برجسته‌ترین ترندهای حوزه امنیت سایبری طی ۱۲ ماه اخیر

به گزارش جام جم آنلاین به نقل از دیجیاتو،از رویکردهای فیشینگ مرتبط با کووید-۱۹ گرفته تا عملیات‌هایی که با حمایت دولتی، در صدد تخریب پژوهش‌های صورت گرفته روی واکسن‌های بالقوه برمی‌آمدند، دورنمای امنیت به طرقی نامتعارف و غیر منتظره تغییر کرد.

ترکیب حملات الهام گرفته از کووید-۱۹، رخنه‌های اطلاعاتی بزرگ و ترندهای به تکامل رسیده باعث شد که طی سال جاری میلادی، امنیت شکلی مهم‌تر از هر زمان دیگر به خود بگیرد. اما اکنون که در روزهای پایانی سال ۲۰۲۰ به سر می‌بریم و گرد و خاک‌ها فروکش کرده، می‌توانیم به مرور برخی از برجسته‌ترین ترندهای حوزه امنیت سایبری طی ۱۲ ماه اخیر بپردازیم و ببینیم کدام وقایع، بیشتر از هر چیز دیگر توجه‌ها را به خود جلب کردند.

باج‌افزاری که Travelex را فلج کرد

 

 

 

سال ۲۰۲۰ با یک بنگ آغاز شد و شرکت صرافی Travelex متوجه شد سیستم‌هایش به یک باج‌افزاری آلوده شده‌اند که توسط گنگ سایبری Sodinokibi توسعه یافته بود. در ابتدا جزییات بسیار اندکی راجع به این حادثه منتشر شد و Travelex اعلام کرد که تمام سیستم‌هایش را خاموش کرده و تمام تدابیر لازم را به کار گرفته تا با این «ویروس کامپیوتری» که توانسته راهش را به شبکه‌هایش باز کند به مقابله بپردازد.

این موضوع بدان معنا بود که سرویس مبادلات مالی شرکت به صورت کامل آفلاین شدند و بسیاری از مشتریان در حالی که در آن‌سوی آب‌ها و به دور خانه بودند، نمی‌توانستند به پول خود دسترسی یابند. اما تنها مردم عادی نبودند که از این اتفاق رنج بردند و شرکت‌های بزرگی مانند HSBC و Virgin Money هم به خاطر اتکای شدیدشان بر پلتفرم Travelex، عملا فلج شدند.

چند ماه بعد بود که بالاخره جزییات بیشتری راجع به این اتفاق منتشر شد. نخست دریافتیم که حمله واقعا با یک باج‌افزار صورت گرفته بود، بعد در گزارش‌ها آمد که Travelex حاضر به پرداخت بیت‌کوین‌هایی به ارزش ۲.۳ میلیون دلار به هکرها شده بود تا بتواند دوباره به شبکه خود دسترسی یابد. این کاری است که هم فعالان حوزه امنیت و هم مراجع قانونی، به هیچ وجه پیشنهادش نمی‌کنند. زیرا پرداخت چنین مبالغی بدان معناست که هکرها در کار خود موفق بوده‌اند و بنابراین بسیاری هکر دیگر دست به فعالیت‌های مشابه خواهند زد.

آسیب‌پذیری Zerologon

 

 

 

Zerologon که از آن به عنوان ترسناک‌ترین آسیب‌پذیری سال ۲۰۲۰ یاد می‌شود، آژانس امنیت زیرساخت و امنیت سایبری ایالات متحده (CISA) را به این واداشت که تمام آژانس‌های این کشور را به پچ کردن فوری سیستم‌های سرورهایشان مجبور کند.

این آسیب‌پذیری که در سیستم امتیازدهی آسیب‌پذیری عام به بیشینه نمره ۱۰.۰ دست یافته، یک نقص حیاتی در ویندوز سرور بود که به مهاجمین اجازه می‌داد از طریق کنترلر دامین Active Directory، به دسترسی ادمین دست پیدا کنند. این نقص درون Microsoft Windows Netlogon Remote Protocol یافت شد که یکی از اجزای حیاتی Active Directory برای احراز هویت به حساب می‌آید و کافی بود مهاجمین فقط یک اتصال TCL با یک کنترلر دامین آسیب‌پذیر برقرار کنند. از سوی دیگر هکرها نیازی به اطلاعات دامین نداشتند و می‌شد از Zerologon برای سوء استفاده از تمام سرویس‌های تشخیص هویت Active Directory استفاده کرد.

از آن‌جایی که اندکی زمان برد تا این آسیب‌پذیری کشف شده و توسط مایکروسافت به تایید برسد، Zerologon به مثالی تازه در حوزه امنیت تبدیل شد که نشان می‌داد دست کم گرفتن نواقص امنیتی در میان انبوه اخبار و گزارش‌های مربوط به آسیب‌پذیری‌ها چقدر می‌تواند گران تمام شود.

دینیس کروز، مدیر ارشد فنی شرکت امنیتی Glasswall می‌گوید: «اگر به تاثیر ماجرا نگاه کنید، این یکی از دیوانه‌وارترین آسیب‌پذیری‌هایی بود که طی چند وقت اخیر مشاهده کردیم. تنها در عرض چند ثانیه، میزان آسیب از صفر به صد می‌رسد. به محض اینکه به کنترلر دامین دسترسی می‌یابید، تبدیل به ادمین اصلی می‌شوید. هیچ‌چیز بدتر از این نیست. به نظرم این یکی از مواردی بود که همه ما باید به سرعت "دکمه قرمز بزرگ" را می‌فشردیم، اما بعید می‌دانم چنین کاری کرده باشیم. برخی آن را به سرعت پچ کردند، اما این حقیقت که هنوز بسیاری دیگر آسیب‌پذیر هستند نشان می‌دهد که Zerologon را آنقدر که باید جدی نگرفته‌ایم».

کووید-۱۹ و پیامدهایش

 

یکی از بزرگ‌ترین تغییراتی که بسیاری از کسب‌وکارها در سال ۲۰۲۰ تجربه کردند، تعطیلی ادارات و دورکاری گسترده کارمندان بود. گذشته از ایجاد تغییرات بنیادین در عادات کاری ما و ایجاد اختلال در بالانس میان شغل و زندگی، چنین اتفاقی به معنای یک سردرد واقعی برای تیم‌های آی‌تی بود. نه‌تنها فعالیت‌های امنیتی شکلی نامتمرکزتر به خود گرفتند و مدیریت‌شان دشوارتر شد، بلکه لازم بود کارمندان به ابزارها و تجهیزات لازم برای دورکاری دسترسی داشته باشند؛ چیزهایی مانند لپ‌تاپ‌ها، ابزارهای کار مشارکتی و شبکه‌های خصوصی مجازی.

پژوهش‌ها نشان داده که امنیت سایبری اکنون از هر زمان دیگر اهمیت بیشتری دارد و در عین حال، هنگام پشتیبانی از کارمندان دورکار، دسترسی امن به سیستم‌های آن‌ها بزرگ‌ترین چالش پیش روی متخصصین آی‌تی بوده است. موضوع زمانی نگران‌کننده می‌شود که بدانیم تمام این‌ها با افزایش ۲۲۰ درصدی حملات فیشینگ طی چند ماه اخیر همزمان بوده. حتی اپلیکیشن‌هایی که برای پایش ارتباطات میان افراد و شناسایی اشخاص احتمالا آلوده به ویروس طراحی شده بودند هم مورد سوء استفاده کلاه‌برداران قرار گرفتند و هکرها امیدوار بودند به این طریق، اطلاعات شخصی مردم را به دست آورند.

از سوی دیگر نیز شاهد تلاش هکرهای دولتی برای ایجاد اختلال در روند توسعه واکسن‌های کووید-۱۹ بودیم. برای مثال مایکروسافت در ماه نوامبر خبر از فعالیت گسترده هکرهای کره شمالی و روسیه داد و مدعی شد که بسیاری از آن‌ها، شرکت‌های دارویی و سازمان‌های تحقیقاتی را هدف قرار داده‌اند.

در یک مثال تازه‌تر، هکرها در جریان یک حمله سایبری علیه آژانس دارویی اروپا، به مستندات مربوط به واکسن دو شرکت فایزر و BioNTech دسترسی یافتند. این ماجرا تنها چند روز بعد از آن اتفاق افتاد که آی‌بی‌ام گفت یک کمپین فیشینگ جهانی علیه سازمان‌هایی آغاز شده که در حوزه نگه‌داری واکسن‌ کووید-۱۹ در دمای مطلوب و حمل و نقل آن فعالیت دارند.

نوجوانان اکانت‌های اشخاص برجسته را در توییتر به خطر انداختند

 

این احتمالا یکی از بزرگ‌ترین هک‌هایی باشد که تا به امروز دامن توییتر را گرفته است. در ماه جولای اخیر، اکانت‌های اشخاصی مانند باراک اوباما، بیل گیتس و جف بزوس به سرقت رفت و شاهد یک پیام عجیب بودیم که مدعی می‌شد به کاربران، بیت‌کوین رایگان می‌دهد. در واقع هکرها با به دست گرفتن اکانت این اشخاص، به شکلی دروغین اعلام کردند که «در صورت پرداخت مقادیر مشخصی از بیت‌کوین، می‌توانید دو برابر آن را دریافت کنید».

بعد از پژوهش گسترده از سوی پلیس فدرال آمریکا و توییتر، مشخص شد که حدودا ۱۳۰ اکانت تحت تاثیر این ماجرا قرار گرفتند و مهاجمین توانسته بودند نه‌تنها به ارسال توییت بپردازند، بلکه به پیام‌های دایرکت هر اکانت نیز دسترسی داشتند. توییتر بعدا اعلام کرد که احتمالا یکی از کارمندانش با دریافت رشوه، حاضر شده ابزارهای داخلی کمپانی را در اختیار هکرها قرار دهد.

مقامات قضایی به دستگیری چند نوجوان در ایالات متحده و بریتانیا پرداختند که در روند حمله مشارکت داشتند. و بعد در اتفاقی عجیب‌تر، دادگاه یکی از متهمین این پرونده که پسری ۱۷ ساله بود، در پلتفرم چت ویدیویی زوم برگزار شد. سپس یک نفر این چت ویدیویی را هایجک کرد و به استریم محتوای هرزه‌نگارانه درون آن پرداخت.

ماجرای ناگوار SolarWinds

 

آخرین موردی که در این مقاله به آن می‌پردازیم، تازه‌ترین مورد نیز هست. اوایل ماه دسامبر شرکت امنیتی FireEye تایید کرد که سیستم‌هایش توسط هکرهای وابسته به دولت روسیه به خطر افتاده‌اند. این اتفاق از آن جهت عجیب و طنزآمیز بود که FireEye خود در زمینه امنیت سایبری فعالیت می‌کند و دولت بسیاری از کشورهای جهان، به سیستم‌های آن برای مقابله با چنین حملاتی اتکا دارند.

با گذشت چند روز، مشخص شد که ابعاد ماجرا بسیار بزرگ‌تر از آن‌چیزی بوده که در ابتدا تصور می‌شد. در واقع مشخص گشت که هکرها حمله‌ای «شدیدا پیچیده» ترتیب داده بودند و سرقت ابزارهای FireEye Red Team، تنها یک تکه از پازلی بزرگ‌تر بوده. فایرآی، مایکروسافت و بازوی امنیتی دولت آمریکا، CISA، اعلام کردند که همراه با این شرکت امنیتی، ده‌ها هزار کسب‌وکار و آژانس دولتی دیگر نیز هدف حمله بوده‌اند. به این دلیل ساده که ابزارهای غول حوزه نرم‌افزار، یعنی SolarWinds (که آن هم از شرکای بسیاری از آژانس‌ها و شرکت‌های بزرگ جهان به حساب می‌آید) نیز به خطر افتاده بودند.

تیم فایرآی بعد از بررسی ابعاد رخنه اعلام کرد که هکرها توانسته بودند یک در پشتی درون نرم‌افزار SolarWinds به نام Orion ایجاد کنند. این کمپانی قربانی «یک زنجیره حمله شدیدا پیچیده» بود که توسط هکرهای دولتی و به شکلی «شدیدا هدفمند» پیاده‌سازی شده بود. به همین ترتیب، CISA از تمام آژانس دولتی آمریکا خواست که فورا ارتباط خود را با پلتفرم امنیتی Orion قطع کنند و خود SolarWinds هم از مشتریان خواست که فورا به دریافت آخرین به‌روزرسانی موجود بپردازند.

اگرچه نقص امنیتی موجود قابل برطرف‌سازی بود، SolarWinds گفت حداقل ۱۸ هزار مشتری‌اش تحت تاثیر قرار گرفتند. موضوع زمانی بدتر می‌شود که بدانیم حداقل ۴۲۵ تا از این مشتریان، شرکت‌هایی بودند که در لیست ۵۰۰ شرکت ارزشمند فورچن حضور دارند. بنابراین ۱۰ شرکت مخابراتی برتر آمریکا، ۵ شرکت حساب‌داری برتر آمریکا و ۵ زیرشاخه ارتش این کشور جزو مهم‌ترین قربانیان ماجرای SolarWinds و هکرهای روسی بودند.