءاستفاده از آسیب پذیری های رایانه های آنها، متوجه شدند که فایلهایشان بدون اطلاع رمزگذاری شده است.

در حالی که اکثر گروه های باج افزاری مدت زمان زیادی را صرف تولید بدافزار خود می کنند تا آن را قدرتمند، مملو از ویژگی منحصر بفرد و در مقابل دفاع سایبری ایمن سازند، گروه Qlocker هیچگونه نیازی به این اقدامات پیشگیرانه و توسعه دهندگی پیدا نکرد. در عوض، آنها دستگاه های QNAP را که به اینترنت متصل شده بودند، اسکن کرده و آنها را با نقص هایی که به تازگی کشف شده بودند، دستکاری کردند.

به گزارش هکینگ نیوز، عوامل این حملات توانستند با سوءاستفاده ها از راه دور از ابزار بایگانی 7zip بهره برده و بر روی فایل های قربانیان در دستگاه های ذخیره سازی NAS برای رمزگذاری استفاده کنند. آنها با استفاده از یک الگوریتم رمزنگاری آزمایش که در ابزار بایگانی 7zip تعبیه شده بود، تنها در مدت پنج روز توانستند بیش از هزار دستگاه را رمزگذاری کنند. برای دسترسی به همه رایانه های یک قربانی و فاش نکردن اطلاعات سرقت شده آنها، باج افزارهایی که سازمان ها را هدف قرار میدهند، به طور معمول پرداخت باج از صد هزار تا 50 میلیون دلار را مطالبه میکنند.

از طرف دیگر Qlocker مخاطبان متفاوتی را انتخاب کرده است: مشتریان و شرکت های کوچک و متوسط (SME) ​​که از کامپیوترهای QNAP NAS برای ذخیره سازی شبکه استفاده می کنند. به نظر می رسد عوامل مهاجم درک خوبی از اهداف خود دارند زیرا مطالبات باج آنها فقط 0.01 بیت کوین یا حدود 500 دلار با نرخ حدودی بیت کوین امروز بوده است.

از آنجایی که باج افزار Qlocker از مجموعه ای از آدرس های بیت کوین استفاده می کند که به طور معمول تغییر میکنند، شرکت بلیپینگ کامپیوتر، آدرس ها را جمع آوری کرده و پرداخت های آنها را پیگیری می کند. جک کیبل، محقق امنیت، یک ضعف کوتاه مدت و مقطعی را کشف کرده است که به او امکان بازیابی رمزهای عبور 55 قربانی را به صورت رایگان داده است. او ده آدرس بیت کوین متفاوت از یکدیگر را جمع آوری کرد که توسط تهدیدکنندگان هنگام استفاده از این اشکال در بین قربانیان در حال چرخش بوده و آنها را با بلیپینگ کامپیوتر به اشتراک گذاشته است.

بلیپینگ کامپیوتر از آن زمان، ده آدرس بیت کوین دیگر نیز جمع آوری کرده است و تعداد کل آدرس های بیت کوین مورد استفاده عاملین تهدید Qlocker را به 20 رسانده است. 20 آدرس بیت کوین تا این زمان، پرداخت باجی در حدود 5.25735623 بیت کوین را دریافت کرده اند که معادل 258،494 دلار به پول امروز است. متأسفانه در حالی که کاربران تصمیم سختی برای پرداخت باج برای بازیابی و دسترسی مجدد به فایل های خود می گیرند، احتمالاً تعداد باج ها در آخر این هفته و هفته آینده افزایش می یابد.

این کمپین باج افزاری همچنان فعال است و روزانه قربانیان جدیدی از آن گزارش می شوند. شرکت تاکیان به کلیه کاربران توصیه مینماید برای بروزرسانی و رفع آسیب پذیری ها و دفاع در برابر این حملات باج افزاری، همه کاربران QNAP دستگاه های خود را به جدیدترین نسخه های کنسول چندرسانه ای، افزونه Media Streaming و Hybrid Backup Sync ارتقا دهند. از این طریق همچنین کاربران می توانند از دستگاه های NAS خود محافظت کنند تا امکان انجام حملات احتمالی دشوارتر صورت پذیرد.

افزایش حملات به شرکت های کوچک و متوسط و ناآگاهی کاربران

 

حملات سایبری به طور مکرر و بسیار جدی به ویژه بر شرکت های کوچک و متوسط (SME)، روند فزاینده ای را از خود نشان میدهند. متخصصان حوزه امنیت سایبری ارزیابی کرده اند که حملات سایبری در 5 سال آینده بیش از 5 تریلیون دلار هزینه به سازمان ها و نهادها تحمیل خواهد کرد.

ساده انگارانه است اگر تصور کنید که سرمایه گذاری های مستقل و هدف گذاری شده، تمرکز خود را از مجرمان سایبری دور نمایند، اما به طرز بسیار نامطلوبی، این نکته نمی تواند دور از حقیقت باشد. هر ساله تعداد زیادی از سازمان های کوچک قربانی حملات برنامه های مبتنی بر وب می شوند، بدین معنی که وقتی مجرمان برای دسترسی به سرور یا پایگاه داده از آسیب پذیری های کدگذاری سوءاستفاده می کنند، این نوع تهدیدات مخرب سایبری به عنوان برنامه های مبتنی بر وب شناخته می شوند.

به گزارش سایت ریکان‌ویت‌می، در مقایسه با حملات علیه سازمانهای بزرگتر، تعداد این حملات کمتر به نظر می رسد زیرا آنها معمولاً دارای یک تیم امنیتی داخلی هستند که به طور مداوم امنیت این نهادها را تامین میکنند و حتی اگر حمله ای صورت گیرد، توسط اخبار و دستگاه های رسانه های اجتماعی تحت پوشش قرار می گیرند، در حالی که حمله به شرکت های کوچکتر مورد توجه قرار نمی گیرد و تحت حمایت چندانی قرار نمیگیرند. این می تواند به نهادهای سرمایه گذاری خصوصی این احساس ناخوشایند را بدهد که همه دنیا در شرایط ایده آلی قرار دارند که از امنیت سایبری کافی برخوردار هستند. با این حال، شرکتهای کوچک در بیشتر موارد نسبت به شرکتهای بزرگ ناتوانتر هستند زیرا دارای سرمایه کمتری جهت اعمال تعهد امنیتی هستند.

 

مخاطرات قرار گرفتن تحت حملات سایبری

حملات سایبری خطری واقعی برای شرکتهای خصوصی هستند. این موضوع توسط موسسه پونمون در سال 2018 از طریق یک نظرسنجی بزرگ در زمینه امنیت سایبری تأیید شد. این بررسی شامل 1،045 سازمان کوچک و متوسط ​​در ایالات متحده آمریکا و انگلیس است.

در اینجا به برخی از یافته های اساسی اشاره شده است:

67% از پاسخ دهندگان در سال 2018 حداقل یک بار متحمل حمله سایبری شده اند. (در مقایسه با 61٪ در سال قبل).

کمی بیشتر از نیمی از پاسخ دهندگان که اطلاعات خود را از دست داده بودند و ادعا کردنده اند دلیل آن خطای کاربر انسانی ناآگاه یا یک کاربر بیرون از سازمان است.

سهم عظیمی از پاسخ دهندگان با حمله مهاجمان یا بدافزار مواجه شدند که مانع یافتن علت این اختلال یا مشکل آنتی ویروس سازمان آنها شده است.

دستگاه های تلفن همراه آسیب پذیرترین نقاط ورودی به شبکه های رایانه ای شرکت ها محسوب میشوند.

 

نوع حملات

  • بدافزار: بدافزار نام جمعی برای تعدادی از انواع نرم افزارهای مخرب است، از جمله ویروس ها، باج افزارها و جاسوس افزارها. اختصاریست برای نرم افزارهای مخرب؛ بدافزار به طور معمول شامل کدی است که توسط مهاجمان سایبری تهیه شده و برای آسیب رسانی گسترده به داده ها و سیستم ها یا دستیابی غیر مجاز به شبکه طراحی شده است.
  • فیشینگ: فیشینگ یک جرم سایبری است که در آن هدف یا هدفهای حملات، از طریق ایمیل، تلفن یا پیام متنی توسط شخصی که در شکل یک نهاد و سازمان قانونی برای جلب افراد جهت ارائه داده های حساس مانند اطلاعات شناسایی شخصی، اطلاعات بانکی و کارت اعتباری و رمزهای عبور است، مورد هجمه قرار میگیرند.
  • عدم پذیرش حملات مدیریتی: حمله ای برای خاموش کردن دستگاه یا شبکه که آن را برای کاربران مورد نظر خود غیرقابل دسترسی می کند. حملات DoS جهت نیل به هدف خود، با ارسال حجم زیادی ترافیک یا ارسال اطلاعات، باعث از دسترس خارج شدن آنها می شوند. در هر دو مورد، حمله DoS کاربران مجاز (کارمندان، اعضا یا دارندگان حساب) را از سرویس یا منابعی که امکان دریافت خدمات داشته اند، محروم می کند.
  • حملات مرد میانی یا Man-in-the-center: در حمله مرد میانی، یک هکر خود را در بین تو مرکز تبادل داده قرار میدهد تا اطلاعات را گردآوری و سرقت نماید.
  • تزریق SQL: این حمله شامل کدهای مخربی است که در یک عملگر SQL اعمال می شود (نوعی برنامه ریزی مدیریت پایگاه اطلاعات ایجاد شده توسط مایکروسافت).
  • سوءاستفاده Zero-day: این مورد حمله ای است که بین زمان آشکار شدن ضعف و تا رفع شدن آن اتفاق می افتد.

حملات می تواند از داخل یا خارج سازمان شما به وقع بپیوندد: حملات در داخل به طور منظم توسط نفرات ناسالم عضو مجموعه اجرا می شود. حملات بیرونی نیز ممکن است توسط کلاهبردارانی که در هر جای کره زمین یافت می شوند، انجام شود. حتی برخی از آنها ممکن است توسط agent های شرکت های دولتی انجام شوند.

 

تاثیر این حملات بر مشاغل کوچک

در یک حمله سایبری، پارامترهای متعددی میتوانند بر یک کسب و کار تاثیر بگذارند:

  1. آسیب رسیدن به یا از دست دادن اطلاعات الکترونیکی و دیجیتال: یک حمله می تواند به اطلاعات دیجیتالی موجود در رایانه های شخصی شما آسیب برساند. برای مثال یک آلودگی (بدافزار) می تواند سوابق تجاری شما را از بین ببرد، که به طبع تولید مجدد آنها یک چرخه طولانی و انرژی بر است که شامل تفکیک کردن مستندات و اطلاعات قدیمی است.
  2. هزینه های اضافی: این حملات برای ادامه روند کار ممکن است هزینه های اضافی ایجاد کنند. مثلا یک هکر به دو رایانه شخصی آسیب می رساند و شما را مجبور به جایگزینی دو ایستگاه دیگر می کند تا حداقل بتوانید تجارت خود را تا زمان برطرف شدن مشکل آنها رایانه های اسیب دیده، ادامه دهید.
  3. از دست دادن درآمد: ممکن است دچار مشکلات مالی و کاهش سرمایه شوید. به طور مثال حمله به زیرساخت مدیریتی، شما را وادار می کند تا تجارت خود را به مدت دو روز تعطیل کنید. این تعطیلی دو روزه باعث می شود هم درآمد و هم مشتری خود را از دست بدهید.
  4. مشکلات حقوقی امنیت شبکه و حریم خصوصی آن: به احتمال زیاد یک مجرم دیجیتال اطلاعات را از ساختار رایانه شما به سرفت میبرد و آن اطلاعات در اختیار طرف دیگری قرار میدهد (مثلا مشتری خاص خود)؛ این جمع آوری اطلاعات ممکن است باعث ثبت شکایت از شرکت شما و متهم شدنتان بشود. برای مثال یک برنامه نویس اطلاعات مربوط به تغییرات یا اقدامات آینده مشتری را می گیرد. این اطلاعات به دلیل سرقتی که رخ میدهد در اختیار یک هکر قرار میگیرد. متعاقبا مشتری از شما به اتهام اینکه بی احتیاطی شما باعث ایجاد یک ضرر مالی در سازمانش شده است و عدم توانایی در تأمین اطلاعات شکایت می کند.
  5. ضررهای تحمیلی: یک هکر کلاه سیاه اطلاعات حساس (شما یا شخص دیگری) را می دزدد و بعد از آن از شما 50 هزار دلار به عنوان باج مطالبه مینماید و در غیر اینصورت اقدام به ارسال آن اطلاعات در اینترنت می کند. سپس دوباره، شما به طور تصادفی باج افزاری را بارگیری می کنید که اطلاعات شما را رمزگذاری می کند و آن را غیرقابل دسترس و استفاده مینماید. مهاجم در ازای ارائه رمز الکترونیکی، تقاضای پرداخت پول می کند تا به شما امکان بدهد که به فایل های رمزگذاری شده دسترسی پیدا کنید.
  6. هزینه های اطلاع رسانی: همچنین به عنوان هزینه های اخطار نیز شناخته می شود؛ اکثر کشورها قوانینی را تصویب کرده اند که شما را ملزم مینماید تا به افرادی که اطلاعاتشان در زمان در اختیار داشتن آنها توسط شما مورد حمله قرار گرفته است، مشاوره و خدمات ارائه دهید. به همین ترتیب شما ملزم خواهید بود که در مورد گام هایی که نیاز است و در راستای حل مشکلات برمی دارید، اشاره کنید.
  7. آسیب رسیدن به اعتبار شما: یک حمله سایبری می تواند به شدت به جایگاه و اعتبار سازمان شما آسیب برساند. مشتری های احتمالی ممکن است از کار با شما خودداری کنند، زیرا اعتماد شما به چالش کشیده شده است و سازمان شما از کنترل ساختار داخلی خود ناتوان است یا حتی هرگونه ارتباط گرفتن و رابطه داشتن با شرکت شما به جایگاه و اعتبار آنها آسیب می رساند.

افشای ارتباط گروه تحت حمایت دولت و باج افزار Hades با حملات اخیر مایکروسافت Exchange

 

کارشناسان امنیتی، باج افزار Hades و گروه تحت حمایت دولت با نام Hafnium را که در پشت پرده حملات اولیه به سرورهای Microsoft Exchange بوده است، با یکدیگر مرتبط دانسته اند.

پرسنل این باج افزار همچنین مسئول حملات به یکی از بزرگان صنعت حمل بار با نام فوروارد ایر و تعداد انگشت شمار دیگری از شرکت ها بوده اند. این مسئله مرتبط با گروه عملیاتی روسی بدنام فعال در زمینه جرایم سایبری با نام اویل کورپ (Indrik Spider) بوده است که به شکل گونه جدیدی از باج افزار WasterdLocker خود، که برای کمک به گروه های دور زننده تحریم هایی که موجب دلسردی و انصراف قربانیان از پرداخت هزینه ها می شود، طراحی شده است.

با این حال ، گزارش جدیدی از اویک سکیوریتی، ادعا می کند دامنه ای را برای command-and-control در حمله Hades در ماه دسامبر سال 2020، درست قبل از کشف حملات سرور Zero-day Exchange پیدا کرده است.

جیسون بویس، معاون اویک سکیوریتی، توضیح داد: "تیم ما پس از به خطر افتادن و رمزگذاری جهت بررسی وضعیت حادث شده، ورود کردند و در این مورد خاص، دامنه هافنیوم به عنوان عامل ایجاد خطر در طی حمله Hades شناسایی شد".

وی افزود: "علاوه بر این ، این دامنه با یک سرور Exchange مرتبط بود و در روزهای منتهی به حادثه رمزگذاری برای command-and-control استفاده می شده است".

وی همچنین ادعا کرد که در کل دو احتمال وجود دارد: یک عامل تهدید کننده بسیار حرفه ای، در پوشش Hades در در این کار دست دارد و یا اینکه چند گروه مستقل به دلیل ضعف امنیتی، به طور تصادفی از همان محیط استفاده می کنند.

یافته های دیگر Hades را به عنوان یک گروه باج افزار غیرمعمول معرفی و مشخص می کند. تعداد بسیار کمی از قربانیان شناسایی شده اند و بیشتر به نظر می رسد از بخشهای صنایع تولیدی باشند.

بویس همچنین به "پیچیدگی بسیار کمی" در سایت های نشت راه اندازی شده توسط این گروه اشاره کرد، شامل حساب توییتر خود، صفحه ای در هک‌فرومز و صفحات پیج‌بین و هیست‌بین که متعاقبا حذف شده اند.

وی افزود: "همانطور که متخصصین این دست حوادث می دانند، برای عاملین و گردانندگان باج افزار بسیار معمول است که سایت هایی را برای نشت داده های خود ایجاد کنند، اما آنچه در مورد Hades جالب بود این است که آنها از روش هایی برای نشت و سایت های خود استفاده کردند که معمولا در مدت زمان بسیار کوتاهی از دسترس خارج شده اند".

"ما می دانیم که عامل حملات مبلغی در حدود 5 تا 10 میلیون دلار به عنوان باج درخواست کرده و جالب اینکه در پاسخ‌دهی به افراد، بسیار کند عمل میکند. در بعضی موارد، ممکن است اصلاً پاسخی نداده باشند. در موردی نیز، یکی از کاربران توییتر حتی اعلام کرده است "TA هرگز پاسخ نمی دهد". اگر فقط چند سازمان مورد حمله قرار گرفته بودند، چرا باید پاسخگویی به درخواست های باج برای این همه مدت طولانی زمان ببرد؟ آیا انگیزه بالقوه دیگری در این حمله وجود داشته است؟ چرا از آن زمان تا کنون خبری از Hades نبوده است؟".

بویس همچنین خاطر نشان کرد که داده های فاش شده در سایت ها بسیار کمتر از اطلاعاتی است که در اصل گروه به سرقت برده است، که مربوط به مراحل دقیق و جزئیات تولید است.

این گزارش همچنین به بازماندگان فعالیتهایی در گروه باج افزاری TimosaraHackerTerm (THT) در برخی از محیط های کاربری قربانیان Hades، چند هفته قبل از سری حملات ثانویه اشاره داشت. این موارد شامل استفاده از Bitlocker یا BestCrypt برای رمزگذاری، اتصال به آدرس IP کشور رومانی و استفاده از VSS Admin برای پاکسازی نسخه های shadow copy در دستگاه اصلی است.

باج افزار Lorenz، تهدید امنیتی جدید برای سازمان ها

 

یک تهدید امنیتی دیگر در اکوسیستم باج افزاری به قصد هدف قرار دادن مشاغل و شرکت ها ظاهر شده است. این بدافزار که به نام Lorenz شناخته میشود، یک باج افزار جدید است که از استراتژی باج گیری مضاعف برای درآمدزایی استفاده می کند.

 

درباره بدافزارLorenz

لیتست هکنیگ نیوز گزارش داده که بلیپینگ کامپیوتر اخیراً جزئیات باج افزار Lorenz (لورنز) را که به تازگی ظاهر و شناسایی شده را به اشتراک گذاشته است. حدود یک ماه از آغاز فعالیت این باج افزار میگذرد و از آن زمان شرکت های زیادی را هدف حملات باج افزاری خود قرار داده است.

به طور خلاصه، این باج افزار درست مانند بقیه، با در اختیار گرفتن شبکه های آنها، از کسب و کارها و شرکت ها باج می گیرد. پس از آلودگی، لورنز به صورت جانبی بر روی شبکه هدف گسترش یافته و پخش میشود تا درنهایت به اعتبارنامه مدیر دامنه ویندوز برسد.

همانطور که این باج افزار گسترش می یابد، داده های رمزگذاری نشده قربانی را مرتباً اضافه و نگهداری می کند و به سرورهای خود می فرستد. به همین سادگی لورنز به لیست باج افزارهای دیگری که باج گیری دو یا سه برابری انجام می دهند، اضافه میشود.

لورنز پس از تثبیت خود و سرقت داده ها، ضمن افزودن پسوند ".Lorenz.sz40" به نام فایل ها، داده ها را رمزگذاری می کند.

گرچه همه اینها برای یک باج افزار معمول و رایج به نظر میرسد اما لورنز نیز برخی از استراتژی های منحصر به فرد را در این زمینه میتواند به نمایش بگذارد.

در ابتدا لورنز یک بدافزار سفارشی سازی شده قابل اجرا برای قربانی هدف خود ارائه داده و در سیستم هدف اجرا میکند. همچنین، گروه بدافزاری برای هر قربانی یک سایت اختصاصی پرداخت بر پایه Tor ایجاد می کند.

علاوه بر این، بدافزار برخلاف سایر باج افزارها، فرایندها یا سرویس های ویندوز را قبل از رمزگذاری از بین نبرده و غیرفعال نمیکند.

در مورد باج نیز، این باند معمولاً تقاضای زیادی و بین 500 تا 700 هزار دلار مطالبه میکند. عدم پرداخت این باج، مهاجمان را به سمت آغاز فرایند انتشار اطلاعات سرقت شده در دارک وب هدایت می کند.

در ابتدا گروه لورنز، فروش داده ها به رقبا را در اولویت قرار میدهند. سپس تا پایان مهلت پرداخت باج، شروع به بایگانی داده های محافظت شده با رمز عبور می کنند. بعد از پایان مهلت، آنها به راحتی رمز عبور را نیز منتشر می کنند و به طبع آن داده ها را در دسترس عموم قرار می دهند.

باز هم، آنچه لورنز را منحصر به فرد می کند این است که آنها نه تنها اطلاعات سرقت شده را فاش می کنند. بلکه آنها دسترسی به شبکه داخلی قربانی را نیز نشت داده و افشا میکنند.

 

ظاهرا این بدافزار نوعیThunderCrypt است

در حالی که لورنز رفتار تا حدودی متمایز از خود نشان می دهد، به نظر می رسد که این باج افزار اساساً نوع دیگری از باج افزار ThunderCrypt است.

در حال حاضر تاکنون با ادامه تجزیه و تحلیل این باج افزار، جزئیات زیاد و جدیدی در مورد لورنز در دسترس قرار نگرفته است. با این وجود در مدت زمان کوتاهی، سایت نشت و افشای اطلاعات متعلق به آنها نشان می دهد که باج افزار تا کنون حدود 12 قربانی مختلف را هدف قرار داده است. در این میان، آنها اطلاعات سرقت شده از 10 مورد را فاش و منتشر کرده اند!

بدافزار جدید Pingback و استفاده از ICMP Tunneling برای فرار از شناسایی C&C

takian.ir pingback malware

محققان روز سه شنبه یک بدافزار جدید را شناسایی کردند که با استفاده از ترفندهای مختلف، در حالی که به طور پنهانی قادر به اجرای دستورات دلخواه بر روی سیستم های آلوده است، از شناسایی در امان مانده و فرار می کند.

بر اساس تحلیلی که امروز توسط تراست ویو منتشر شده است، بدافزار ویندوزی با نام "Pingback" از تونل پروتکل پیام کنترل اینترنت یا ICMP برای ارتباطات مخفی بات استفاده می کند و به مهاجم اجازه می دهد تا از پکت های ICMP برای کد کردن حمله پیگی بک استفاده کند.

به گزارش هکر نیوز، بدافزار Pingback (oci.dll) با بارگیری از طریق یک سرویس قانونی موسوم به MSDTC (Microsoft Distributed Transaction Coordinator)، (مولفه ای که مسئولیت رسیدگی به عملیات پایگاه داده را در چندین ماشین توزیع می کند) با استفاده از روشی به نام سرقت دستورات جستجوی DLL که شامل استفاده از یک برنامه اصلی برای بارگیری مجدد یک فایل DLL مخرب است، به این مهم دست می یابد.

محققان از این بدافزار به عنوان یکی از افزونه هایی که نیازمند بهره گیری و پشتیبانی از اینترفیس Oracle ODBC در MSDTC به عنوان فاکتور اساسی برای حملات است، نام برده اند. در حالی که MSDTC به شکلی پیکربندی نشده است که هنگام راه اندازی سیستم  به صورت خودکار اجرا شود، در یک نمونه ثبت شده در VirusTotal در ماه جولای سال 2020، این نمونه کشف شده برای نصب فایل DLL در دایرکتوری سیستم ویندوز و راه اندازی سرویس MSDTC برای دستیابی به پایداری بوده است که به طبع این احتمال را به وجود آورده است که یک دستور اجرایی جداگانه برای نصب این بدافزار بسیار ضروری و مهم می باشد.

takian.ir icmp data

 

پس از اجرای موفقیت آمیز،Pingback  متوسل به استفاده از پروتکل ICMP برای ارتباطات اصلی خود می شود. ICMP یک پروتکل لایه ای شبکه است که عمدتا برای ارسال پیام های خطا و اطلاعات عملیاتی، مانند هشدار ناموفق بودن هنگام در دسترس نبودن میزبان دیگر استفاده می شود.

به طور ویژه، Pingback از یک درخواست Echo (پیام ICMP نوع 8)، با شماره دنباله پیام 1234، 1235 و 1236 که نوع اطلاعات موجود در بسته را نشان می دهد، استفاده می کند (1234 یک فرمان یا داده است و 1235 و 1236 به عنوان تأییدیه برای دریافت داده ها در نقطه مقابل هستند). برخی از دستورات پشتیبانی شده توسط بدافزار شامل قابلیت اجرای دستورات دلخواه shell، بارگیری و بارگذاری فایل ها از و به هاست مهاجم و اجرای دستورات مخرب بر روی دستگاه آلوده است.

تحقیقات در مورد مسیر نفوذ اولیه بدافزار در حال انجام است.

محققان اعلام کرده اند: "ICMP Tunneling چیز جدیدی نیست، اما این نمونه خاص موجب برانگیختگی علاقه ما به عنوان نمونه واقعی بدافزاری که با استفاده از این روش از شناسایی شدن جلوگیری میکند، شده است. ICMP برای تشخیص و عملکرد اتصالات IP مفید است، اما از طرفی دیگر می تواند توسط سوءاستفاده کنندگان برای اسکن و الگو برداری و مپینگ شبکه هدف بهره برداری شود. اگرچه ما پیشنهاد نمی کنیم ICMP غیرفعال شود، اما پیشنهادمان این است که حتما نظارت لازم برای کمک به شناسایی چنین ارتباطات پنهانی از طریق ICMP را به کار بگیرید".

بهره برداری هکرها از آسیب پذیری SonicWall برای حملات باج افزاری FiveHands

takian.ir fivehands ransomware

یک گروه مهاجم با انگیزه مالی، با بهره برداری از آسیب پذیری روز-صفر در دستگاه های VPN SonicWall، پیش از آنکه توسط این شرکت رفع مشکل شود، نسبت به اجرای باج افزاری جدیدی با نام FIVEHANDS اقدام نمودند.

به گزارش هکرنیوز، این گروه که توسط شرکت امنیت سایبری ماندیانت از آن با عنوان UNC2447 یاد شده است، از نقص "خنثی سازی فرمان SQL نامناسب" در محصول SSL-VPN SMA100 (CVE-2021-20016 ، CVSS score 9.8) استفاده کردند که به مهاجم ناشناس اجازه می دهد تا از راه دور نسبت به اجرای کد اقدام کند.

محققان ماندیانت گفته اند: "UNC2447 ابتدا با استفاده از باج افزار FIVEHANDS از طریق تهدید به انتشار عمومی اطلاعات در رسانه ها و ارائه داده های قربانیان برای فروش در فروم های هکرها، به شدت تحت فشار گذاشته و با اخاذی از قربانیان، کسب درآمد میکند. مشاهده شده است كه UNC2447 سازمانهایی را در اروپا و آمریكای شمالی هدف قرار داده و به طور مداوم از قابلیتهای پیشرفته برای جلوگیری از شناسایی و به حداقل رساندن شواهد حضور خود برای بررسی های بعد از عملیات نفوذ، استفاده می كند".

CVE-2021-20016 همان آسیب پذیری روز-صفر است که به گفته شرکت مستقر در سن خوزه، عوامل تهدید پیچیده، اوایل سال جاری برای انجام "حمله هماهنگ به سیستم های داخلی آن"، از این آسیب پذیری بهره برداری کردند. در 22 ماه ژانویه، خبرگزاری هکرنیوز به طور انحصاری فاش کرد که SonicWall با بهره برداری از آسیب پذیری های احتمالی روز-صفر در دستگاه های سری SMA 100 مورد نفوذ قرار گرفته است.

سوءاستفاده موفقیت آمیز از این نقص به مهاجم امکان دسترسی به اطلاعات ورود به سیستم و همچنین اطلاعات session را می دهد که می تواند از آنها برای ورود به یک دستگاه آسیب پذیر و پچ نشده سری SMA 100 استفاده کند.

طبق گفته های شرکت زیرمجموعه FireEye، گفته می شود که این نفوذها در ژانویه و فوریه 2021 اتفاق افتاده است و عامل تهدید از بدافزاری به نام SombRAT برای ماندگاری باج افزار FIVEHANDS استفاده کرده است. شایان ذکر است که SombRAT در نوامبر سال 2020 توسط محققان بلکبری و همراه با کارزاری به نام CostaRicto که توسط یک گروه هکر مزدور انجام میپذیرفت، کشف شد.

حملات UNC2447 حاوی آلودگی های باج افزاری است که برای اولین بار در ماه اکتبر سال 2020 در حملات صورت گرفته، مشاهده شده است. در این حملات، قبل از اینکه باج افزار را در ژانویه سال 2021 با FIVEHANDS جایگزین کند، ابتدا اهداف را با باج افزار HelloKitty تحت تاثیر قرار میدهد. اتفاقاً هر دو نوع باج افزار که در C++ نوشته شده اند، نسخه بازنویسی شده باج افزار دیگری به نام DeathRansom هستند.

محققان گفته اند: "بر اساس مشاهدات فنی و زمانی گسترش HelloKitty و FIVEHANDS، HelloKitty ممکن است توسط یک برنامه به طور کلی مرتبط و وابسته، از ماه مه 2020 تا ماه دسامبر 2020 و FIVEHANDS از حدود ژانویه 2021 مورد استفاده قرار گرفته باشد".

takian.ir fivehands hellokitty deathransom comparison

 

FIVEHANDS بر خلاف DeathRansom و HelloKitty، با استفاده از dropper مختص حافظه و دیگر ویژگی های اضافی که به آن اجازه می دهد شرایط دستورات را بپذیرد و با استفاده از Windows Restart Manager برای بستن فایل هایی که به تازگی استفاده شده اند نسبت به رمزگذاری آنها اقدام نماید، عمل میکند.

کمتر از دو هفته پس از اعلام فایرآی، سه آسیب پذیری ناشناخته قبلی در نرم افزار امنیتی ایمیل SonicWall، به طور فعال برای استقرار web shell برای دسترسی backdoor به دستگاه های قربانی مورد سوءاستفاده قرار گرفته اند. FireEye این فعالیت مخرب را با عنوان UNC2682 شناسایی و ردیابی می کند.

 

پرده برداری از تاکتیک استفاده شده توسط هکرهای اطلاعاتی روسی بوسیله CISA و FBI

 takian.ir russian hackers

آژانس امنیت سایبری و زیرساخت های امنیتی ایالات متحده (CISA) ، وزارت امنیت داخلی (DHS) و دفتر تحقیقات فدرال (FBI) روز دوشنبه یک گزارش مشترک جدید را به عنوان بخشی از آخرین اقدامات خود برای افشای تاکتیک ها، تکنیک ها و روش هایی (TTP) که توسط سرویس اطلاعات برون مرزی روسیه (SVR) در حملات خود علیه ایالات متحده و نهادهای خارجی از آنها بهره برده شده است، منتشر کردند.

آژانس های اطلاعاتی اعلام کردند با بکارگیری "نفوذ پنهانی تجاری در داخل شبکه های در معرض خطر، فعالیت سرویس اطلاعات برون مرزی روسیه (که شامل زنجیره تأمین مخاطرات اخیر برای SolarWinds Orion میشود) در درجه اول شبکه های دولتی ، اتاق فکر و سازمان های تجزیه و تحلیل سیاسی و شرکت های فناوری اطلاعات را هدف قرار می دهد و تلاش می کند تا اطلاعات امنیتی را جمع آوری کند".

عاملین سایبری همچنین تحت مانیکرهای مختلف از جمله Advanced Persistent Threat 29 (APT29) ،Dukes ، CozyBear و Yttrium ردیابی می شود. این پیشرفت در حالی صورت می گیرد که ایالات متحده، روسیه را تحریم کرده و هک SolarWinds و کمپین جاسوسی اینترنتی مرتبط را به طور رسمی به عوامل دولتی که برای سرویس اطلاعات برون مرزی روسیه کار می کنند مرتبط و متصل دانسته است.

APT29، از زمان آغاز تهدیدات در سال 2013، با تعدادی از حملات هماهنگ شده با هدف دستیابی به شبکه های قربانیان، جابجایی بدون امکان شناسایی در محیط های کاربری فرد قربانی و استخراج اطلاعات حساس پیوند خورده است. اما در یک تغییر محسوس در تاکتیک ها در سال 2018، این عامل از استقرار بدافزار در شبکه های هدف به سمت سرویس های ایمیل عظیم مبتنی بر فضای ابری، و این واقعیت از زمان حملات SolarWinds عیان شد که در آن عامل حملات، باینری های Orion را به عنوان یک بردار نفوذ برای سوءاستفاده از محیط های Microsoft Office 365، اهرم کرده است.

گفته می شود این شباهت در آلودگی های آینده تجارت ها، با سایر حملات مورد حمایت سرویس اطلاعات برون مرزی روسیه، از جمله در نحوه انتقال جانبی دشمن از طریق شبکه ها برای دسترسی به حساب های ایمیل، علی رغم اقدامی ویژه در روش استفاده شده برای به دست آوردن پایگاه اولیه، نقش بسزایی در نسبت دادن کمپین SolarWinds به سرویس اطلاعاتی روسیه داشته است.

آژانس خاطرنشان کرد: "در هدف قرار دادن منابع ابری احتمالاً بهره بردن از حساب های کاربری به خطر افتاده یا تنظیمات نادرست سیستم برای اختلاط با ترافیک عادی یا کنترل نشده در محیطی که سازمان های قربانی از آن به خوبی دفاع، نظارت یا مراقبت نمی کنند، احتمال شناسایی را کاهش می دهد".

از جمله برخی دیگر از تاکتیک های مورد استفاده توسط APT29 به پخش کردن رمز عبور (مشاهده شده در هنگام به خطر افتادن یک شبکه بزرگ بدون نام در سال 2018)، بهره برداری از نقص روز صفر در برابر دستگاه های شبکه خصوصی مجازی (مانند CVE-2019-19781) برای دستیابی به دسترسی شبکه و استقرار بدافزار Golang به نام WELLMESS برای سرقت مالکیت معنوی از چندین سازمان درگیر در ساخت واکسن COVID-19، میتوان اشاره نمود.

علاوه بر CVE-2019-19781، دیده شده است که عامل تهدید با استفاده از CVE-2018-13379 ، CVE-2019-9670 ، CVE-2019-11510 و CVE-2020-4006 پایگاه اولیه ای در دستگاه ها و شبکه های قربانی را بدست آورده است.

این گزارش مشترک می افزاید: "دفتر تحقیقات فدرال و وزارت امنیت داخلی به ارائه دهندگان خدمات توصیه می کنند سیستم های تأیید اعتبار و تأیید کاربر خود را برای جلوگیری از سوءاستفاده از خدمات خود تقویت و بروزرسانی کنند". از طرفی دیگر همچنین از مشاغل خواسته شده است شبکه های خود را در برابر احتمال به خطر افتادن با نرم افزارهای مورد اعتماد عموم، محافظت کنند.

تحویل بدون فایل بدافزار توسط هکرها بوسیله مایکروسافت Build Engine

 

عاملان حملات و تهدیدات سایبری از Microsoft Build Engine (MSBuild) برای به کارگیری تروجان های دسترسی از راه دور و بدافزارهای سرقت كننده رمز عبور سواستفاده میکنند تا در سیستم های ویندوزی هدف، آن بدافزارها و تروجان ها را بدون فایل ارائه داده و انتقال دهند.

به گزارش هکرنیوز، محققان شرکت امنیت سایبری آنومالی، روز پنجشنبه اعلام کردند که این کمپین به صورت فعال در حال انجام است و ماه گذشته اعلام وجود کرده است. آنها اضافه کردند که فایل های مخرب ساخته شده با دستور اجرایی رمزگذاری شده و شِل‌کدی که بَک‌دور را نصب می کند، به مهاجمان این امکان را می دهد تا کنترل دستگاه های قربانیان را بدست گرفته و اطلاعات حساس را سرقت کنند.

مایکروسافت Build، ابزاری متن باز برای .NET و ویژوال استودیو است که توسط مایکروسافت ساخته شده و امکان تدوین سورس کد، پکیجینگ، تست و استقرار برنامه ها را فراهم می کند.

در صورت استفاده از MSBuild برای به خطر انداختن دستگاه ها به شکل بدون فایل، ایده بر این مبنا استوار است که از هرگونه شناسایی در امان مانده و حتی آنرا خنثی کنید، زیرا چنین بدافزاری برای بارگذاری کد حمله در حافظه از یک برنامه قانونی و شناخته شده استفاده می کند، بنابراین هیچ اثری از آلودگی بر روی سیستم قربانی باقی نمی گذارد و به مهاجمان امکان حمله با سطح پیشرفته ای از پنهان کاری در سرقت را ارائه میدهد.

takian.ir msbuild malware delivers filelessly

نرم افزار Remcos (Remote Control and Surveillance Software)، پس از نصب، دسترسی کامل از راه دور برای مهاجم، شامل ویژگی هایی مانند ضبط کلیدها تا اجرای دستورات خودسرانه و ضبط میکروفون ها و وب کم، فراهم مینماید؛ در حالی که Quasar یک RAT متن باز مبتنی بر .NET است که توانایی هایی از جمله ورود به سیستم، سرقت رمز عبور، و غیره را دارد. Redline Stealer، همانطور که از نام آن بر‌می‌آید، یک نوع بدافزار است که علاوه بر سرقت رمزهای عبور و کیف پول های مرتبط با برنامه های ارزهای رمزپایه، از مرورگرها، V-P-N ها و مشترکان پیام رسان ها نیز اطلاعات کاربری را گردآوری و سرقت می کند.

محققان آنومالی، تارا گولد و گیج میل افزودند: "عوامل تهدید کننده این کمپین از ارسال و تحویل بدون فایل به عنوان راهی برای دور زدن اقدامات امنیتی استفاده کردند و این روش توسط عاملان برای اهداف مختلف و با انگیزه های متفاوتی استفاده می شود. این کمپین این نکته را عیان می کند که اتکا به نرم افزار آنتی ویروس به تنهایی برای دفاع سایبری کافی نیست و استفاده از کدهای مجاز برای پنهان کردن بدافزارها از فناوری های آنتی ویروس موثر واقع شده است و این مسئله به طور تصاعدی در حال رشد و افزایش است".

جدیدترین سوءاستفاده هکرها از امکانات ویندوز جهت دور زدن فایروال

 

مهاجمان با بهره‌وری از یک تکنیک جدید، روشهایی را برای استفاده از Microsoft Background Intelligent Transfer Service (BITS) به منظور جایگذاری پنهانی داده های مخرب بر روی دستگاه های دارای سیستم عامل ویندوز را کشف کرده اند.

به گزارش سایت هکرنیوز، در سال ۲۰۲۰، بیمارستانها، سازمان های بازنشستگی و مراکز درمانی زیادی، متحمل آسیب و ضررهای بسیار شدیدی بابت یک کمپین فیشینگ همیشه متغیر که از روش Backdoor شخصی سازی شده مانند KEGTAP استفاده میکرده است، قرار گرفته اند، که در نهایت زمینه حملات باج افزار RYUK را فراهم میکرده است.

اما تحقیقات جدید شاخه امنیت سایبری شرکت FireEye اکنون مکانیسم پایداری ناشناخته ای را شناسایی کرده است که نشان می دهد مهاجمان از BITS برای راه اندازی Backdoor استفاده کرده اند.

فناوری BITS در ویندوز XP معرفی شد، که یکی از سرویس های مایکروسافت ویندوز است که از پهنای باند خالی شبکه برای تسهیل در انتقال ناهمگام فایل ها بین دستگاه ها استفاده می کند. این امر با ایجاد یک عملگر (فضایی که شامل فایل های بارگیری یا بارگذاری است) حاصل می شود.

فناوری BITS معمولاً برای ارائه به روزرسانی های سیستم عامل به کاربران و همچنین توسط اسکنر آنتی ویروس Windows Defender برای دریافت به روزرسانی های شناسایی علائم بدافزار استفاده می شود. علاوه بر محصولات خود مایکروسافت، این سرویس توسط برنامه های دیگری مانند موزیلا فایرفاکس نیز استفاده می شود تا امکان دریافت اطلاعات در پس زمینه حتی در صورت بسته بودن مرورگر نیز فراهم گردد.

takian.ir using microsoft bits for phishing hacks

محققان FireEye گفتند: "وقتی برنامه های مخرب عملگر BITS را ایجاد می کنند، فایل ها در چارچوب روند خدمات سرویس کاربر میزبان، روند دریافت یا بارگذاری را انجام می دهند". آنها افزودند: "این امکان می تواند برای جلوگیری از فایروال هایی که ممکن است فرایندهای مخرب یا ناشناخته را مسدود کنند کاربردی باشد و همچنین کمک می کند که مشخص شود کدام برنامه درخواست انتقال اطلاعات را داده است".

بخصوص حوادث مخاطره آمیز قبل که شامل آلوده سازی از طریق Ryuk برای استفاده از سرویس BITS برای ایجاد یک عملگر جدید تحت عنوان "به روزرسانی سیستم" که برای راه اندازی یک فایل اجرایی با نام "mail.exe" برنامه ریزی و پیکربندی شده است، پس از تلاش برای بارگیری URL نامعتبر، باعث ایجاد Backdoor برای KEGTAP شده است.

محققان اظهار داشتند: "عملگر مخرب BITS جهت تلاش برای انتقال HTTP یک فایل موجود از localhost تنظیم شده است. و از آنجا که این فایل هرگز وجود نخواهد داشت، BITS حالت خطا را ایجاد کرده و دستور notify را اجرا می کند، که در این مورد، این دستور به معنی اجرای KEGTAP می باشد".

سازوکار جدید یادآور این نکته است که چگونه استفاده از یک ابزار مفید مانند BITS به نفع مهاجمان میتواند خطرساز باشد. همچنین برای کمک به پاسخگویی سریعتر به این دست حوادث و تحقیقات تیم امنیتی، محققان یک ابزار پایتون به نام BitsParser را در دسترس عموم قرار داده اند، که هدف آن تجزیه فایل های پایگاه داده BITS و استخراج عملگر و اطلاعات فایل ها جهت تجزیه و تحلیل بیشتر است.

جنگجویان سایبری شین بت چه کسانی هستند؟

 تیم رو به رشد جنگجویان سایبری شین بت (سازمان امنیت و اطلاعات داخلی اسرائیل) که یک سال پیش تعداد آن‌ها از تک‌رقمی به حدود یک‌چهارم برابر افزایش‌یافته است، در برابر افرادی مبارزه می‌کنند که شیوه‌های عملیاتی و قابلیت‌های اجرایی آن‌ها متنوع، سریع و انعطاف‌پذیر است.Takian.ir ShinBet

برگزارکنندگان کنفرانس سایبرتک 2018 در تل‌آویو مقاله‌ای از بازدیدهای بی‌سابقه بخش‌های داخلی قسمت سایبری شین بت و مصاحبه با اعضای آن منتشر کردند.

"D.،" رئیس یکی از شاخه‌های بخش، 37 ساله، متأهل و دارای چهار فرزند است. او با داشتن مدرک علوم رایانه‌ای از دانشگاه بار ایلان و خدمت در ارتش اسرائیل در برنامه ترکیبی نظامی/یشیوا، در یک شرکت بین‌المللی پیشرفته کار کرده و پس‌ازآن به شین بیت پیوسته است. وی در مصاحبه گفت که دلیل پیوستنش به شین بت این بود که هر حادثه‌ای در زندگی واقعی بشر دخالت دارد و ماهیت سریع واکنش و بازخورد بسیار قابل‌توجه است.

این مقام امنیتی افزود: «ما ابزار استراتژیکی نداریم که دو سال بی‌هدف باقی بگذاریم. آنچه در اینجا داریم فعالیتی است که ارزش و مزیت آن تقریباً همیشگی و فوری است. امروز ممکن است چیزی بنویسیم و فردا طبق آن با دشمن مقابله کنیم.»

"R.،" رئیس تیم حمله و توسعه، 34 ساله، متأهل و مادر یک دختر است. او قبل از شین بت در بخش اطلاعات نیروی هوایی کار می‌کرده و به ایجاد یک دوره آموزشی حرفه‌ای برای پرسنل ارتش اسرائیل مرتبط با سازمان کمک کرده است.

وی معتقد است: «در زمینه سایبری، مرد یا زن بودن ملاک نیست؛ اگر زنی با اطلاعات کافی و اعتمادبه‌نفس به نکات مهمی اشاره کند، همه تبعیض‌ها را از میان برمی‌دارد.»

در این مقاله به حادثه‌ای اشاره شد که در آن "Y.،" رهبری تیم توسعه راه‌حل‌های طبقه‌بندی‌شده برای خنثی‌سازی حملات تروریستی را بر عهده داشت. وی به‌عنوان عضوی از تیم چندرشته ای، باید در مورد اطلاعات موردنیاز و مکان عملیاتی خوب مطالعه می‌کرد. او و تیمش با متخصصان عملیاتی برای استفاده از راه‌حل‌های فنّاورانه در جمع‌آوری اطلاعات اولیه و در زمان واقعی کارکردند. پس‌ازآن نیز برای استفاده مناسب از فناوری در شرایط دقیق محیطی کارهای بیشتری انجام شد. درنهایت با انتقال سیستم جدید به متخصصان عملیاتی، شین بت اعلام کرد که از وقوع یک حمله تروریستی دیگر جلوگیری می‌کند. در شین بت، سربازان 20 ساله‌ای مانند "A" هم دیده می‌شوند که علاوه بر توسعه استراتژی‌های بلندمدت برای دفاع از فضای سایبری اسرائیل، درحال‌توسعه فناوری‌هایی هستند که شاید برای جلوگیری از حملات تروریستی در عرض چند ساعت موردنیاز خواهد بود.

جنگجویان سایبری شین بت چه کسانی هستند؟

 تیم رو به رشد جنگجویان سایبری شین بت (سازمان امنیت و اطلاعات داخلی اسرائیل) که یک سال پیش تعداد آن‌ها از تک‌رقمی به حدود یک‌چهارم برابر افزایش‌یافته است، در برابر افرادی مبارزه می‌کنند که شیوه‌های عملیاتی و قابلیت‌های اجرایی آن‌ها متنوع، سریع و انعطاف‌پذیر است.Takian.ir ShinBet

برگزارکنندگان کنفرانس سایبرتک 2018 در تل‌آویو مقاله‌ای از بازدیدهای بی‌سابقه بخش‌های داخلی قسمت سایبری شین بت و مصاحبه با اعضای آن منتشر کردند.

"D.،" رئیس یکی از شاخه‌های بخش، 37 ساله، متأهل و دارای چهار فرزند است. او با داشتن مدرک علوم رایانه‌ای از دانشگاه بار ایلان و خدمت در ارتش اسرائیل در برنامه ترکیبی نظامی/یشیوا، در یک شرکت بین‌المللی پیشرفته کار کرده و پس‌ازآن به شین بیت پیوسته است. وی در مصاحبه گفت که دلیل پیوستنش به شین بت این بود که هر حادثه‌ای در زندگی واقعی بشر دخالت دارد و ماهیت سریع واکنش و بازخورد بسیار قابل‌توجه است.

این مقام امنیتی افزود: «ما ابزار استراتژیکی نداریم که دو سال بی‌هدف باقی بگذاریم. آنچه در اینجا داریم فعالیتی است که ارزش و مزیت آن تقریباً همیشگی و فوری است. امروز ممکن است چیزی بنویسیم و فردا طبق آن با دشمن مقابله کنیم.»

"R.،" رئیس تیم حمله و توسعه، 34 ساله، متأهل و مادر یک دختر است. او قبل از شین بت در بخش اطلاعات نیروی هوایی کار می‌کرده و به ایجاد یک دوره آموزشی حرفه‌ای برای پرسنل ارتش اسرائیل مرتبط با سازمان کمک کرده است.

وی معتقد است: «در زمینه سایبری، مرد یا زن بودن ملاک نیست؛ اگر زنی با اطلاعات کافی و اعتمادبه‌نفس به نکات مهمی اشاره کند، همه تبعیض‌ها را از میان برمی‌دارد.»

در این مقاله به حادثه‌ای اشاره شد که در آن "Y.،" رهبری تیم توسعه راه‌حل‌های طبقه‌بندی‌شده برای خنثی‌سازی حملات تروریستی را بر عهده داشت. وی به‌عنوان عضوی از تیم چندرشته ای، باید در مورد اطلاعات موردنیاز و مکان عملیاتی خوب مطالعه می‌کرد. او و تیمش با متخصصان عملیاتی برای استفاده از راه‌حل‌های فنّاورانه در جمع‌آوری اطلاعات اولیه و در زمان واقعی کارکردند. پس‌ازآن نیز برای استفاده مناسب از فناوری در شرایط دقیق محیطی کارهای بیشتری انجام شد. درنهایت با انتقال سیستم جدید به متخصصان عملیاتی، شین بت اعلام کرد که از وقوع یک حمله تروریستی دیگر جلوگیری می‌کند. در شین بت، سربازان 20 ساله‌ای مانند "A" هم دیده می‌شوند که علاوه بر توسعه استراتژی‌های بلندمدت برای دفاع از فضای سایبری اسرائیل، درحال‌توسعه فناوری‌هایی هستند که شاید برای جلوگیری از حملات تروریستی در عرض چند ساعت موردنیاز خواهد بود.

چکار کنیم که شرکت یا سازمان ما طعمه ای برای حملات سایبری نشود؟

 

شرکت های کوچک و متوسط ​​یا به اصطلاح SME، ستون فقرات اقتصاد اکثر کشورها هستند. براساس آمار سازمان تجارت جهانی، در اقتصادهای توسعه یافته، شرکت های کوچک و متوسط بیش از 90% از جمعیت تجاری، 60 تا 70% از اشتغال و 55% از تولید ناخالص داخلی را به خود اختصاص می دهند. در حال حاضر این سازمان ها زیر ابری تاریک و مملو از تهدید قرار دارند، زیرا به طور فزاینده ای هدف حملات پیچیده سایبری قرار می گیرند. چه چیزی تغییر کرده است؟ و چگونه شرکت های کوچک و متوسط باید با این تهدید جدید سازگار شوند؟

 

یک تغییر ناگهانی برایSME ها، تهدیدهای جدید برای حمله سایبری

به گزارش اینفو سکیوریتی مگزین، در طول دوران، مجرمان مجازی حرفه ای به دنبال نام های بزرگ بودند: شرکت های بزرگ با موفقیت هدف قرار گرفتند و منجر به "نفوذهای کلان" شدند. در مورد باج افزارها، فیشینگ ها و انواع دیگر تهدیدها، تا همین اواخر، شرکت های کوچک و متوسط معمولاً از گزند مجرمان سایبری در امان بودند. یک گزارش نگران کننده که به تازگی چاپ شده است، نشان داده است که 43% از کل حملات سایبری، شرکت های کوچک و متوسط را هدف قرار می دهند. علاوه بر این، طبق گزارش سازمان امنیت سایبری پونمون در SMBs Report منتشر شده است، دو سوم شرکت های کوچک و متوسط در سال گذشته حداقل یک حمله سایبری را تجربه کرده اند و 63% آنها قربانی نشت داده ها در این بازه زمانی شده اند.

تهدید بزرگ دیگر برای شرکت های کوچک و متوسط، باج افزار است. نه تنها یک بار هزینه مالی، تهدیدکننده این شرکت ها است (برای نهادهای با کمتر از 500 کارمند، متوسط ​​هزینه حمله باج افزار 2.5 میلیون دلار است)، بلکه هزینه های مربوط به زمان از دسترس خارج شدن مجموعه و از دست دادن بهره وری به دلیل زمانبر بودن بهبودی بعد از حمله که در پی آن حملات حاصل میشود نیز برای سازمان ها مخرب است. تحقیقات نشان می دهد شرکت های کوچک و متوسط همچنان هدف اصلی حملات باج افزار هستند.

سوال اساسی این است که چرا این تغییر حاصل شده است؟ با توجه به اینکه شرکت های کوچک و متوسط هدف آسان تری هستند، چرا این مدت طول کشید تا مجرمان سایبری با این شدت آنها را هدف قرار دهند؟ پاسخ این سوالات در فناوری بکار رفته توسط مهاجمان نهفته است.

 

اتوماسیون: فقط برای کاربری مثبت نیست!

اتوماسیون باعث شده است که مشاغل بتوانند کارهای نیازمند به کاربر را کاهش دهند و فرآیندها را کارآمدتر، سریعتر و با هزینه کمتری انجام دهند. طولی نکشید که دقیقاً به همان دلایل مجرمان سایبری شروع به استفاده از اتوماسیون در حملات کردند.

چرا اتوماسیون تبدیل به چنین مشکل بزرگی شده است؟ راه حل های سنتی امنیت سایبری (به ویژه راه حل های امنیتی ایمیل) ابتدا باید با تهدید روبرو شوند، سپس آن را تجزیه و تحلیل کنند، سپس اعتبار آن را تأیید کنند، سپس آن را طبقه بندی کنند، و فقط در این صورت است که دفعه دیگر که چنین تهدیدی را مشاهده می کنند، می توانند آن را تشخیص دهند و آن را حل کنند. اکنون می توان حملات را به صورت خودکار انجام داد تا به طور مداوم پیشرفت کنند، به این معنی که راه حل های امنیتی حمله مشابهی را دو بار مشاهده نمی کنند. بنابراین چنین حملاتی راه حل های امنیتی که اکنون درگیر مشکلات حل این معضلات هستند، دور میزنند.

علاوه بر این، اتوماسیون فرایندی را آغاز کرده است که بعداً ایجاد چنین حملاتی را ارزان تر میکند. در نتیجه پخش و توزیع این حملات نسبتاً پیچیده به طور گسترده آسان تر شده است. در گذشته این امکان وجود نداشت؛ حملات پیچیده باید بسیار هدفمند می بودند و نیاز به تحقیقات دقیق و تنظیمات دستی داشتند، بنابراین تولید آنها نیز مستلزم هزینه بیشتر بود.

با تشکر از اتوماسیون و هوش مصنوعی (که توسط مهاجمین برای کسب اطلاعات در مورد رفتار آنلاین اهداف و ایجاد کمپین های خودکار فیشینگ مورد استفاده قرار می گیرد)، حملات پیچیده اکنون با کمترین هزینه می توانند بسیار هدفمند و در مقیاس گسترده انجام شوند. قربانیان متمول کمتری را می توان هدف قرار داد و شرکت های کوچک و متوسط را کاملاً در معرض تیررس مجرمان سایبری قرار داده است.

هدف قرار دادن شرکت های کوچک و متوسط بازار بالقوه این حملات را بسیار بزرگتر و داغ تر می کند، بنابراین تعجب آور نیست که مهاجمان به سمت هدف قرار دادن شرکت های کوچک و متوسط سوق پیدا کرده اند.

 

آنچه باید شرکت های کوچک و متوسط در مورد حمله خودکار سایبری بی اندیشند

یک مطالعه اخیر در موسسه فورستر نشان داده است که 88% از متخصصان امنیتی انتظار دارند که حملات مبتنی بر هوش مصنوعی در آینده نزدیک تبدیل به جریان اصلی حملات بشوند.

حملات اتوماسیون شده، تکنیکی جدید با پتانسیل بسیار زیاد برای ایجاد چالش های جدید هستند و بنابراین باید به گونه ای دیگر با آنها برخورد شود. روش قدیمی انجام کارها دیگر مهم نیست و واضح است که یک رویکرد تازه و موثر بسیار ضروری به نظر میرسد.

حملات جدید و پیچیده ای که بر علیه شرکت های کوچک و متوسط انجام می شود به صورت روزانه یا حتی ساعتی تولید می شوند و تحقیقات نشان می دهد راه حل های امنیتی که صرفا بر مبنای شهرت زیاد از آنها استفاده میشوند، بسیاری از حملات را تشخیص نمیدهند. اکنون زمان مناسبی برای تغییر رویکرد برای حفظ امنیت نهادهای تجاری و شغلی است؛ نگرشی که فارغ از دانش حملات گذشته باشد و بتواند امکانات و امنیتی به روز و جدید به کاربران خود ارائه دهد.

حمله به مک های اپل مبتنی بر M1 از طریق پروژه Xcode

 

یک کمپین بدافزار مک (Mac)، با هدف قرار دادن توسعه دهندگان Xcode جهت افزودن امکان پشتیبانی از تراشه های جدید M1 اپل و گسترش ویژگی های آن برای سرقت اطلاعات محرمانه از برنامه های رمزارزها، مجدداً مورد استفاده قرار گرفته است.

به نقل از هکر نیوز، XCSSET در آگوست سال 2020 و پس از اینکه از طریق پروژه های تغییر Xcode IDE، که در طی فرایند ساخت برای اجرای بارگیری اطلاعات تنظیم شده بودند، مورد توجه قرار گرفت. این بدافزار برای تقلید از برنامه های مجاز مَک، که بطور کامل مسئول آلوده کردن پروژه های محلی Xcode و تزریق اطلاعات اصلی برای اجرا در هنگام ایجاد پروژه در معرض خطر است، ماژول های اطلاعات را مجددا بارگیری می کند.

ماژول های XCSSET دارای قابلیت سرقت گواهی ها، گرفتن اسکرین شات، تزریق جاوا اسکریپت مخرب به وب سایت ها، سرقت داده های کاربر از برنامه های مختلف و حتی رمزگذاری فایل ها برای باجگیری است.

سپس در ماه مارس 2021، محققان کسپرسکی نمونه های XCSSET را كه برای تراشه های جدید Apple M1 جمع آوری شده بود، کشف كردند و این کشف حاكی از آن بود كه فعالیت این بدافزار نه تنها تاکنون ادامه داشته است، بلكه مهاجمان نیز به طور فعال اقدامات اجرایی خود را با آن تطبیق می داده اند و آنها را برای اجرا بر روی مک های جدید سیلیکون اپل، بومی سازی می كرده اند.

takian.ir apple mac hack with xcode

 

آخرین تحقیقات ترند میکرو نشان می دهد که XCSSET برای اعمال بک دور جاوا اسکریپت به وب سایت ها با استفاده از حملات Universal Cross-Site Scripting (UXSS) همچنان از نسخه در دست توسعه مرورگر سافاری سوءاستفاده می کند.

محققان ترند میکرو، در تحلیلی که روز جمعه منتشر شد، اعلام کردند: "این بدافزار، بسته های بروزرسانی سافاری را در سرور command-and-control میزبانی می کند، سپس بسته را بسته به نسخه سیستم عامل کاربر دانلود و نصب می کند. همچنین برای سازگاری با نسخه تازه منتشر شده Big Sur ، بسته های جدیدی برای سافاری 14، اضافه شده است".

این بدافزار علاوه بر تروجان سازی سافاری به منظور نفوذ به داده ها، با سوءاستفاده از حالت اشکال زدایی از راه دور در مرورگرهای دیگر مانند گوگل کروم، مرورگر بِرِیو، مایکروسافت اِج، موزیلا فایرفاکس، اوپرا، مرورگر کیهو 360 و مرورگر یاندکس برای انجام حملات UXSS شناخته می شود.

بعلاوه این بدافزار حتی سعی در سرقت اطلاعات حساب از چندین وب سایت از جمله سیستم عامل های معاملات ارزهای رمزنگاری هیوبی، بایننس، NNCall.net، اِنواتو و 163.com دارد که توانایی جایگزینی آدرس کیف پول رمزارز کاربر را با موارد تحت کنترل مهاجم دارد.

نحوه انتشار XCSSET از طریق پروژه های تحقیقاتی Xcode، تهدیدی جدی قلمداد می شود، زیرا توسعه دهندگانی که آلوده شده اند، ناخواسته کار خود را در GitHub به اشتراک می گذارند و می توانند بدافزار را در قالب پروژه های Xcode که در معرض خطر هستند، به کاربران خود منتقل کنند و به متعاقب آن منجر به سلسله حملاتی مانند حملات زنجیره تامین بشوند و کاربرانی را که به این دیتابیس ها در پروژه های خود وابستگی و اعتماد دارند، بشدت در معرض خطر و آلودگی قرار دهند.

حمله سایبری به زنجیره تامین غول مدیریت رمز عبور Passwordstate

 

یک حمله جدی دیگر در زنجیره تأمین به صورت آنلاین به وقوع پیوسته است که به طور بالقوه هزاران کاربر و مشتری را تحت تأثیر قرار داده است. این بار قربانی، غول مدیریت رمز عبور Passwordstate Click Studios است که خود این مجموعه، حمله سایبری را تأیید کرده است. ممکن است مهاجمان رمزهای ورود کاربران را از مدیریت رمز عبور هک شده نیز جمع آوری کرده باشند.

 takina.ir passwordstate password manager supply chain cyber attack main

 

حمله سایبری بهمدیریت رمز عبورPasswordstate

گفته می شود شرکت نرم افزاری استرالیایی کلیک استودیوز، که در پس سیستم مدیریت رمز عبور Passwordstate است، حمله سایبری به سیستم های خود را تایید کرده است.

به نقل از لیتست هکینگ نیوز، همانطور که در گزارش آنها شرح داده شده است، این شرکت دچار حمله در زنجیره تأمین شده است، چرا که مهاجمان از طریق یک بروزرسانی مخرب، موفق به تخریب و آسیب رسانی به ساختار مدیریت رمز عبور شدند. برای این منظور، مهاجمان عملکرد بروزرسانی در محل وب سایت اصلی آنها را به خطر انداخته اند.

اگرچه این حمله نسبتاً کوتاه مدت بود و به مدت 28 ساعت ادامه پیدا کرد ولی مهاجمان موفق به وارد کردن خسارت شدند.

کلیک استودیوز جزئیات مربوط به حمله را به اشتراک گذاشته است: "هرگونه ارتقا در محل که بین 20 آوریل در ساعت 8:33 بعد از ظهر به وقت آمریکا تا 22 آپریل ساعت 0:30 صبح به وقت آمریکا انجام شده باشد، امکان دارد که یک فایل بدافزار با نام Passwordstate_upgrade.zip را بارگیری کرده باشد. این فایل zip از یک شبکه بارگیری که توسط Click Studios کنترل نمی شود، بارگیری شده است".

این بروزرسانی مخرب طبق بررسی های انجام شده، بدافزار را در سیستم دریافت کننده های بروزرسانی رمز عبور، نصب میکند. این بدافزار که "Moserware" نامیده می شود، اطلاعات مربوط به سیستم هدف را سرقت کرده و برای مهاجمان ارسال میکند.

هنگامی که قابلیت  بروزرسانی در محل پردازش و آغاز می شود، Passwordstate_upgrade.zip مخرب، یک moserware.secretsplitter.dll طراحی شده با اندازه 65 کیلوبایت را بارگیری می کند. سپس این فایل اضافی، فایل upgrade_service_upgrade.zip را از شبکه CDN عاملین حمله بارگیری می کند، یک تهدید جدید را در پس برنامه ها آغاز می کند و upgrade_service_upgrade.zip را به یک ساختار .NET که فقط در مموری نگهداری میشود تبدیل کرده و شروع به پردازش می نماید.

 

رفع سریع و کاهش خطر

با کشف این حادثه، تامین کنندگان از ارائه این بروزرسانی ها در محل مخرب جلوگیری کردند. همچنین آنها از مشتریان و کاربران خواسته اند که وجود فایل 65 کیلوبایتی moserware.secretsplitter.dll را در دایرکتوری c:\inetpub\passwordstate\bin خود مورد بررسی قرار دهند.

در صورت یافتن این فایل، آنها باید "فهرست خروجی دایرکتوری c:\inetpub\passwordstate\bin را که حاوی فایلی به نام PasswordstateBin.txt است، برای کلیک استودیوز ارسال کنند تا برای دریافت دستورالعمل های اصلاح این مشکل، راهنمایی های لازم را دریافت نمایند.

در حالی کلیک استودیوز تأیید کرد که این حادثه برخی از مشتریان را تحت تأثیر قرار داده است، اما جزئیات تعداد این حمله بسیار کم است. با این حال ، با روشن شدن اوضاع، این تعداد ممکن است به طور بالقوه افزایش یابد.

در حال حاضر کلیک استودیوز دارای بیش از 29،000 مشتری از بخشهای مختلف، از جمله برخی از 500 شرکت معرفی شده توسط مجله معروف فورچون است.

راهکارهای امنیتی بیشتر، به معنی امنیت بیشتر نیست!

 

تحقیقات جدید نشان میدهد که در طی سال گذشته اجرا و اعمال چندین راهکار حفاظت و امنیت سایبری به طور همزمان مانع از دست دادن داده ها و اطلاعات، بخصوص در بسیاری از سازمان های بزرگ نشده است.

این یافته بخشی از دومین نظرسنجی سالانه هفته محافظت سایبری است که توسط شرکت فناوری جهانی آکرونیس انجام شده است. محققان از 4،400 کاربر فناوری و امنیت اطلاعات و متخصص در 22 کشور در شش قاره جهان در مورد راهکارهای امنیت سایبری خود سوال کردند.

نتایج نشان داده است در حالی که 80% شرکتها اکنون 10 راهکار مختلف را برای محافظت از داده ها و سیستم های رایانه ای خود اجرا می کنند؛ بیش از نیمی از این سازمانها در سال 2020 بعد از دست دادن داده ها، از کار افتاده و از دسترس خارج شده اند.

سخنگوی آکرونیس گفت: "نه تنها سرمایه گذاری در راهکارهای امنیتی بیشتر باعث حفاظت بیشتر نمی شود، بلکه در بسیاری از موارد تلاش برای مدیریت حفاظت از طریق چندین راهکار و نرم افزار، پیچیدگی بیشتر و دید کمتری را برای تیم فناوری اطلاعات ایجاد می کند، که امکان بروز خطر را افزایش می دهد".

محققان معتقدند زمانی که صحبت از آگاهی متخصصین حوزه فناوری اطلاعات و کاربران از توانایی ارگان های آنها در بحث امنیت سایبری میشود، اختلاف فاحشی بین این دو دسته وجود دارد.

این بررسی نشان داده است که 68% از کاربران فناوری اطلاعات و 20% از متخصصان فناوری اطلاعات قادر به تشخیص این موضوع نیستند که اطلاعات آنها بدون اطلاع آنها تغییر یافته است، زیرا راهکارهای امنیت سایبری آنها تشخیص این نوع تغییرات را دشوار می کند.

تقریباً نیمی از کاربران حوزه فناوری اطلاعات (43%) در ناآگاهی به سر می بردند که از این نکته اطلاع ندارد که آیا نرم افزارهای محافظت در مقابل بدافزار آنها تهدیدات zero-day را متوقف می کند یا خیر؛ زیرا راهکارهای امنیتی آنها چنین اطلاعاتی را به راحتی در دسترس کاربر نمی گذارد.

یک دهم متخصصان فناوری اطلاعات اعتراف کردند که نمی دانند سازمان آنها تحت مقررات حریم خصوصی داده ها قرار دارد یا خیر و به طور بالقوه ای، شرکت و سازمان خود را در معرض جریمه های سنگین به دلیل عدم انطباق قرار می دهند.

محققان رویکردی فردی در زمینه امنیت سایبری را آشکار کردند که از آن با عنوان "به شکل سرسام آوری سست" توصیف کردند.

در حالی که 83% از کاربران حوزه فناوری اطلاعات گفتند که در سال 2020 وقت بیشتری را در دستگاه های خود صرف کرده اند و فقط نیمی از آنها اقداماتی اضافی برای محافظت از این دستگاه ها انجام داده اند. یک سوم (33%) آنها اعتراف کرده اند که پس از اطلاع از انتشار بروزرسانی ها، حداقل یک هفته منتظر مانده اند تا دستگاه های خود را با آن بروزرسانی جدید، به روز نمایند.

یافته های این نظرسنجی نشان می دهد که کاربران حوزه فناوری اطلاعات نمی دانند چگونه از داده های خود به درستی پشتیبان گیری کنند، زیرا 90% گزارش کرده اند که نسخه پشتیبان تهیه می کنند؛ در حالی که 73% آنها گفتند که حداقل یک بار داده های خود را از دست داده اند.

ساختار جهانی و چشم انداز دفاع سایبری

به گزارش سایت تهران تایمز؛ دفاع سایبری و راهبردهای مربوط به آن، موضوعات متعددی را در برمی‌گیرد. توجیه نظام‌های پیچیده‌ای که برای فراهم آوردن دفاع غیرقابل نفوذ و جلوگیری از آسیب‌های ناشی از حملات سایبری اجرا می‌شود، از مهم‌ترین این موضوعات محسوب می‌شود. تعیین خطرات جرائم سایبری (اقدامات مستمر خصمانه که سامانه‌های اطلاعاتی در سرتاسر جهان را تحت‌الشعاع قرار می‌دهد) به‌سادگی امکان‌پذیر نیست.Takian.ir Cyber Defence

بر اساس شواهد موجود، از سال 2007 حملات سایبری متعددی رخ داده است (از جمله نفوذ جاسوس‌افزار) که در همه آنها ردپای مجرمان سایبری دیده می‌شود؛ مجرمانی که به‌احتمال‌زیاد، نیت خرابکاری در ذهن دارند. سامانه‌های اطلاعاتی و ارتباطی در فعالیت‌های روزمره، عملیات‌های فیزیکی و مادی انجام می‌دهند اما آنچه باعث آسیب‌پذیری آنها در فضای سایبری می‌شود این است که اطلاعات شخصی و محرمانه را در خود جای داده‌اند و این اطلاعات بین عوامل مختلف که در فواصل دور از هم قرار دارند، مبادله می‌شود.

با توجه به طیف گسترده فعالیت‌های خرابکارانه در فضای مجازی، نقش کلی دفاع سایبری باید به درستی مشخص شود. اول و مهم‌تر از همه، این دفاع باید قابلیت‌های دفاعی و تهاجمی را در خود بگنجاند.

برقراری «دفاع قابل قبول و معتبر» در فضای سایبر، مسئله پیچیده‌ای است و شناسایی ریشه و اهداف حمله، این پیچیدگی را تشدید می‌کند. ویروس «کانفیکر» مثال خوبی در این زمینه است. این کرم رایانه‌ای، میلیون‌ها رایانه را در سال‌های 2008 و 2009 آلوده کرد و تا امروز، نویسنده آن شناسایی نشده است.

گاهی اوقات عوامل و نقش‌آفرینان، «دفاع آبرومندانه» ای از خود به نمایش می‌گذارند تا قابلیت‌های دفاع سایبری خود را به رخ بکشند. درهرحال، ساختار فعلی اینترنت و سامانه‌های اطلاعاتی اجازه عرض‌اندام هرگونه قابلیت دفاعی را در ابعاد واقعی نمی‌دهد. حمله علیه یک سامانه اطلاعاتی خاص مانند سامانه برق به شما این امکان را می‌دهد که برای نشان دادن تأثیر قابلیت‌های تهاجمی و دفاعی مهاجمان سایبری، دلایل قانع‌کننده‌ای رو کنید. این حملات ممکن است آثار نامطلوبی در پی داشته باشد و باید به کاربران هشدارهای لازم را داد. اثر قدرت‌نمایی در شبکه بسته با قدرت‌نمایی در شبکه‌های دیگر متفاوت است.

برای مثال، تجزیه‌وتحلیل اجزای مرموز کرم استاکس‌نت، فنون به کار رفته در طراحی این ویروس را برملا ساخته و احتمال توسعه ویروس‌های مشابه توسط سایر نویسندگان بالقوه را افزایش می‌دهد. درهرحال، این تجزیه‌وتحلیل هم نمی‌تواند هویت سازنده ویروس را برای ما مشخص کند. افرادی بوده‌اند که با نام این ویروس برای خود اعتبار کسب کرده‌اند. گبی اشکنازی، رئیس ستاد کل نیروهای دفاعی رژیم صهیونیستی را از سال 2007 تا 2011 بر عهده داشت، هنگام بازنشستگی، خود را پدر کرم اینترنتی استاکس‌نت معرفی کرد.

استاکس‌نت پرسش‌های زیادی با خود به همراه داشت. از جمله این که چرا برای مخفی سازی باقیمانده کار، از فنون مشابهی استفاده نشده است. کرم استاکس‌نت، بعد از اتمام حمله، خود را نابود می‌کند تا امکان کسب اطلاعات از محتوای آن از بین برود. طراح این ویروس، با حذف ردپای خود امکان تجزیه‌وتحلیل قابلیت تهاجمی آن را از میان می‌برد.

شاید کرم استاکس‌نت رویکردی دوگانه داشته باشد: قدرت‌نمایی به بهای انتشار فن (که ممکن است حاکی از این باشد که طراح آن از قابلیت‌های بیشتر دیگری هم برخوردار است) و ارائه شواهدی از توان دفاعی حریف.

موضوع دیگر در «دفاع معتبر»، قابلیت اعتماد بیانیه‌ها و ادعاها است: باید شفافیت اطلاعات به گونه‌ای محقق شود که جریان داده سرعت بگیرد و ادعای غلطی شکل نگیرد.

برای مثال، شرکت امریکایی HGB (شرکت توسعه نرم‌افزارهای امنیت فدرال) در سال 2010 ادعا کرد که نوعی فناوری را توسعه داده است که قادر است هکرها را با تجزیه‌وتحلیل داده‌های انتقال یافته از طریق شبکه‌های اجتماعی شناسایی کند. اوایل سال جاری، این شرکت ادعا کرد که به گروه انانیموس نفوذ کرده است، به برخی از اعضای آن دسترسی پیدا کرده است و حاضر است هویت اعضای این گروه را به قیمت مناسب در اختیار اف‌بی‌آی قرار دهد.

گروه انانیموس نیز به وبگاه‌های این شرکت حمله کرد، دهها هزار ایمیل محرمانه آن را در اینترنت منتشر کرد و اهداف آن علیه ویکی‌لیکس را نیز افشا کرد. به‌علاوه، انانیموس اعلام کرد که افرادی که از سوی HGB به عنوان اعضای گروه انانیموس معرفی شده‌اند، درواقع اعضای این گروه نبوده‌اند. این گروه، روش‌های به کار گرفته شده توسط HGB را زیر سؤال برد و آنها را به لحاظ فنی ناشدنی دانست. در پی این افشاگری، مشتریان HB رفته‌رفته از شرکت روگردان شدند و دولت امریکا تحقیق درباره معاملات انجام شده بین سرویس‌های دفاعی خود و این شرکت را شروع کرده است.

بین ناتو و گروه انانیموس نیز موقعیت مشابهی ایجاد شده بود. در بهار 2011، ناتو در گزارشی به بررسی چالش‌های مرتبط با پیشرفت‌های اخیر در فعالیت‌های جرائم سایبری، به‌ویژه فعالیت‌های ویکی‌لیکس و گروه انانیموس پرداخت. ناتو در این گزارش ادعا کرده بود که اعضای گروه یادشده شناسایی شده و مورد تعقیب قانونی قرار خواهند گرفت. گروه انانیموس در واکنش به این اقدام ناتو، حملات خود به وبگاه‌های رسمی را شروع کرد و به‌طور خاص، اف‌بی‌آی را هدف گرفت. این گروه در جولای 2011 اعلام کرد که به وبگاه‌های ناتو حمله کرده و چند گیگابایت سند به دست آورده است.

باید خاطرنشان کرد که این اقدام (پیگرد عوامل غیردولتی) هرچند که در حوزه دفاعی نباشد، بدون شک می‌تواند در بافت درگیری درازمدت بین دولت‌ها و گروهی غیرقانونی، صورت گیرد. درواقع، این نوع عکس‌العمل (و روش‌های به کار رفته) یادآور مقابله با سازمان‌های ملی یا چندملیتی جنایی است.

کمبود سند درباره درگیری دولت‌ها در فضای سایبر به این معنا نیست که این درگیری وجود ندارد. بلکه، نشان می‌دهد که دشمنی‌ها بین دولت‌ها به دلایل خاصی (از قبیل اصرار بر مخفی نگاه داشتن توانمندی‌ها، تلاش برای اجتناب از برخورد فیزیکی یا اقتصادی و غیره) کمابیش دشمنی پنهانی است. به‌علاوه، اکثر فعالیت‌ها در فضای سایبر با کمک سرویس‌های جاسوسی انجام می‌شود و این گروه‌ها جایگاه برجسته‌ای در اقدامات دفاعی دارند. در چشم‌انداز گسترش و توسعه دفاع سایبری، این امر را باید در نظر گرفت. دولت‌ها برای سازمان‌دهی توسعه قابلیت‌های دفاعی و تهاجمی دو گزینه در اختیار دارند.

فرانسه تصمیم گرفته است که دو قابلیت دفاعی و تهاجمی را از هم تفکیک کند. این مسئله به تأیید شورای امنیت ملی این کشور رسیده است. فرانسه وزارت دفاع را به عنوان «سازمان امنیت ملی سامانه‌های اطلاعاتی» و بخش تهاجمی وزارت دفاع و اداره کل امنیت تعیین کرده است.

راهبردی برای ترکیب کردن دو قابلیت دفاعی و تهاجمی در دست تنظیم است و هر دوی این قابلیت‌ها به یک سازمان واحد (سازمان امنیت ملی) سپرده شده است.

سرانجام، باید تأکید کرد که به‌کارگیری روابط چندجانبه صنعتی در حوزه اطلاعات، برقراری همکاری بین‌المللی و توسعه تدابیر اثربخش مقابله با جرائم سایبری، به‌منظور کارآمدتر کردن قابلیت‌های حمله و دفاع ضروری است.

سازمان ها برای ارتقای امنیت اطلاعات خود در سال 2021 چه میکنند؟

 

سال 2020 سالی بود که بخش خصوصی به معنای واقعی متوجه شد که انجام تجارت آنلاین چقدر خطرناک است؛ با یک لیست بلند از باج افزارهای معروف و حوادث هکری که همه را به حیرت واداشته و بسیار مورد توجه قرار گرفته است. در اینجا لیست اقدامات انجام شده یا در دست اقدام شرکت هایی که برای افزایش امنیت داده های خود در سال 2021 اهمیت ویژه ای قائل هستند، به طور خلاصه، نشان داده شده است.

takian.ir what companies are doing to up their data security in 2021 1

مراکز داده ها

شرکتهایی که بودجه لازم را برای انتقال برخی یا کل داده های مهم عملیاتی خود به مکانهایی مانند TRG Datacenters دارند، همگی و به طور دسته جمعی از سال 2021 شروع به انجام این کار می کنند. مراکز داده در برابر تهدیدات امنیت سایبری تقویت می شوند، در مقابل بلایای طبیعی و فاجعه بار بهتر محافظت می شوند که به طبع هزینه ای که برای این دست اقدامات و داشتن یک تجارت و بیزینس موفق صرف میشود، در مقابل مخاطراتی که ممکن است با نداشتن یک واحد آی تی و یا آسیب دیدن به انحاء مختلف ایجاد شود، بسیار اندک میباشد و با هزینه کمتری، این امنیت فراهم میشود.

آموزش کارمندان

این یک واقعیت کاملا شناخته شده در جامعه امنیت سایبری است که بزرگترین تهدید و آسیب پذیری امنیت سایبری در اکثر شرکت ها، از جانب افراد آن مجموعه حادث میشود. این بدان معنا نیست که وجود کارکنان و نفرات غیرقابل اعتماد باعث بروز وقایع فاجعه بار میباشند، بلکه آنچه منتج به این موارد میشود، عدم آگاهی است. اکثر مردم (و به طبعیت از آن بسیاری از شرکت ها) درک درستی از تهدیدات و یا بهترین روشهای کاهش مخاطرات ندارند.

وقتی تهدیدهای اضافی مرتبط با کار در خانه و اغلب کار با استفاده از اینترنتی عمومی، ناامن یا با امنیت ضعیف را در این دسته بندی دخیل کنید، جای تعجب نخواهد بود که بسیاری از شرکت ها در حال حاضر آموزش امنیت سایبری کارمندان را بسیار جدی بگیرند. این شامل آموزش کارمندان درباره مواردی مانند آخرین روندها و فنون فیشینگ و بدافزارها، روشهای مناسب حفاظت از رمز عبور و کار با داده ها و اقدامات بیشتری است که کارکنان میبایست هنگام کار از راه دور برای محافظت از خود و داده های شرکت انجام دهند.

سرمایه گذاری در امنیت سایبری

به تازگی یک مقاله از سرویس خبری سیشن منتشر شده و اظهار داشته است که هزینه های امنیت سایبری برای زیرساخت های حیاتی، به لطف رشد عمده نیروی کار از راه دور (کار در خانه)، با ضریب احتمال بالایی، در سال 2021 از 105 میلیارد دلار فراتر خواهد رفت. علاوه بر زیرساخت های قوی تر و مستحکم تر، بیشتر هزینه ها به احتمال زیاد به صورت افزایش حقوق و دستمزد برای پرسنل امنیت سایبری و فناوری اطلاعات برای نگهداری، نظارت و آزمایش سطح تنش سخت افزاری و نرم افزاری که به طور منظم انجام می شود، خواهد بود.

شرکت ها همچنین برای مقابله با مواردی مانند حملات باج افزاری و به حداقل رساندن خرابی های مربوط به آن و خسارت مالی احتمالی ورشکستگی در پی این حملات، در حال توسعه برنامه های کنترل نقض داده و برنامه ریزی پاسخدهی در سطح سازمانی هستند.

سیاست های بیمه ای

هدف از بیمه سایبری، جبران خسارت شرکت ها در صورت حمله است. طی چندین سال گذشته و به ویژه در سال گذشته، تعداد زیادی از موارد نقض و دفع های عظیم در بخش خصوصی و دولتی باعث ایجاد آشفتگی و بهم ریختگی در کسب و کارها شده است که دلیل آن نیز مبرهن و واضح است. با این حال، در اینجا یک مانع بالقوه در سمت عرضه وجود دارد: با توجه به اینکه حملات امکان دارد چقدر مکرر، غیر قابل پیش بینی و پیچیده باشند، ممکن است شرکت های بیمه به حد کافی وجود نداشته نباشند که در برابر این نوع حملات، شرکت ها را بیمه کنند.

نتیجه

جرایم اینترنتی اکنون تهدیدی همگانی هستند و همچنان که رو به جلو میرویم، بیشتر میشوند. هرچه زندگی شخصی و اقتصادی را با شبکه جهانی جهانی تلفیق کنیم، مجرمان اینترنتی فرصت بیشتری برای نفوذ، سرقت، دستکاری و اخاذی دارند. تقویت زیرساخت های دیجیتال و زندگی دیجیتال ما، به ترکیبی از افزایش آگاهی و سرمایه گذاری چشمگیری نیاز دارد.

سهم بیش از 25% رله های خروجی Tor در جاسوسی از فعالیت های کاربران در دارک وب

 takian.ir tor exiting relays control main

مطالعه جدیدی در مورد زیرساخت های دارک وب افشا کرده است که یک عامل تهدید ناشناخته در اوایل فوریه 2021 بیش از 27 درصد از کل ظرفیت خروجی شبکه Tor را کنترل کرده است.

یک محقق امنیتی مستقل که از او با nusenu نام برده شده است، در متنی که روز یکشنبه منتشر شده، اعلام کرده است که: "نهادی که به کاربران Tor حمله می کند، از بیش از یک سال پیش بصورت فعالانه از کاربران Tor بهره برداری می کند و دامنه حملات آنها را به سطح اطلاعاتی جدیدی ارتقا داده است. متوسط ​​نرخ خروجی که این نهاد در طول 12 ماه گذشته کنترل کرده، بالای 14٪ بوده است".

به گزارش هکرنیوز، این آخرین مورد از مجموعه تلاشهایی است که برای آشکار کردن فعالیتهای مخرب Tor از دسامبر 2019 انجام شده است. حملاتی که گفته می شود در ژانویه 2020 آغاز شده است و برای اولین بار توسط همان محقق در اوت 2020 مستندسازی و افشا شده است.

Tor یک نرم افزار متن باز برای امکان برقراری ارتباط ناشناس در اینترنت است. این مبدا و مقصد، درخواست وب را با هدایت ترافیک شبکه از طریق یک سری رله ها مخفی می کند تا آدرس IP و مکان و موارد استفاده کاربر را از هرگونه نظارت یا تجزیه و تحلیل ترافیک پنهان کند. در حالی که رله های میانی معمولاً از دریافت ترافیک در شبکه Tor مراقبت می کنند و آن را عبور می دهند، رله خروجی گره نهایی است که ترافیک Tor قبل از رسیدن به مقصد از آن عبور می کند.

گره های خروجی در شبکه Tor در گذشته برای تزریق بدافزارهایی مانند OnionDuke تحت تاثیر قرار گرفته بودند، اما این اولین بار است که یک عامل ناشناس موفق به کنترل چنین بخش بزرگی از گره های خروجی Tor می شود.

takian.ir tor exiting relays control 1

 

سازمان یا گروه هک کننده، 380 رله خروج مخرب Tor را در پیک خود در آگوست 2020 و قبل از اینکه دایرکتوری Tor مداخله کرده و گره ها را از شبکه حذف کند، نگهداری کردند. به دنبال آن فعالیت در اوایل سال جاری دوباره آغاز شد و مهاجم تلاش کرد بیش از 1000 رله خروجی را در هفته اول ماه مه، اضافه کند. همه رله های خروجی مخرب Tor که در جریان موج دوم حملات شناسایی شده بودند، حذف شده اند.

takian.ir tor exiting relays control 2

به گفته nusenu، هدف اصلی این اقدامات، انجام حملات "man-in-the-middle" بر علیه کاربران Tor و با دستکاری در ترافیک عبوری از شبکه رله های خروجی آنها است. به ویژه به نظر می رسد مهاجم از آنچه که SSL stripping شناخته میشود، برای کاهش میزان ترافیک به سمت سرور میکسر Bitcoin از HTTPS به HTTP اقدام می کند، و طی حرکتی آدرس های بیتکوین را جایگزین کرده و معاملات را به جای آدرس بیت کوین که توسط کاربر ارائه می شود، به کیف پول الکترونیکی خود هدایت کند.

محققین پشتیبانی پروژه Tor در ماه آگوست تشریح کردند که: "اگر کاربری از نسخه HTTP (یعنی نسخه رمزگذاری نشده و تأیید نشده) یکی از این سایتها بازدید کند، آنها از هدایت کاربر به نسخه HTTPS (یعنی نسخه رمزگذاری شده و تأیید شده) سایت جلوگیری می کنند. اگر کاربر متوجه نشود که در نسخه HTTPS سایت (که هیچگونه آیکون قفل در مرورگر وجود ندارد) بوده و اقدام به ارسال یا دریافت اطلاعات حساس کند، این اطلاعات توسط مهاجم قابل رهگیری میباشد".

برای کاهش چنین حملاتی، پروژه Tor توصیه های را شرح داده است؛ از جمله اصرار به مدیران وب سایت ها برای فعال کردن پیش فرض HTTPS و استقرار سایت های .onion برای ممانعت گره های خروج و اضافه کردن این برنامه به "comprehensive fix" جهت غیرفعال کردن HTTP ساده در مرورگر Tor است.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) در ژوئیه سال 2020 در یک توصیه اعلام کرد: "خطر آلودگی به عنوان هدف سوءاستفاده از طریق Tor برای هر سازمان منحصر به فرد است. یک سازمان باید ریسک خطر خود را با ارزیابی احتمال اینکه عامل تهدید، سیستم ها یا داده های آن را هدف قرار میدهد و احتمال اینکه موفقیت عامل حملات باعث از دست دادن کنترل و کاهش امکان مدیریت شرایط میشود، در نظر بگیرد".

این مجموعه افزود: "سازمان ها باید تصمیمات کاهش مخاطرات خود را در برابر تهدیدات سازمانی خود از طریق تهدیدهای مداوم پیشرفته (APT)، مهاجمان نسبتاً پیشرفته و هکرهای مستقل با مهارت کم که همه آنها از Tor برای انجام شناسایی و حملات در گذشته استفاده کرده اند، ارزیابی نمایند".

ضبط سرورها و محدودیت حساب بیتکوین باج افزار DarkSide بعد از حمله به زیرساخت های سوخت ایالات متحده

 

باند بدافزار DarkSide در پشت حمله سایبری اخیر به Colonial Pipeline بوده است اما مشخص نیست که چه کسی در پشت پرده اختلال در زیرساخت های سایبری DarkSide بوده است.

گروه مجرمان سایبری باج افزار DarkSide که باعث بروز وقفه ای شش روزه در خط لوله Colonial Pipeline در هفته گذشته که منجر به کمبود سوخت و افزایش قیمت در سراسر ایالات متحده شده بودند، در حال پایان دادن به آن هستند.

این باند مجرمین اعلام کرد پس از آنکه سرورهای آنها ضبط شد و همچنین در پی درز اطلاعات حساب رمزارز این گروه توسط عاملان ناشناس، که برای پرداخت های خود از آن استفاده میکردند، عملیات خود را متوقف می کند.

در صورت دسترسی از طریق TORبه دارک وب و بررسی آدرس سایت DarkSide، اعلانی نمایش داده میشود که اعلام میکند این آدرس قابل یافتن نیست.

takian.ir bitcoin servers darkside ransomware gang seized 1

پیامی که توسط این گروه ارسال شده، بدین مضمون است: "چند ساعت پیش، ما دسترسی به بخش عمومی زیرساخت های خود را از دست دادیم".

در ادامه این پیام توضیح داده است که این خسارت بر وبلاگ قربانیان که اطلاعات سرقت شده از قربانیانی که از پرداخت باج خودداری کرده اند، منتشر می شود، تأثیر گذاشته است.

این حمله همچنین سرور پرداخت آنها و مواردی که ویژگی DoS آن را تأمین می کنند و برای تهییج کردن قربانیانی که از پرداخت باج ممانعت میکنند، مورد استفاده قرار میگرفته، از کار انداخته است.

این بروزرسانی همچنین ادعا میکند که سازمان دهندگان DarkSide در حال انتشار ابزارهای رمزگشایی برای تمام شرکت هایی هستند که تحت حمله باج افزاری قرار گرفته اند، اما هنوز هزینه ای پرداخت نکرده اند.

در این دستورالعمل ها آمده است: "پس از آن، شما آزاد خواهید بود هر کجا که خواستید با آنها ارتباط برقرار کنید".

takian.ir bitcoin servers darkside ransomware gang seized 2

همانطور که توسط برخی از متخصصان، به ویژه Intel471 اعلام شده است، برخی از اعضای اصلی DarkSide نیز با باند REvil گره خورده اند. جای تعجب نیست که برخی از متن های جزئیات پیام توسط DarkSide ظاهراً توسط یکی از رهبران پلتفرم سرویس باج افزار REvil نوشته شده است.

به گفته برایان کربس، نماینده REvil گفته است که برنامه آن ایجاد محدودیت های جدید در سازمان هایی است که شرکت های وابسته آنها می توانند هدف حملات باج افزاری واقع شوند؛ و از این پس حمله به "بخش اجتماعی" (که به عنوان موسسات بهداشتی و آموزشی تعریف شده است) و سازمانها در "بخش دولت" (ایالت) هر کشور ممنوع است. همکاران وابسته نیز قبل از آلوده کردن قربانیان ملزم به دریافت تأییدیه می شوند.

در زمان انتشار این مقاله، هنوز مشخص نبود که چه کسی وب سایت Darkside را مجبور به قطع ارتباط وب کرده و چه کسی پشت تخلیه حساب رمزنگاری شده آنها است.

کشف بدافزار CIA توسط کسپرسکی با قابلیت Backdoor

 

بدافزاری که با نام Purple Lambert معرفی شده است، توسط کسپرسکی شناسایی شد؛ این بدافزار بطور پنهانی ترافیک شبکه را رصد میکند و در پی"magic packet" در سیستم ها میگردد.

تیم تحقیق و تجزیه و تحلیل جهانی (GReAT) در آزمایشگاه کسپرسکی بدافزار جدیدی را کشف کرده است که این شرکت ادعا می کند توسط آژانس اطلاعات مرکزی آمریکا (CIA) ساخته شده است.

takian.ir cia purple lambert malware main

 

به گزارش هک رید، غول امنیت سایبری مستقر در مسکوی روسیه گفته است که این بدافزار را در "مجموعه ای از نمونه های بدافزار" متعلق به چندین گروه APT  مشاهده کرده است. این نمونه ها در فوریه 2019 به دست کسپرسکی و سایر شرکت های امنیت سایبری رسیده است.

به گفته محققان، این نمونه ها در سال 2014 جمع آوری شده و بر این اساس، احتمالاً در سال 2014 و احتمالاً تا اواخر سال 2015 از آن استفاده شده است.

 

بدافزارPurple Lambert

محققان کسپرسکی به این بدافزار لقب پرپل لمبرت داده اند. این بدافزار به قابلیت Backdoor مجهز است که به آن امکان می دهد بصورت پنهانی و غیرفعال ترافیک شبکه را رصد کرده و به دنبال "magic packet" باشد.

علاوه بر این، بدافزار ذکر شده می تواند همراه با اجرای بسته ای که از اپراتورهای خود دریافت می کند، اطلاعات بنیادی و اساسی را از سیستمی که هدف قرار گرفته است، استخراج کند.

کسپرسکی در 27 آوریل در گزارش APT Trends - Q1 2021 این جزئیات را به اشتراک گذاشته است.

 

خانواده بدافزارهایCIA، ویکیلیکس،Vault7 وLambert

اگرچه در گزارش کسپرسکی نام CIA مستقیما ذکر نشده است، اما ذکر این بدافزار در دسته بندی خانواده بدافزار لمبرت، ارتباط آن با آژانس اطلاعات مرکزی آمریکا را نشان می دهد.

اما چطور؟ در سال 2017، روزهایی که نهاد افشاگری ویکی لیکس توانایی های هک گسترده CIA را در مجموعه ای به نام Vault7 افشا کرد، شرکت امنیت سایبری سیمانتک یک پست وبلاگ در مورد بدافزاری به نام Longhorn منتشر کرد و از طرف دیگر محققان کسپرسکی همان بدافزار را از خانواده بدافزار لمبرت نام برده اند.

بعلاوه پس از تجزیه و تحلیل دقیق نمونه ها، کسپرسکی شباهت های زیادی بین بدافزار و موارد استفاده شده توسط CIA در گذشته مانند Gray Lambert شناسایی کرد و به این ترتیب آن را Purple Lambert نامگذاری نمود.

همچنین از نظر مورد استفاده قرار گرفتن این بدافزار نیز، این شرکت معتقد است هیچ مدرکی مبنی بر استفاده از بدافزار در فضای کاربری، حداقل برای چند سال اخیر وجود ندارد.

کسپرسکی نتیجه گیری کرده است که: اگرچه ما هیچ کد مشترکی با بدافزار شناخته شده دیگری پیدا نکرده ایم، اما این نمونه ها دارای نقاط مشترکی از الگوهای کدگذاری، سبک و روش هایی هستند که در بدافزارهای مختلف خانواده های لمبرت دیده شده است.

کشف بدافزار لینوکسی که سه سال ناشناس مانده بود!

 

یک بدافزار لینوکس با قابلیت backdoor که تاکنون ثبت نشده بوده است، موفق شده است حدود سه سال بدون شناسایی از زیر رادار محققان امنیتی عبور کند، و به عامل تهدیدات امنیتی اجازه دهد تا اطلاعات حساس را از سیستم های آلوده جمع آوری کرده و از بین ببرند.

این backdoor که توسط محققان Qihoo 360 NETLAB، به نام RotaJakiro اعلام شده است، دستگاههای Linux X64 را هدف قرار می دهد و به این دلیل اینگونه نامگذاری شده است که "این دسته هنگام رمزگذاری، از رمزگذاری چرخشی استفاده می کنند و برای حساب های روت و غیر روت رفتار متفاوتی دارند".

این یافته ها بر مبنای تجزیه، تحلیل و آنالیز یک نمونه بدافزار است که در تاریخ 25 ماه مارس شناسایی شده است، اگرچه به نظر می رسد نسخه های اولیه آن از اوایل ماه مه سال 2018 در VirusTotal بارگذاری شده اند. در مجموع چهار نمونه تاکنون در پایگاه داده ها پیدا شده است که همه آنها توسط اکثر موتورهای ضد بدافزار ، شناسایی نشده، باقی مانده اند. از زمان نوشتن این مقاله، فقط هفت تامین کننده امنیتی آخرین نسخه بدافزار را به عنوان مخرب اعلام و علامتگذاری کرده اند.

takian.ir uncover stealthy linux 1

 

بنا به گفته محققین: "در سطح عملکردی، RotaJakiro ابتدا با استفاده از پالیسی های مختلف اجرا برای حساب های مختلف، مشخص می کند که کاربر مد نظر، کاربر روت یا میباشد یا غیر روت؛ سپس منابع حساس مربوطه را با استفاده از AES& ROTATE رمزگشایی می کند تا در صورت مقاومت، از فرآیندهای آتی و استفاده از نمونه محافظ کند، و سرانجام ارتباط با C2 برقرار می شود و منتظر اجرای دستورات صادر شده توسط C2 میماند".

takian.ir uncover stealthy linux 2

 

RotaJakiro با تکیه بر ترکیبی از الگوریتم های رمزنگاری برای رمزگذاری ارتباطات خود با یک سرور command-and-control (C2) و علاوه بر آن، پشتیبانی از 12 عملکرد که برای جمع آوری فراداده های دستگاه و سرقت اطلاعات حساس، انجام عملیات مربوط به فایل ها و بارگیری و اجرای افزونه ها از سرور C2 پشتیبانی می کنند، بر مبنای اصل عملیات پنهانی طراحی شده است.

اما هدف واقعی این کمپین بدافزار بدون هیچ مدرکی جهت روشن کردن ماهیت افزونه ها، همچنان نامشخص است. جالب اینجاست که زمان ثبت برخی از دامنه های C2 ثبت شده تقریباً به ماه دسامبر سال 2015 بر می گردند، همچنین محققان هم پوشانی را بین RotaJakiro و بات نتی با نام Torii را مشاهده کردند.

همچنین محققان گفتند: "از منظر مهندسی معکوس، RotaJakiro و Torii سبک های مشابهی دارند: استفاده از الگوریتم های رمزگذاری برای پنهان کردن منابع حساس، اجرای یک سبک تلاش برای ماندگاری نسبتاً قدیمی، ترافیک شبکه و غیره. ما پاسخ را دقیقی برای آن نداریم، اما به نظر می رسد RotaJakiro و Torii ارتباطاتی با یکدیگر دارند".

نقاط ضعف شبکه 5G و هشدار جدی آژانس های اطلاعاتی ایالات متحده

takian.ir usa agencies warn 5g weaknesses 1

اجرای ضعیف و ناکافی استانداردهای مخابراتی، تهدیدات زنجیره تأمین و ضعف در ساختار سیستم ها را می توان به عنوان خطرات عمده در زمینه امنیت سایبری شبکه های 5G برشمرد که به طور بالقوه این شبکه را به یک هدف سودآور برای مجرمان سایبری و دشمنان دولت ها و ملت ها تبدیل می کند تا از آن برای بهره برداری و سوءاستفاده از اطلاعات ارزشمند استفاده کنند.

به نقل از هکرنیوز، این تجزیه و تحلیل، با هدف شناسایی و ارزیابی خطرات و آسیب پذیری های موجود در 5G، در روز دوشنبه توسط آژانس امنیت ملی ایالات متحده (NSA)، با مشارکت دفتر مدیریت اطلاعات ملی (ODNI) و دپارتمان امنیت میهن (DHS) آژانس امنیت سایبری و امنیت زیرساخت (CISA) منتشر گردیده است.

در این گزارش آمده است: "با انتشار سیاست ها و استانداردهای جدید 5G، احتمال تهدیداتی که کاربر نهایی را تحت تأثیر قرار می دهد همچنان وجود دارد. به عنوان مثال، ممكن است حکومت ها سعی كنند تأثیر اندکی بر استانداردهایی وارد كنند كه به نفع فناوری های اختصاصی آنها باشد و انتخاب مشتریان را برای استفاده از سایر تجهیزات یا نرم افزار محدود كند".

 در این گزارش بخصوص به نفوذ بی مورد ملت های متخاصم در ایجاد استانداردهای فنی اشاره شده است که ممکن است زمینه را برای استفاده از فناوری ها و تجهیزات اختصاصی غیرقابل اعتماد که بروزرسانی، تعمیر و جایگزینی آنها دشوار است فراهم کند. در این گزارش موارد نگران کننده دیگری نیز وجود دارد. کنترل های امنیتی اختیاری که در پروتکل های ارتباط از راه دور نهفته است، که اگر توسط اپراتورهای شبکه اجرا نشود، میتوانند فضا را برای حملات مخرب آزاد بگذارند.

دومین زمینه نگرانی که توسط NSA، ODNI و CISA به شکل برجسته اشاره شده، زنجیره تأمین است. اجزای خریداری شده از تأمین کنندگان، فروشندگان و ارائه دهندگان خدمات شخص ثالث می توانند تقلبی بوده یا در معرض خطر قرار گیرند و با نقص امنیتی و بدافزاری که در مراحل اولیه توسعه وارد میشوند، عاملان تهدید را قادر می سازد تا در مراحل بعدی از آسیب پذیری ها سوءاستفاده کنند.

بر اساس این آنالیز، اجزای تقلبی به خطر افتاده می تواند عامل مخرب را قادر سازد که بر محرمانه بودن، یکپارچگی یا در دسترس بودن اطلاعاتی که از طریق دستگاه ها رد و بدل میشود، تأثیر بگذارد و به صورت جانبی به سایر قسمتهای حساس شبکه منتقل شود.

این فاکتور همچنین می تواند به شکل حمله زنجیره تامین نرم افزار باشد که در آن کد مخرب به شکلی هدفمند به ماژولی که به سمت کاربر هدف روانه میشود، با آلوده کردن مرکز کد منبع یا ربودن کانال توزیع، اضافه میگردد. که بدین طریق به کاربران آگاه و قربانی اجازه می دهد تا مولفه های خطرآفرین را در شبکه هایشان اجرا کنند.

در آخر، نقاط ضعف موجود در شاکله 5G می تواند به عنوان نقطه پرشی برای اجرای انواع حملات مورد استفاده قرار گیرد. در این میان نیاز به پشتیبانی از زیرساخت ارتباطی قدیمی 4G وجود دارد که همراه با مجموعه ای از کاستی ها را بصورت ذاتی در خود دارد که می تواند توسط عاملان حملات مخرب مورد سوءاستفاده قرار گیرد. مورد دیگر، مسئله مدیریت نادرست اسلایس ها است که می تواند به دشمنان اجازه دهد داده ها را از اسلایس های مختلف بدست آورند و حتی دسترسی مشترکان را نیز مختل نمایند.

در یک مطالعه که توسط ادپتیو موبایل در مارس 2021 منتشر شد، نشان داد که نقص های امنیتی در مدل اسلایس که می تواند برای دسترسی به داده ها و انجام حملات DoS بین برش های مختلف شبکه، در ساختار شبکه 5G اپراتور تلفن همراه ، دوباره استفاده شود.

در این گزارش مفصل آمده است: "سیستم های 5G برای رسیدن به پتانسیلشان، به مکمل فرکانس های طیف مختلف (پایین، متوسط ​​و بالا) نیاز دارند، زیرا هر نوع فرکانس مزایا و چالش های منحصر به فردی را ارائه می دهد. با افزایش تعداد دستگاه هایی که برای دستیابی به همان طیف رقابت می کنند، اشتراک گذاری این طیف فرکانس ها در حال رواج یافتن است. به اشتراک گذاری طیف ممکن است فرصت هایی را برای عاملان حملات مخرب فراهم کند تا در مسیرهای ارتباطی غیرقابل کنترل تداخل ایجاد کرده و مداخله کنند، که این امر بر شبکه های مهم ارتباطاتی تأثیر  بسزایی می گذارد".

در بررسی و شناسایی سیاست ها و استانداردها، زنجیره تأمین و شاکله سیستم های 5G به عنوان سه عامل اصلی تهدید بالقوه، هدف ارزیابی خطرات ناشی از انتقال به فناوری بی سیم جدید و همچنین اطمینان از استقرار زیرساخت های 5G ایمن و مطمئن است.

آژانس ها امنیتی اعلام کرده اند: "این تهدیدها و آسیب پذیری ها می تواند توسط عوامل تهدیدات مخرب برای تأثیر منفی بر سازمانها و کاربران استفاده شود. بدون تمرکز مداوم بر روی الگوها، جهتگیری ها و ساختارهای تهدید و مخاطرات شبکه 5G و شناسایی زود هنگام نقاط ضعف در ساختار سیستم، آسیب پذیری های جدید، تأثیر حوادث سایبری را به شکل قابل ملاحظه ای افزایش می دهند".

نقص های مهم سیسکو SD-WAN vManage و نرم افزار HyperFlex

takian.ir cisco sd wan vmanage and hyperflex software vulnerability

سیسکو، بزرگترین تامین کننده تجهیزات شبکه، برای رفع آسیب پذیری های متعدد و مهم تأثیرگذار بر HyperFlex HX و SD-WAN vManage Software كه می تواند به مهاجم اجازه دهد حملات اعمال فرمان، اجرای كد دلخواه و دسترسی به اطلاعات حساس را انجام دهد، بروزرسانی های نرم افزاری ارائه داده است.

در یک سری راهنمایی ها و گزارشات توصیه ای منتشر شده در تاریخ 5 ماه می سال جاری میلادی، این شرکت اعلام کرده است که هیچ راهکار قطعی برای رفع مشکلات وجود ندارد.

آسیب پذیری های اعمال فرمان HyperFlex HX، همانگونه که در CVE-2021-1497 و CVE-2021-1498 (CVSS Score 9.8) ردیابی شده است، بر تمام دستگاه های سیسکو که از نرم افزار HyperFlex HX نسخه های 4.0 ، 4.5 و نسخه های 4.0 استفاده می کنند، تأثیر می گذارد. این اشکال می تواند به دلیل عدم اعتبارسنجی کافی ورودی ارائه شده توسط کاربر در اینترفیس مدیریتی مبتنی بر وب سیسکوی HyperFlex HX Data Platform باشد که این آسیب پذیری میتواند مهاجم ناشناس از راه دور را قادر سازد تا یک حمله اعمال دستور را علیه دستگاه آسیب پذیر به اجرا درآورد. این شرکت در هشدار خود گفت: "این آسیب پذیری با ارسال یک درخواست ساختگی به اینترفیس مدیریتی مبتنی بر وب توسط مهاجم تحت تاثیر قرار گیرد. یک سوءاستفاده موفق می تواند به مهاجم اجازه دهد به صورت root یا کاربر tomcat8، دستورات خودسرانه را اجرا نماید".

سیسکو همچنین پنج اشکال موثر بر SD-WAN vManage Software (CVE-2021-1275، CVE-2021-1468، CVE-2021-1505، CVE-2021-1506 و CVE-2021-1508) را مشخص کرد که مهاجم ناشناس از راه دور میتواند کد دلخواه خود را اجرا کند یا به اطلاعات حساس دسترسی پیدا کند، یا اینکه برای یک مهاجم محلی شناخته شده این اجازه را فراهم آورد که به امتیازات بسیار بیشتر یا دسترسی غیرمجاز به برنامه، دست پیدا کند.

نیکیتا آبراموف و میخائیل کلیوچنیکوف از شرکت پازیتیو تکنولوجیز در حالی با گزارش HyperFlex HX شناخته شده اند، که چهار مورد از اشکالات SD-WAN vManage را در هنگام آزمایش امنیت داخلی شناسایی کرده اند، از طرفی CVE-2021-1275 در هنگام حل و فصل یک مورد پشتیبانی کاربری در مرکز کمک فنی سیسکو (TAC)  مشخص گردیده است.

اگرچه هیچ شواهدی مبنی بر سوءاستفاده مخرب از آسیب پذیری ها در فضای کاربری وجود ندارد، اما توصیه می شود کاربران برای کاهش احتمال خطر ناشی از نقص ها، دستگاه های خود را به جدیدترین نسخه بروزرسانی نمایند.

 

VMware رفع اشکال پرخطرvRealize Business for Cloud را در دستور کار قرار داده است.

سیسکو تنها نیست. VMware در روز چهارشنبه بروزرسانی هایی را برای رفع نقص جدی در vRealize Business for Cloud 7.6 منتشر کرد که به مهاجمین غیرمجاز و ناشناس این امکان را می دهد کد مخرب را از راه دور اجرا بر روی سرورهای آسیب پذیر کنند.

نقص اجرای کد از راه دور (CVE-2021-21984، CVSS Score: 9.8) از یک endpoint غیرمجاز VAMI نشات می گیرد و در نتیجه سناریویی ایجاد می شود که به متعاقب آن مهاجم میتواند با دسترسی به شبکه، کد غیر مجاز را روی دستگاه اجرا کند. کاربران تحت تأثیر این آسیب پذیری می توانند با نصب فایل بروزرسانی امنیتی ISO، این مشکل را برطرف نمایند.

Vmware نیز گزارش ایگور دیمیترنکو از کمپانی پازیتیو تکنولوجیز مبنی بر وجود این آسیب پذیری را تایید نموده و آنرا مثبت دانسته است.

هدف قرار دادن سایت های رسانه های ایرانی

روز یکشنبه وزارت فناوری اطلاعات و ارتباطات گزارش داد که حملات سایبری شب شنبه علیه چند رسانه ای ایران منتشر شده و گفته می شود که این سایت ها از سوی ایالات متحده و بریتانیا مورد حمله قرار گرفته اند.Takian.ir Hackers from U S UK targeted Iranian media websites ICT Ministry
این گزارش می گوید مسائل امنیتی یکی از عوامل مهم است که به حملات منجر شد. همچنین نام 27 وب سایت دیگر با مسائل مشابه منتشر شده است.

وب سایت های خبری که مورد حمله قرار گرفته اند شامل: روزنامه ی قانون، روزنامه ی آرمان، روزنامه ستاره صبح بودند که در مرکز داده ی تبیان و مرکز داده شرکت پیشتاز میزبانی شده اند . گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم های هدف نموده و در این فرایند مشخص شد که تمامی این سامانه ها توسط یک شرکت و در بستر سیستم عامل ویندوز با سرویس دهنده ی وب IIS و زبان برنامه نویسی ASP.Netتوسعه داده شده اند

پس از دریافت فایل های ثبت وقایع از حملات انجام شده از سرویس دهنده ها با تحلیل و بررسی تاریخچه ی حملات و آسیب پذیری ها حجم بالایی از فایل ها مورد تحلیل و آنالیز قرار گرفت و آی پی مبدا حملات استخراج شد که شامل 5آی پی از کشورهای انگلستان و آمریکا بوده است. طبق این گزارش، تمام سایت های خبری مورد حمله دارای نام کاربری و کلمه ی عبور پیش فرض و یکسان توسط شرکت پشتیبان بودند که این موارد به معنای رعایت نشده حداقل موارد امنیتی هست.

هشدار! پخش صدها هزار صفحه هات آلوده پی‌دی‌اف در فضای وب

 

مجرمان اینترنتی به روش آلوده سازی در موتورهای جستجو متوسل می شوند تا متخصصان تجاری را سمت به سایت های به ظاهر قانونی گوگل که Remote Access Trojan (RAT) را نصب می کنند و قادر به انجام حملات گسترده هستند، هدایت کنند.

به نقل از هکر نیوز، این حمله با استفاده از جستجوی فرم های تجاری مانند فاکتورها، الگوها، پرسشنامه ها و رسیدها به عنوان سنگ بنایی برای نفوذ به سیستم ها امکان پذیر می شود. کاربرانی که سعی در دانلود فایل های از پیش طراحی شده ای دارند، بدون اطلاع خودشا به وب سایتی مخرب هدایت می شوند که بدافزارها را میزبانی می کنند.

محققان ای سنتایر در مقاله ای که روز سه شنبه منتشر شد اعلام کردند: "هنگامی که RAT روی رایانه قربانی قرار گرفت و فعال شد، مهاجمین و عوامل تهدید می توانند دستوراتی را ارسال کرده و بدافزارهای دیگری از جمله باج افزار، بدافزار سرقت گواهی، تروجان بانکی را روی سیستم آلوده بارگذاری کنند و یا به سادگی از RAT به عنوان جای پای قربانی در راستای اقدامات مخرب خود استفاده کنند".

takian.ir seemingly legitimate google sites

 

این شرکت امنیت سایبری گفت که بیش از 100000 صفحه وب منحصر به فرد و متفاوت را کشف کرده است که حاوی اصطلاحات تجاری معروف یا کلمات کلیدی مانند الگو، فاکتور، رسید، پرسشنامه و رزومه هستند که به صفحات اجازه می دهد در نتایج جستجو در رتبه بالاتری قرار بگیرند و بر این مبنا احتمال موفقیت مهاجمین را افزایش میدهد.

هنگامی که یک قربانی در وب سایتی تحت کنترل مهاجم ورود پیدا کند و فایلی را که در جستجوی آن بوده است دانلود نماید، به نقطه ای آغازی برای حملات و تهدیدات پیچیده تر تبدیل شده و در نهایت منجر به نصب RAT مبتنی بر .NET به نام SolarMarker (با نام مستعار Yellow Cockatoo ، Jupyter و پولازرت) میشود.

در یک مورد بررسی شده توسط ای سنتایر که شامل یک کارمند شرکت مدیریت مالی بود، بدافزار قابل اجرا به شکل یک فایل پی‌دی‌اف مبدل شده بود که با باز شدنش، RAT را به همراه نسخه قانونی Slim PDF به عنوان طعمه اجرا و راه اندازی می کرد.

takian.ir slim pdf as decoy

 

اسپنس هاچینسون، مدیر اطلاعات حملات شرکت ای سنتایر، گفت: "جنبه نگران کننده دیگر این کمپین این است که گروه SolarMarker بسیاری از صفحات وب مخرب خود را با کلمات کلیدی مرتبط با اسناد مالی پر کرده است".

وی ادامه داد: "یک گروه جرایم اینترنتی، کارمندی را که در بخش مالی یک شرکت کار می کند یا یک کارمند را که برای یک سازمان مالی کار می کند، یک هدف با ارزش بالا قلمداد میکند. متأسفانه، به محض اینکه RAT روی سیستمی نصب شود، پتانسیل بسیار زیادی وجود دارد که فعالیت کلاهبرداری به وقوع بپیوندد".