IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

حمله سایبری

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

5G در ایران، شناسایی آسیب پذیری جدید و مخاطرات پیش روی کاربر

 

با توجه به راه اندازی نسل جدید ارتباطات همراه در برخی مناطق پایتخت کشور و ارتقای شبکه، ایران اکنون در زمره کشورهای دارای فناوری نسل پنجم ارتباطات یا 5G قرار گرفته است. حال محققین در ساختار این نسل جدید آسیب پذیری جدی ای را کشف کرده اند که میبایست مورد توجه مسئولین و کاربران نیز قرار گیرد.

به طور خلاصه، آسیب پذیری شناسایی شده 5G، امکان استخراج داده ها و حملات DoS بین اسلایس های مختلف شبکه بر روی یک اپراتور تلفن همراه را فراهم می کند و مشتریان شرکت ها را در معرض حملات سایبری مخرب قرار می دهد.

محققان امنیت فناوری اطلاعات در ادپتیوموبایل یک آسیب پذیری بزرگ را در ساختار اسلایس شبکه 5G و توابع شبکه مجازی آن شناسایی کرده اند که در پی آن مشخص شده است این آسیب پذیری امکان دسترسی به داده ها و حملات Denial of Service یا DoS بین اسلایس های مختلف شبکه بر روی یک اپراتور تلفن همراه را فراهم می کند که باعث می شود مشتریان آن مجموعه در معرض حملات سایبری مخرب قرار گیرند.

 

5G چیست؟

5G شبکه تلفن همراه نسل 5 ، بعد از شبکه های 1G، 2G ، 3G و 4G که قبلاً معرفی شده بود، استاندارد جهانی ارتباط بی سیم جدید است. جای این نسل شبکه اهمیت پیدا میکند که بدانیم این نوع و نسل جدید شبکه، امکان اتصال تقریبا و همه و تمامی دستگاه ها و وسایل را از جمله ماشین آلات، اشیاء، دستگاه ها و غیره را فراهم می آورد.

فناوری 5G برای ارائه حداکثر سرعت داده های چند گیگابیت بر ثانیه، تأخیر بسیار کم، قابلیت اطمینان بیشتر، ظرفیت گسترده شبکه، افزایش در دسترس بودن و تجربه کاربری یکنواخت تر به بیشتر کاربران ارائه شده است.

 

اسلایس شبکه5G چیست؟

اسلایس شبکه در اصل به اپراتور تلفن همراه اجازه می دهد شبکه اصلی و رادیویی خود را به چندین بلوک مجازی مجزا تقسیم کند که منابع مختلفی را برای انواع مختلف ترافیک فراهم می نماید.

یک مزیت بزرگ اسلایس شبکه 5G برای اپراتورهای این شبکه، توانایی استفاده از توابع لازم برای پشتیبانی از مشتریان خاص و بخش های خاصی از بازار مانند خودروها، مراقبت های بهداشتی، زیرساخت های مهم و همچنین سرگرمی های آنلاین خواهد بود.

برخی از کشورهای پیشرو که از 5G استفاده می کنند نیز از جمله کره جنوبی، انگلستان، آلمان و ایالات متحده، بیشتر تحت تأثیر این آسیب پذیری قرار دارند زیرا شرکت های مختلفی در این کشورها شبکه مستقر کرده و دستگاه های سازگار با این نسل شبکه را می فروشند.

 

آسیب پذیری و سناریوهای حمله

طبق گزارشی که ادپتیوموبایل منتشر کرده است، سه سناریوی حمله خاص ممکن است به دلیل این نقص رخ دهد که با توجه به فناوری مشخص شده امروز، نمی توان سطح و حجم آن را کاهش داد. استخراج داده های کاربر؛ به ویژه ردیابی مکان، DoS در برابر عملکردهای دیگر شبکه و دسترسی به عملکرد شبکه و دسترسی سِری به اطلاعات مربوط به مشتری های دیگر.

علاوه بر این، اپراتور و مشتریان آنها نیز در معرض خطر هستند و داده های حساس موقعیت مکانی را از لو و نشت می دهند؛ که این امر باعث می شود اطلاعات مربوط به شارژ و حتی احتمال قطع شدن عملکرد اسلایس ها و عملکردهای شبکه، از دست برود.

دکتر سیلک هولتمنس، رئیس تحقیقات امنیت 5G در ادپتیوموبایل سکیوریتی پیشنهاد کرده است که:

"وقتی نوبت به امنیت 5G می رسد، صنعت مخابرات باید از یک رویکرد جامع و مشترک برای ایجاد امنیت شبکه ها در ارگان های استاندارد، گروه های کاری، اپراتورها و فروشندگان این خدمات استفاده کند".

"هرچه تعداد بیشتری از شبکه های اصلی به سمت ساختار ابری و معماری مبتنی بر فناوری اطلاعات حرکت می کنند، ابزارهای هک مناسب تری برای هکرها در دسترس قرار می گیرد".

"در حال حاضر، در عمل و حالت عرضه انبوه این نسل، تأثیر حملات به اسلایس های شبکه فقط به تعداد اسلایس های موجود در شبکه های 5G در سطح جهان محدود می شود. اگر این نقص اساسی در طراحی استانداردهای 5G کشف نشده و بدون اصلاح باقی بماند، خطرات قابل توجهی را در پی خواهد داشت".

"ما این موضوع را از طریق مجامع و فرآیندهای متناسب به اطلاع افراد و صنایع رسانیده ایم و خوشحالیم که با اپراتورهای شبکه تلفن همراه و جوامع بررسی استاندارد در جهت برجسته سازی این آسیب پذیری ها و بهبود اقدامات جهت رفع این آسیب پذیری ها در حال کار همکاری هستیم".

 

نتیجه گیری

حال نظر به اینکه نسل پنجم ارتباطات همراه یا 5G به تازگی در کشور عزیزمان ایران راه اندازی شده است، انتظار میرود که مسئولین امر نسبت به حل این مشکلات و پیشگیری از هرگونه آسیب پذیری در آینده به کاربران، جلوگیری به عمل آورده تا شاهد آسیب به زیرساخت های ارتباطی و کاهش سطح اعتماد کاربران نباشیم.

آسیب پذیری امنیتی شدید OpenSSL و ارائه دو به روزرسانی

takian.ir openssl

 

تیم ارائه خدمات و نگهداری OpenSSL برای دو نقص امنیتی بزرگ در نرم افزار خود به روزرسانی هایی را برای رفع مشکل ارائه کرده اند که این آسیب پذیری ها می توانند برای انجام حملات Denial of Service (DoS) و تأیید گواهی های bypass مورد استفاده قرار گیرند.

دو مورد با عنوان CVE-2021-3449 و CVE-2021-3450 مطرح شده اند، که این دو آسیب پذیری در به روزرسانی (نسخه OpenSSL 1.1.1k) که روز پنجشنبه گذشته منتشر شد، برطرف شده اند. در حالی که CVE-2021-3449 بر تمام نسخه های OpenSSL 1.1.1 تأثیر می گذارد، CVE-2021-3450 بر نسخه های OpenSSL 1.1.1h و جدیدتر موثر است.

OpenSSL یک مجموعه نرم افزاری متشکل از توابع رمزنگاری است که پروتکل Transport Layer Security را با هدف ایمن سازی ارتباطات ارسال شده از طریق شبکه رایانه ای پیاده سازی می کند.

طبق یک متن مشاوره ای که توسط OpenSSL منتشر شده است، CVE-2021-3449 مربوط به یک آسیب پذیری احتمالی DoS ناشی از بازگشت مجدد پوینتر NULL است که می تواند اگر در جریان تبادل مجدد کاربر پیام مخرب "ClientHello" در طول پیام بین کاربر و سرور انتقال داده شود، باعث خراب شدن سرور OpenSSL TLS شود. این معزل به عنوان بخشی از تغییرات مربوط به ژانویه 2018 معرفی شده است.

در متن مشاوره گفته شده است که: "اگر یک TLSv1.2 در طی ارسال پیام مجدد ClientHello پسوند signature_algorithms را حذف کند (در حالی که در ClientHello اولیه وجود داشته است)، اما شامل یک پسوند signature_algorithms_cert باشد که نتیجه آن به یک بازگشت مجدد پوینتر NULL منجر شود، نتیجتا این پدیده منجر به خرابی و حمله DoS می شود".

کمپانی نوکیا که گفته میشود این آسیب پذیری و نقص را در 17 ماه مارس سال 2021 گزارش کرده است ، با تغییر کد یک خطی، مشکل DoS را برطرف کرده است.

از طرفی دیگر، CVE-2021-3450 مربوط به یک فلگ X509_V_FLAG_X509_STRICT است که امکان بررسی مجدد امنیت certificate های موجود در یک زنجیره certificate را فراهم می کند. در حالی که این فلگ به طور پیش فرض تنظیم نشده است، اما یک خطا در پیاده سازی بدین معناست که OpenSSL نتوانسته است آنرا بررسی کند (گواهی های غیر CA نباید توانایی صدور سایر گواهی ها را داشته باشند) و در نتیجه باعث ایجاد با‌ی‌پس certificate می شود.

در نتیجه ، این نقص مانع مسدودسازی گواهی های TLS صادر شده که توسط CA های معتبر مرورگر تایید نشده اند، می شود.

OpenSSL اعلام کرده است که: "برای اینکه OpenSSL تحت تأثیر این آسیب پذیری قرار گیرد، یک برنامه باید مستقیما فلگ تأیید X509_V_FLAG_X509_STRICT را تنظیم کند و همچنین یا مقصدی برای تأیید گواهی تعیین نکند یا در مورد کاربر TLS یا استفاده از سرور، مقصد پیش فرض نادیده گرفته شود".

گفته می شود که بنیامین کادوک از آکامای این موضوع را در تاریخ هجدهم ماه مارس سال جاری به تیم خدمات و نگهداری OpenSSL گزارش داده است. این آسیب پذیری توسط شیانگ دینگ و همکاران وی در آکامای کشف شده و همچنین توسط مهندس اصلی نرم افزار سابق رِدهَت و توسعه دهندهOpenSSL ، توماش مراز، یک اصلاحیه نیز ارائه گردیده است.

اگرچه هیچ یک از این دو نقص و آسیب پذیری بر OpenSSL 1.0.2 تأثیر نمی گذارد، اما همچنین لازم به ذکر است که پشتیبانی این نسخه، از 1 ژانویه 2020 پایان یافته است و دیگر به روزرسانی نمی شود. شرکت تاکیان به کاربران نرم افزارهایی که به نسخه آسیب پذیر OpenSSL متکی هستند توصیه میکند که به روزرسانی ها را در راستای کاهش خطرات مرتبط با این نقایص و آسیب پذیری ها، در اسرع وقت نصب و اعمال نمایند.

آلوده شدن ربات ها به باج افزار، دور از انتظار نیست

به گزارش سایت securityweek.com، تا به حال گوشی های هوشمند و رایانه های شخصی دو هدف اصلی حملات هکری بوده اند، با افزایش استفاده از ربات ها شاهد تبدیل آنها به یک هدف دیگر برای حملات هکری خواهیم بود.Takian.ir attacked by ransomware

استفاده گسترده از ربات ها در شرکت های خودروسازی، فروشگاه ها، هتلها، فرودگاه ها، بیمارستان ها و مراکز درمانی می تواند فجایع جدی به بار آورد و حتی زندگی روزمره انسان ها را مختل کند.
ربات های پیشرفته حاوی اطلاعات زیادی در مورد فعالیت های روزمره هزاران انسان بوده و بسیاری از آنها به طور مداوم در حال تبادل هستند و لذا باج گیری از طریق قفل کردن این اطلاعات می تواند به یک کسب و کار پرسود برای هکرها و کلاه برداران اینترنتی مبدل شود.
از جمله اطلاعاتی که از این طریق قابل سرقت است می توان به انبوهی از فایل های صوتی و ویدئویی، داده های مربوط به مسافران، بیماران، مالکان کسب و کارهای حساس و غیره اشاره کرد.
یکی از ربات هایی که در جریان بررسی های موسسه امنیتی آی او اکتیو به شدت آسیب پذیر تشخیص داده شده NAO است که به طور گسترده برای انجام فعالیت های آموزشی و تحقیقاتی در بیش از ده هزار موسسه در نقاط مختلف جهان به کار گرفته می شود. یکی دیگر از این ربات ها به نام سافت بنکر که کارکرد تجاری دارد نیز توسط بیش از دو هزار موسسه و شرکت در حال استفاده است.

اطلاعات یاندکس (Yandex) لو رفت!

شرکت اینترنت‌ محور یاندکس روسیه دچار نشت اطلاعاتی شد و نزدیک به ۵ هزار حساب ایمیل موجود در سیستم‌های آن در معرض خطر قرار گرفت.

takian.ir-yandex-leak-five-thousand-emails
به گزارش سکیوریتی بولوارد، یکی از بزرگ‌ ترین شرکت ‌های اینترنت ‌محور اروپا، خبر از نشت اطلاعاتی داد که ۴۸۸۷ حساب ایمیل را در معرض خطر قرار داد. منشاء این نشت اطلاعاتی، یکی از کارمندان این شرکت بود. یاندکس محبو‌بترین موتور جست و جو در روسیه و پنجمین موتور جست و جوی محبوب در جهان است. خط تولید محصولات مرتبط با اینترنت یاندکس شامل سرویس‌ های ایمیل، تبلیغات آنلاین و... است.

بر اساس یافته های یاندکس یکی از کارمندان این شرکت، برای به دست آوردن منافع شخصی، امکان دسترسی غیر قانونی مجرمان به میل باکس کاربران را فراهم کرده است. این کارمند، یکی از سه ادمین سیستمی است که پشتیبانی فنی میل باکس ها را بر عهده داشت.

طبق گفته یاندکس، تحقیقات در مورد این رخداد آغاز شده و تغییراتی در فرایند دسترسی ادمین ها به سیستم ایجاد شده است. این اقدام میتواند امکان به خطر انداختن داده های کاربران را به حداقل برساند.

تیم امنیتی یاندکس در هنگام بازبینی معمول خود از سیستم ها متوجه این نشت اطلاعاتی شد. این شرکت تاکید کرد که هیچ یک از داده های پرداختی کاربران در معرض خطر قرار نگرفته است.

این شرکت همچنین دسترسی غیرقانونی به میل باکس های در معرض خطر را مسدود کرده است. یاندکس گفت که ما با صاحبان این میل باکس ها تماس گرفته ایم و هشدارهای لازم برای تغییر گذرواژه را به آنها داده ایم.

طبق گزارش ها، ۳۰ درصد از نشت های اطلاعاتی سال ۲۰۲۰ به دلایل درون سازمانی صورت گرفته است. شرکت های سیسکو در ماه دسامبر، آمازون در ماه اکتبر و ADT  در ژانویه امسال نیز به دلایل درون سازمانی مورد هدف قرار گرفته اند.

افزایش تقاضای بازار نرم افزار محافظت از حملات DDoS در بازه 2020 تا 2028

 

حمله DDoS یا Distributed Denial of Service نوعی حمله مخرب است که با ایجاد فشار بیش از حد در وب سایت با میزان بازدید بیشتر از سرور، ترافیک منظم شبکه را مختل می کند. هدف اصلی این نوع حمله سایبری غیرفعال کردن و از کار انداختن وب سایت ها است.

طی سالهای اخیر، این نوع حملات روند رو به افزایش داشته است و متعاقبا تقاضا برای بهترین نرم افزارهای محافظت از DDoS را افزایش می دهد. بسیاری از قطع دسترسی های برنامه ریزی نشده از مرکز داده ها به دلیل حملات DDoS اتفاق افتاده است. درجه بالای خطر DDoS به دلیل دسترسی آسان به ابزارهای لازم برای حمله و سود بالقوه آن از طریق اخاذی است.

این حملات بطور مستقیم مشاغل را هدف قرار داده و منجر به خسارات مالی و جانی قابل توجهی می شود و داشتن راه حل های قوی و مستحکم برای حفاظت از DDoS، تبدیل به امری حیاتی شده است.

طبق گزارش موسسه مارکت ریسرچ ، پیش بینی می شود نرخ رشد مرکب سالانه (CAGR) بازار نرم افزارهای محافظت از حملات DDoS برای سال 2020 تا 2028 به 14 درصد برسد.

 

آماری مهم که نشان از تقاضای روزافزون برای نرم افزاری محافظتDDoS دارد

تقاضا برای بازار نرم افزار DDoS به دلیل افزایش تصاعدی حملات چند جانبه DDoS و سهولت دسترسی به نفرات برا استخدام در حملات DDoS، در حال افزایش است.

این آمار، رشد مداوم در حملات مرگبار DDoS و نیاز قریب الوقوع به داشتن یک فضای محافظت قوی از DDoS را نشان می دهد.

  • بین سالهای 2014 و 2017 افزایش محسوسی در حملات DDoS برای نرخ افزایش 2.5 برابری مشاهده شده است.
  • تا سال 2020 ، تعداد کل حملات DDoS به 17 میلیون نفر رسید که هزینه هر کدام از این حملات بین 20 تا 40 هزار دلار در ساعت بوده است.
  • در سه ماهه دوم سال 2018، میانگین حجم و اندازه چنین حمله ای 26.37 گیگابایت بر ثانیه بوده است، که 967٪ افزایش یافته و در سه ماهه اول سال 2019 به 100 گیگابیت بر ثانیه رسیده است.
  • بزرگترین حمله تاکنون، حمله به GitHub در ماه فوریه سال 2018 با 1.3 ترابابت بر ثانیه بوده است.
  • چین بالاترین رتبه در بین عاملین حملات DDoS در سه ماهه سوم سال 2020 را داشته و 70.20٪ از کل حملات را به خود اختصاص داده است.
  • در سه ماهه سوم سال 2020، چین با 72.83٪ حملات، کشور پیشرو در اهداف حملات بوده است.
  • میزان فعالیت حملات DDoS بین سه ماهه چهارم سال 2019 و سه ماهه اول سال 2020، 542% افزایش یافته است.

پیش بینی می شود که حجم جهانی محافظت و کاهش حملات DDoS با افزایش 14 درصدی نرخ رشد مرکب سالانه ، از 2.4 میلیارد دلار در سال 2019 به 6 میلیارد دلار تا سال 2028 برسد.

عوامل موثر در رشد بازار محافظت و کاهش حملاتDDoS

حملات سایبری در چند وقت اخیر افزایش یافته است که بیشتر به دلیل تغییر جهت دیجیتالی شدن، افزایش تعداد دستگاههای متصل به اینترنت و افزایش قدرت محاسباتی پردازنده ها است. برای کاهش این تهدیدات نیاز به توسعه راه حل های نرم افزاری به شدت احساس میشود.

از اصلی ترین عواملی که می تواند باعث رشد بازار محافظت و کاهش حملات DDoS را بین سالهای 2020 تا 2028 بشود، افزایش نفوذ اینترنت اشیا (IoT) و دستگاه های متصل به اینترنت و تقاضای شرکت های کوچک و متوسط ​​است.

سازمان ها متوجه تأثیر این حملات شده اند و می خواهند از قبل برنامه ای برای مقاومت در برابر این دست حوادث داشته باشند.

حفاظتDDoS چگونه کار می کند

بسیاری از شرکتها با این سوال روبرو هستند که چگونه از وب سایت خود در برابر حملات DDoS محافظت کنم؟ امروزه فروشندگان زیادی وجود دارند که راه حل های نرم افزاری مختلفی ارائه می دهند که از وب سایت ها در برابر این حملات محافظت می کنند.

از الگوریتم ها و نرم افزار پیشرفته ای برای مدیریت ترافیک ورودی به وب سایت استفاده می کند. دسترسی به ترافیک مشکوک را مسدود می کند و اجازه می دهد موارد غیرمشکوک از  فیلتر آن عبور کنند.

راه حل پیشگیری ازDDoS

برنامه حفاظت DDoS شامل خرید و مدیریت تجهیزاتی است که می توانند ترافیک دریافت کننده را غربال کرده و در برابر حمله مقاومت کنند. سرویس های امنیتی مبتنی بر ساختار ابری و دستگاه های شبکه هستند که تهدیدات و مخاطرات ورودی را کاهش می دهند.

انتظار می رود بین سالهای 2020-2028 ، راه حل ها و خدمات سخت افزاری برای اطمینان از اتصال شبکه و کاهش خرابی در صورت خرابی تجهیزات یا برق رشد کنند.

حالت های گسترش و استقرار محافظت ازDDoS

وقتی صحبت از گستردگی میشود، بازار محافظت و کاهش حملات DDoS به ساختار ابری ، درون ساختاری و ترکیبی تقسیم می شود. انتظار می رود مدل ترکیبی در دوره پیش بینی شده، حداکثر رشد را داشته باشد. این حالت به سازمانها اجازه می دهد تا داده های با اهمیت خود را در ساختار خود نگه دارند و داده غیر مهم را به فضای ابری منتقل کنند.

در دوران اخیر، بسیاری از حملات DDoS توسط راهکار های داخلی و مبتنی بر ابر قابل شناسایی نبوده و سازمان ها نمی توانستند آنها را شناسایی و خنثی کنند. بنابراین آنها در حال تغییر به سمت یک مدل استقرار ترکیبی هستند.

بازیگران اصلی ارائه راه حل های تشخیص و کاهشDDoS

با افزایش حملات DDoS، تعداد عوامل ارائه دهنده راه حل های نرم افزاری برای شناسایی و کاهش حملات افزایش پیدا کرده اند.

بزرگترین عوامل حاضر در بازار عبارتند از نت‌اسکات، اینداسفیس مینیجد DDoS میتیگیشن، آکامای تکنولوژیز، کلودفلیر، لینک11، هوآوی تکنولوژیز، وریساین، نکسوس گارد.

بزرگترین سهم بازار در بازار محافظت و کاهشDDoS

طبق گزارش مجموعه مارکت ریسرچ، آمریکای شمالی بیشترین و بزرگترین سهم را در بازار محافظت و کاهش حملات DDoS در دوره پیش بینی شده داشته است. محرک های اصلی برای داشتن یک بازار بزرگ این است که این یکی از ابتدایی ترین راه حل های محافظت و کاهش DDoS بود و هیچ ارائه دهنده دیگری در این زمینه وجود ندارد. بسیاری از مشاغل در آمریکای شمالی برای در نطفه خنثی کردن این تهدیدات، راهکارهای محافظت و کاهش حملات DDoS را به عمل درمی آورند.

آسیا و اقیانوسیه (APAC) نیز شاهد افزایش رشد بازار خود را به دلیل رشد اقتصادی سریع و ثبات در کشورهای در حال توسعه و اصلاحات نظارتی بهتر خواهند بود.

در دوران اخیر و پیش رو، با تغییر روند تهدیدات و تاثیر حملات شبکه های DDoS در طول زمان، حملات DDoS بیشتر و پیچیده تر می شوند. اگرچه حجم حملات کاملا یکسان است، تعداد حملات به برنامه های خاص و هدف های حساب شده، به مقدار قابل توجهی افزایش می یابد.

هدف از راه حل های نرم افزاری حفاظت از حملات DDoS، کاهش بازه زمان خرابی حاصل از این حملات و افزایش در دسترس بودن وب سایت ها در راستای حفظ تولید و کارآیی مشاغل است. راه حل های نرم افزاری درون ساختاری، ابری و ترکیبی برای شرکت های کوچک، متوسط و بزرگ، قطعا بسیار راهگشا است.

افزایش حملات به شرکت های کوچک و متوسط و ناآگاهی کاربران

 

حملات سایبری به طور مکرر و بسیار جدی به ویژه بر شرکت های کوچک و متوسط (SME)، روند فزاینده ای را از خود نشان میدهند. متخصصان حوزه امنیت سایبری ارزیابی کرده اند که حملات سایبری در 5 سال آینده بیش از 5 تریلیون دلار هزینه به سازمان ها و نهادها تحمیل خواهد کرد.

ساده انگارانه است اگر تصور کنید که سرمایه گذاری های مستقل و هدف گذاری شده، تمرکز خود را از مجرمان سایبری دور نمایند، اما به طرز بسیار نامطلوبی، این نکته نمی تواند دور از حقیقت باشد. هر ساله تعداد زیادی از سازمان های کوچک قربانی حملات برنامه های مبتنی بر وب می شوند، بدین معنی که وقتی مجرمان برای دسترسی به سرور یا پایگاه داده از آسیب پذیری های کدگذاری سوءاستفاده می کنند، این نوع تهدیدات مخرب سایبری به عنوان برنامه های مبتنی بر وب شناخته می شوند.

به گزارش سایت ریکان‌ویت‌می، در مقایسه با حملات علیه سازمانهای بزرگتر، تعداد این حملات کمتر به نظر می رسد زیرا آنها معمولاً دارای یک تیم امنیتی داخلی هستند که به طور مداوم امنیت این نهادها را تامین میکنند و حتی اگر حمله ای صورت گیرد، توسط اخبار و دستگاه های رسانه های اجتماعی تحت پوشش قرار می گیرند، در حالی که حمله به شرکت های کوچکتر مورد توجه قرار نمی گیرد و تحت حمایت چندانی قرار نمیگیرند. این می تواند به نهادهای سرمایه گذاری خصوصی این احساس ناخوشایند را بدهد که همه دنیا در شرایط ایده آلی قرار دارند که از امنیت سایبری کافی برخوردار هستند. با این حال، شرکتهای کوچک در بیشتر موارد نسبت به شرکتهای بزرگ ناتوانتر هستند زیرا دارای سرمایه کمتری جهت اعمال تعهد امنیتی هستند.

 

مخاطرات قرار گرفتن تحت حملات سایبری

حملات سایبری خطری واقعی برای شرکتهای خصوصی هستند. این موضوع توسط موسسه پونمون در سال 2018 از طریق یک نظرسنجی بزرگ در زمینه امنیت سایبری تأیید شد. این بررسی شامل 1،045 سازمان کوچک و متوسط ​​در ایالات متحده آمریکا و انگلیس است.

در اینجا به برخی از یافته های اساسی اشاره شده است:

67% از پاسخ دهندگان در سال 2018 حداقل یک بار متحمل حمله سایبری شده اند. (در مقایسه با 61٪ در سال قبل).

کمی بیشتر از نیمی از پاسخ دهندگان که اطلاعات خود را از دست داده بودند و ادعا کردنده اند دلیل آن خطای کاربر انسانی ناآگاه یا یک کاربر بیرون از سازمان است.

سهم عظیمی از پاسخ دهندگان با حمله مهاجمان یا بدافزار مواجه شدند که مانع یافتن علت این اختلال یا مشکل آنتی ویروس سازمان آنها شده است.

دستگاه های تلفن همراه آسیب پذیرترین نقاط ورودی به شبکه های رایانه ای شرکت ها محسوب میشوند.

 

نوع حملات

  • بدافزار: بدافزار نام جمعی برای تعدادی از انواع نرم افزارهای مخرب است، از جمله ویروس ها، باج افزارها و جاسوس افزارها. اختصاریست برای نرم افزارهای مخرب؛ بدافزار به طور معمول شامل کدی است که توسط مهاجمان سایبری تهیه شده و برای آسیب رسانی گسترده به داده ها و سیستم ها یا دستیابی غیر مجاز به شبکه طراحی شده است.
  • فیشینگ: فیشینگ یک جرم سایبری است که در آن هدف یا هدفهای حملات، از طریق ایمیل، تلفن یا پیام متنی توسط شخصی که در شکل یک نهاد و سازمان قانونی برای جلب افراد جهت ارائه داده های حساس مانند اطلاعات شناسایی شخصی، اطلاعات بانکی و کارت اعتباری و رمزهای عبور است، مورد هجمه قرار میگیرند.
  • عدم پذیرش حملات مدیریتی: حمله ای برای خاموش کردن دستگاه یا شبکه که آن را برای کاربران مورد نظر خود غیرقابل دسترسی می کند. حملات DoS جهت نیل به هدف خود، با ارسال حجم زیادی ترافیک یا ارسال اطلاعات، باعث از دسترس خارج شدن آنها می شوند. در هر دو مورد، حمله DoS کاربران مجاز (کارمندان، اعضا یا دارندگان حساب) را از سرویس یا منابعی که امکان دریافت خدمات داشته اند، محروم می کند.
  • حملات مرد میانی یا Man-in-the-center: در حمله مرد میانی، یک هکر خود را در بین تو مرکز تبادل داده قرار میدهد تا اطلاعات را گردآوری و سرقت نماید.
  • تزریق SQL: این حمله شامل کدهای مخربی است که در یک عملگر SQL اعمال می شود (نوعی برنامه ریزی مدیریت پایگاه اطلاعات ایجاد شده توسط مایکروسافت).
  • سوءاستفاده Zero-day: این مورد حمله ای است که بین زمان آشکار شدن ضعف و تا رفع شدن آن اتفاق می افتد.

حملات می تواند از داخل یا خارج سازمان شما به وقع بپیوندد: حملات در داخل به طور منظم توسط نفرات ناسالم عضو مجموعه اجرا می شود. حملات بیرونی نیز ممکن است توسط کلاهبردارانی که در هر جای کره زمین یافت می شوند، انجام شود. حتی برخی از آنها ممکن است توسط agent های شرکت های دولتی انجام شوند.

 

تاثیر این حملات بر مشاغل کوچک

در یک حمله سایبری، پارامترهای متعددی میتوانند بر یک کسب و کار تاثیر بگذارند:

  1. آسیب رسیدن به یا از دست دادن اطلاعات الکترونیکی و دیجیتال: یک حمله می تواند به اطلاعات دیجیتالی موجود در رایانه های شخصی شما آسیب برساند. برای مثال یک آلودگی (بدافزار) می تواند سوابق تجاری شما را از بین ببرد، که به طبع تولید مجدد آنها یک چرخه طولانی و انرژی بر است که شامل تفکیک کردن مستندات و اطلاعات قدیمی است.
  2. هزینه های اضافی: این حملات برای ادامه روند کار ممکن است هزینه های اضافی ایجاد کنند. مثلا یک هکر به دو رایانه شخصی آسیب می رساند و شما را مجبور به جایگزینی دو ایستگاه دیگر می کند تا حداقل بتوانید تجارت خود را تا زمان برطرف شدن مشکل آنها رایانه های اسیب دیده، ادامه دهید.
  3. از دست دادن درآمد: ممکن است دچار مشکلات مالی و کاهش سرمایه شوید. به طور مثال حمله به زیرساخت مدیریتی، شما را وادار می کند تا تجارت خود را به مدت دو روز تعطیل کنید. این تعطیلی دو روزه باعث می شود هم درآمد و هم مشتری خود را از دست بدهید.
  4. مشکلات حقوقی امنیت شبکه و حریم خصوصی آن: به احتمال زیاد یک مجرم دیجیتال اطلاعات را از ساختار رایانه شما به سرفت میبرد و آن اطلاعات در اختیار طرف دیگری قرار میدهد (مثلا مشتری خاص خود)؛ این جمع آوری اطلاعات ممکن است باعث ثبت شکایت از شرکت شما و متهم شدنتان بشود. برای مثال یک برنامه نویس اطلاعات مربوط به تغییرات یا اقدامات آینده مشتری را می گیرد. این اطلاعات به دلیل سرقتی که رخ میدهد در اختیار یک هکر قرار میگیرد. متعاقبا مشتری از شما به اتهام اینکه بی احتیاطی شما باعث ایجاد یک ضرر مالی در سازمانش شده است و عدم توانایی در تأمین اطلاعات شکایت می کند.
  5. ضررهای تحمیلی: یک هکر کلاه سیاه اطلاعات حساس (شما یا شخص دیگری) را می دزدد و بعد از آن از شما 50 هزار دلار به عنوان باج مطالبه مینماید و در غیر اینصورت اقدام به ارسال آن اطلاعات در اینترنت می کند. سپس دوباره، شما به طور تصادفی باج افزاری را بارگیری می کنید که اطلاعات شما را رمزگذاری می کند و آن را غیرقابل دسترس و استفاده مینماید. مهاجم در ازای ارائه رمز الکترونیکی، تقاضای پرداخت پول می کند تا به شما امکان بدهد که به فایل های رمزگذاری شده دسترسی پیدا کنید.
  6. هزینه های اطلاع رسانی: همچنین به عنوان هزینه های اخطار نیز شناخته می شود؛ اکثر کشورها قوانینی را تصویب کرده اند که شما را ملزم مینماید تا به افرادی که اطلاعاتشان در زمان در اختیار داشتن آنها توسط شما مورد حمله قرار گرفته است، مشاوره و خدمات ارائه دهید. به همین ترتیب شما ملزم خواهید بود که در مورد گام هایی که نیاز است و در راستای حل مشکلات برمی دارید، اشاره کنید.
  7. آسیب رسیدن به اعتبار شما: یک حمله سایبری می تواند به شدت به جایگاه و اعتبار سازمان شما آسیب برساند. مشتری های احتمالی ممکن است از کار با شما خودداری کنند، زیرا اعتماد شما به چالش کشیده شده است و سازمان شما از کنترل ساختار داخلی خود ناتوان است یا حتی هرگونه ارتباط گرفتن و رابطه داشتن با شرکت شما به جایگاه و اعتبار آنها آسیب می رساند.

افشای ارتباط گروه تحت حمایت دولت و باج افزار Hades با حملات اخیر مایکروسافت Exchange

 

کارشناسان امنیتی، باج افزار Hades و گروه تحت حمایت دولت با نام Hafnium را که در پشت پرده حملات اولیه به سرورهای Microsoft Exchange بوده است، با یکدیگر مرتبط دانسته اند.

پرسنل این باج افزار همچنین مسئول حملات به یکی از بزرگان صنعت حمل بار با نام فوروارد ایر و تعداد انگشت شمار دیگری از شرکت ها بوده اند. این مسئله مرتبط با گروه عملیاتی روسی بدنام فعال در زمینه جرایم سایبری با نام اویل کورپ (Indrik Spider) بوده است که به شکل گونه جدیدی از باج افزار WasterdLocker خود، که برای کمک به گروه های دور زننده تحریم هایی که موجب دلسردی و انصراف قربانیان از پرداخت هزینه ها می شود، طراحی شده است.

با این حال ، گزارش جدیدی از اویک سکیوریتی، ادعا می کند دامنه ای را برای command-and-control در حمله Hades در ماه دسامبر سال 2020، درست قبل از کشف حملات سرور Zero-day Exchange پیدا کرده است.

جیسون بویس، معاون اویک سکیوریتی، توضیح داد: "تیم ما پس از به خطر افتادن و رمزگذاری جهت بررسی وضعیت حادث شده، ورود کردند و در این مورد خاص، دامنه هافنیوم به عنوان عامل ایجاد خطر در طی حمله Hades شناسایی شد".

وی افزود: "علاوه بر این ، این دامنه با یک سرور Exchange مرتبط بود و در روزهای منتهی به حادثه رمزگذاری برای command-and-control استفاده می شده است".

وی همچنین ادعا کرد که در کل دو احتمال وجود دارد: یک عامل تهدید کننده بسیار حرفه ای، در پوشش Hades در در این کار دست دارد و یا اینکه چند گروه مستقل به دلیل ضعف امنیتی، به طور تصادفی از همان محیط استفاده می کنند.

یافته های دیگر Hades را به عنوان یک گروه باج افزار غیرمعمول معرفی و مشخص می کند. تعداد بسیار کمی از قربانیان شناسایی شده اند و بیشتر به نظر می رسد از بخشهای صنایع تولیدی باشند.

بویس همچنین به "پیچیدگی بسیار کمی" در سایت های نشت راه اندازی شده توسط این گروه اشاره کرد، شامل حساب توییتر خود، صفحه ای در هک‌فرومز و صفحات پیج‌بین و هیست‌بین که متعاقبا حذف شده اند.

وی افزود: "همانطور که متخصصین این دست حوادث می دانند، برای عاملین و گردانندگان باج افزار بسیار معمول است که سایت هایی را برای نشت داده های خود ایجاد کنند، اما آنچه در مورد Hades جالب بود این است که آنها از روش هایی برای نشت و سایت های خود استفاده کردند که معمولا در مدت زمان بسیار کوتاهی از دسترس خارج شده اند".

"ما می دانیم که عامل حملات مبلغی در حدود 5 تا 10 میلیون دلار به عنوان باج درخواست کرده و جالب اینکه در پاسخ‌دهی به افراد، بسیار کند عمل میکند. در بعضی موارد، ممکن است اصلاً پاسخی نداده باشند. در موردی نیز، یکی از کاربران توییتر حتی اعلام کرده است "TA هرگز پاسخ نمی دهد". اگر فقط چند سازمان مورد حمله قرار گرفته بودند، چرا باید پاسخگویی به درخواست های باج برای این همه مدت طولانی زمان ببرد؟ آیا انگیزه بالقوه دیگری در این حمله وجود داشته است؟ چرا از آن زمان تا کنون خبری از Hades نبوده است؟".

بویس همچنین خاطر نشان کرد که داده های فاش شده در سایت ها بسیار کمتر از اطلاعاتی است که در اصل گروه به سرقت برده است، که مربوط به مراحل دقیق و جزئیات تولید است.

این گزارش همچنین به بازماندگان فعالیتهایی در گروه باج افزاری TimosaraHackerTerm (THT) در برخی از محیط های کاربری قربانیان Hades، چند هفته قبل از سری حملات ثانویه اشاره داشت. این موارد شامل استفاده از Bitlocker یا BestCrypt برای رمزگذاری، اتصال به آدرس IP کشور رومانی و استفاده از VSS Admin برای پاکسازی نسخه های shadow copy در دستگاه اصلی است.

اینترنت و فضای سایبری عرصه تازه‌ای برای سیاست

واقعیت این است که بر خلاف آنچه اکثریت مردم گمان می‌کنند، فضای سایبری فضایی مجازی و غیرواقعی نیست. درواقع، کاربرد کلمات مجازی موجب گمراه کردن افراد و تغییر مسیر ایده‌ها در این حوزه شده است. فضای سایبری حوزه جدیدی برای اثرگذاری محسوب می‌شود و نتیجه دوستی، همکاری، رقابت، دشمنی و حتی جنگ بین کشورها و دیگر عوامل به شمار می‌رود. این موارد به روشنی نشان می‌دهد که اینترنت و فضای سایبری عرصه تازه‌ای برای سیاست پدید آورده است؛ فضایی که عوامل فعال و سیاست‌گذاران آن را افراد، گروه‌ها و دولت‌ها تشکیل می‌دهند.Takian.ir CyberSpace

در کشورهای نوظهور، فضای سایبری پایه‌ای برای رشد اقتصادی و همچنین سرعت پیشرفت صنعتی و فنی در بسیاری از بخش‌ها محسوب می‌شود؛ اما در برخی از کشورها (نظیر چین)، این فضا به عنوان تهدیدی برای نظام سیاسی حاکم به شمار می‌رود و این امر به‌طورکلی به کاربرد فیلترها و موانعی برای کنترل دسترسی به اینترنت و استفاده از آن منجر می‌شود. برای برخی از کشورها، فضای سایبری ممکن است چالشی ژئوپلیتیک در توسعه روابط بین‌المللی باشد؛ به نظر می‌رسد که تصمیم گروه بریکس برای راه‌اندازی یک شبکه فیبری زیردریا در اطراف امریکا نیز از همین نگرانی نشئت گرفته است.
بنابراین، برخی از این کشورها با ایجاد یک درگاه (پورت) مستقل، در حال تلاش برای کنترل نقاط دسترسی به اینترنت هستند. اگرچه این رویکرد با طرح کلی اینترنت برای دسترسی به کلیه شبکه‌ها ناسازگار است، می‌تواند از سیاست داخلی کشورها (کنترل کردن محتوای اطلاعاتی فرامرزی) و همچنین سیاست خارجی کشورها (آمادگی دفاعی در برابر حملات احتمالی تحت چهارچوب دفاعی) بهره‌مند شود.

در عرصه فضای سایبری، جمهوری خلق چین، علاوه بر نظارت و کنترل اینترنت، سیاست دیگری را نیز در پیش گرفته است:
توسعه فعالیت‌های تهاجمی عبارت است از قابلیت‌های جاسوسی سایبری، خنثی‌سازی یا از کار انداختن موقت سامانه‌های اطلاعاتی ملی.
از سال 2006، رویدادهایی به وقوع پیوسته است که نشان می‌دهد که سرویس‌های چینی مشغول جاسوسی از سامانه‌های مختلف کشورهای غربی (امریکا، سازمان ملل و غیره) بوده‌اند و تحلیل‌های صورت گرفته توسط شرکت‌های امنیت سایبری نشان می‌دهد که یک یا حتی چند عملیات جاسوسی سایبری علیه دولت‌ها، شرکت‌های چندملیتی و تعدادی از سازمان‌های جهانی در حال انجام است.

در حال حاضر، سوءاستفاده روزافزون از نقص‌ها و کمبودهای سامانه‌های اطلاعاتی و شبکه‌های سایبرنتیک و تشدید تبعات آن، هدف گرفتن زیرساخت‌های حساس، ارتش و دولت موجب بروز فعالیت‌های مخرب در حوزه جرائم سایبری شده است. شروع جنگ در نظر گرفته می‌شود و به انتقام جنگی یا سایبری منتهی می‌شود. به همین صورت، کاخ سفید در سند «راهبرد بین‌المللی فضای سایبری» بر حق دفاع از خود در برابر حملات سایبری تأکید می‌ورزد. این مؤلفه‌ها به احتمال ایجاد اختصاصات، سلاح‌ها و سازمان‌هایی منجر شده است که قلدری سایبری را در بافت گسترده‌تری از اسناد راهبردهای دفاع سایبری هدف می‌گیرد؛ به‌طوری‌که هدف اصلی و نهایی آن باید انتقال از راهبرد دفاعی مستحکم بر مبنای خطوط دفاع مغناطیسی و ایجاد رویکردی با راهکارهای امنیتی گسترده باشد.
بنابراین، بسیاری از کشورها تقریباً اعلام کرده‌اند که توسعه قابلیت‌های دفاع سایبری خود را یک ضرورت می‌دانند (یعنی می‌خواهند که به فرماندهی و تجهیزات ضدحمله مجهز شوند) تا بتوانند به حملاتی که احتمالاً زیرساخت اصلی بخش‌ها را هدف می‌گیرد، پاسخ مناسب نشان دهند.
تکامل قابلیت‌های سایبری شامل امکان توسعه عملیات‌های تهاجمی علیه افراد و سازمان‌هایی می‌شود که ممکن است درگیر فعالیت‌های خصمانه شوند، به‌ویژه تهدید به انتقام‌گیری از مهاجمان بالقوه صورت می‌گیرد تا ضمن اثرگذاری بر محاسبات راهبردی آنها، از اقدام آنها برای انجام فعالیت‌های مخرب ممانعت به عمل آورد.

مطمئناً ارائه چنین راهبرد سایبری مستلزم بازتعریف راهبردهای کشورهای غربی در حوزه امنیت سایبری است؛ یعنی، بازتعریف سلاح‌هایی که باید برای واکنش به مسائل امنیت سایبری فعلی و آتی توسعه داده شود؛ و همچنین بازتعریف فلسفه اساسی مسائل امنیت سایبری به گونه‌ای که همکاری عملیاتی بین بخش‌های مختلف از جمله بخش‌های خصوصی، اجرایی و نیروهای امنیتی و حتی دولتی میسر شود.

درواقع، مبنای سیاست سایبری چین بر پایه جذب فناوری‌های اطلاعاتی و ارتباطی به‌منظور دستیابی به مزایای اقتصادی و همچنین پایه‌ریزی راهبرد جنگ اطلاعاتی شکل گرفته است که در آن، سامانه‌ها امکان دسترسی ارتش آزادی‌بخش خلق چین را به سامانه‌های متصل به اینترنت فراهم می‌کنند و در نتیجه، امنیت زیرساخت‌ها، مبادلات و داده‌های ذخیره شده توسط دولت‌ها، به‌ویژه دولت‌ها و کاربران غربی در معرض تهدید قرار می‌گیرد. از این چشم‌انداز، می‌توان گفت که چین از مدت‌ها قبل دارای سامانه بازدارنده سایبری بوده است که ظاهراً ابزاری برای جاسوسی سایبری در جهان به شمار می‌رود.

بالاخره دلیل اصلی بزرگترین نشت اطلاعاتی سولارویندز مشخص شد!

 

در حالی که محققان امنیت سایبری به حمله گسترده علیه زنجیره تامین SolarWinds ادامه میدهند، مدیران ارشد شرکت خدمات نرم افزاری مستقر در تگزاس، یک کارآموز را مقصر آسیب رمز عبور مهمی میدانند که برای سال ها مورد توجه قرار نگرفته بود.

takian.ir solarwinds blames intern for weak password that led to biggest attack in 2020

در ابتدا اعتقاد بر این بوده است که رمز عبور "SolarWinds123" از 17 ژوئن سال 2018 و قبل از پیکربندی ناصحیح در 22 نوامبر 2019 از طریق داده های Github در دسترس عموم بوده است.

اما در جلسه استماع که در روز جمعه و در برابر کمیته های نظارت، اصلاحات و امنیت داخلی مجلس در SolarWinds برگزار شد، مدیرعامل مجموعه (سوداکار راماکریشنا) شهادت داد که رمز عبور از اوایل سال 2017 مورد استفاده قرار گرفته است.

در حالی که تحقیقات مقدماتی در مورد این حمله نشان داد اپراتورهایی که عامل جاسوسی بوده اند موفق شده اند از اوایل اکتبر 2019 با ایجاد نرم افزار و همچنین ایجاد زیرساخت امضای کد از پلت فرم SolarWinds Orion برای تحویل بسته به Sunburst Backdoor بهره ببرند، حال آنکه تلاش های Crowdstrike برای پاسخگویی با استناد به یک جدول زمان بندی تجدید نظر شده نشان میدهد که اولین نقص شبکه SolarWinds در 4 سپتامبر 2019 ایجاد شده است.

تا به امروز دستکم 9 سازمان دولتی و 100 شرکت خصوصی به عنوان یکی از پیچیده ترین و برنامه ریزی شده ترین عملیات شامل نفوذ و رسوخ عامل مخرب به سیستم عامل نرم افزار Orion با هدف به خطر انداخت مشتریانشان، تخلف کرده و تحت حمله قرار گرفته اند.

اشتباهی که یک کارآموز مرتکب شد

کتی پورتر ، نماینده کالیفرنیا ، گفت: "من رمز عبور قوی تری نسبت به "solarwinds123" دارم تا بچه هایم را از تماشای YouTube بیش از حد در iPad خود بر حذر دارم"؛ "شما و شرکت شما قرار بود مانع خواندن ایمیل های وزارت دفاع توسط روس ها شوید".

راماکریشنا در پاسخ به پورتر گفت: "به زعم بنده، این رمز عبوری بوده است که یک کارآموز در سال 2017 در یکی از سرورهای وی استفاده شده که به تیم امنیتی ما گزارش شد و بلافاصله برداشته و حذف شده است".

مدیر عامل سابق مجموعه، کوین تامپسون اظهارات راماکریشنا را در هنگام شهادت تکرار کرد و گفت: "این مربوط به اشتباهی بود كه یك كارآموز مرتكب شد. آنها خط مشی و اصول رمز عبور ما را نقض كردند و این رمز عبور را در حساب خصوصی GitHub خود قرار دادند". وی افزود: "به محض اینکه شناسایی این مورد شد و به اطلاع تیم امنیتی من رسید، آنها این نقص قانون را حل و فصل کرده و از این آسیب جلوگیری کردند".

محقق امنیتی، وینوت کومار در ماه دسامبر افشا کرد که وی به شرکتی به داده های GitHub دسترسی عمومی دارد، اطلاع داده است به وضوح اعتبارنامه های FTP اطلاعات وب سایت دانلود شرکت نشت پیدا کرده است و افزون بر آن، یک هکر می تواند از اعتبارنامه برای بارگذاری یک دستور و کد اجرایی مخرب استفاده کند و متعاقبا آن را در بروزرسانی های SolarWinds بارگذاری کند.

در هفته های پس از افشای اطلاعات ، SolarWinds در ژانویه 2021 با یک دادخواست طبقاتی روبرو شد که ادعا می کند این شرکت نتوانسته است اعلام کند که "از اواسط سال 2020، محصولات نظارت بر SolarWinds Orion دارای آسیب پذیری ای بوده اند  که به هکرها اجازه داده است تا سرور مورد نظر خود را به خطر بیاندازند و بروزرسانی های سرور SolarWinds دارای پسوردی بسیار ساده بوده اند (solarwinds123) که به متعاقب آن هدف تحت آسیب بسیار جدی قرار گفته است.

ناسا و سازمان هواپیمایی فدرال نیز هدف قرار گرفته اند

اعتقاد بر این است که حداکثر 18000 مشتری از SolarWinds به روزرسانی تروجان Orion را دریافت کرده اند، اگرچه عامل اجرایی و تهدید کننده این عملیات، با دقت اهداف خود را انتخاب کرده و تصمیم گرفته بوده است تنها در موارد با ضریب آسیب پذیری بالا با استفاده از بدافزار Teardrop مبتنی بر اینتل در هنگام شناسایی اولیه ، حملات را فقط در چند مورد در محیط هدف برای حساب های با ارزش بالا اقدام کند.

به گزارش واشنگتن پست، علاوه بر نفوذ به شبکه های مایکروسافت، CrowdStrike، Malwarebytes، FireEye و Mimecast، گفته میشود که مهاجمان از SolarWinds به عنوان سکوی پرشی برای نفوذ به اداره ملی هوا و فضا (NASA) و سازمان هواپیمایی فدرال (FFA) استفاده کرده اند.

هفت سازمان متخلف دیگر نیز شامل وزارت امور خارجه، دادگستری، بازرگانی، امنیت داخلی، انرژی، خزانه داری و موسسات ملی بهداشت هستند.

ریاست مایکروسافت، برد اسمیت در جلسه استماع گفت: "علاوه بر این برآورد، ما قربانیان دیگری در دولت و بخش خصوصی در کشورهای دیگر شناسایی کرده ایم و معتقد هستیم که به احتمال زیاد قربانیان دیگری که هنوز شناسایی نشده اند، از قلم افتاده اند. شاید علی الخصوص در مناطقی که مهاجرت ابری به اندازه کشور آمریکا پیشرفته نیست این موارد بیشتر نیز باشد".

ادعا میشود که گروه مهاجم روس تبار باشند با استفاده از مانیکرهای مختلف شامل UNC2452 (FireEye)، SolarStorm (Palo Alto Unit 42)، StellarParticle (CrowdStrike)، و Dark Halo (Volexity)  تحت تعقیب و ردیابی قرار گرفته اند.

آن نیوبرگر، معاون مشاور امنیت ملی ماه گذشته در جلسه توجیهی کاخ سفید گفت: هکرها این نفوذ هک را از داخل ایالات متحده آغاز کرده اند، که این امر امکان نظارت بر کار آنها را برای دولت آمریکا دشوارتر کرده است". همچنین وی افزود: "این یک عملیات پیچیده است که آنها تمام تلاش خود را برای پنهان کردن مسیرهای اقدامات خود به کار بسته اند. ما معتقدیم که برنامه ریزی و اجرای این عملیات، ماه ها طول کشیده است".

اتخاذ رویکرد "امنیت در طراحی"

اسمیت حمله سایبری SolarWinds را به "یک سری حملات نفوذی خانگی" تشبیه کرده است و خواستار تقویت زنجیره های تامین نرم افزار و سخت افزار بخش فناوری و همچنین ترویج به اشتراک گذاری گسترده تر اطلاعات تهدید و نفوذ برای انجام پاسخ های بی درنگ به هنگام چنین حوادثی، شده است.

بدین منظور، مایکروسافت پرسش های متن باز CodeQL را برای جستجوی فعالیت Solorigate مورد استفاده قرار داده است، که به گفته آن میتواند توسط سازمان های دیگر برای تجزیه و تحلیل کد منابع در مقیاس خود و بررسی شاخص های سازش یا IoCs و الگوهای رمزگذاری مرتبط با جمله مورد استفاده قرار گیرد.

در یک طرح توسعه مرتبط نیز، محققان امنیت با سایبری وال استریت ژورنال صحبت کرده و فاش کردند که هکرهای روسی مظنون، از مراکز داده رایانش ابری آمازون برای ایجاد و اتصال قسمت اصلی این کمپین استفاده کرده اند و بدین ترتیب حملات و تاکتیک هایی که توسط مهاجمین استفاده شده را تا حدودی برملا و مشخص کرده اند. هر چند که این غول تکنولوژی تا کنون اطلاعات بیشتری در مورد فعالیت هکرها علنی نکرده است.

در انتها SolarWinds به نوبه خود گفته است که دانش به دست آمده از این حادثه را برای تبدیل شدن به یک شرکت "Secure by Design" یا امنیت در طراحی به کار گرفته و از این نرم افزار برای حفاظت از دیگر تهدیدات و همچنین شناسایی و حذف تهدیدها در تمام نقاط شبکه خود شامل اقدامات برای حفاظت از محیط توسعه خود، به کار میگیرد.

بدافزار Gozi ISFB در سال 2018 بطور گسترده فعالیت خواهد کرد

به گزارش سایت scmagazineuk.com ؛ طبق تحقیقات صورت گرفته توسط شرکت امنیت سایبری «Talos» تروجان بانکداری «Gozi ISFB» به طور گسترده توسط بات نت «Dark Cloud» منتشر شده است و مؤسسات مالی را هدف قرار داده است.Takian.ir Gozi ISFB

این بدافزار که کار اصلی اش مانیتورینگ و سرقت اطلاعات است از شش ماه گذشته در حال انتشار و گسترش بوده است. این بدافزار در سطح وسیعی بین بانک ها و مؤسسات مالی منتشر شده است.

شروع فعالیت این بدافزار از سه ماهه چهارم سال 2017 کلید خورد است و در جریان نفوذ این بدافزار در اوایل فعالیت های خود ایمیلی حاوی یک فایل «Microsoft Word» ارسال می کرد که در پشت آن بدافزار مذکور قرار دارد.

کارشناسان اظهار کردند که این بدافزار روی سامانه ها و سیستم های قدیمی ظعیف بوده و نمیتواند کار خود را درست انجام دهد و روی دامنه ها و آدرس آی پی های جدید به سرعت گسترش یافته است.

بسیاری از بدافزار ها برای نفوذ به سیستم قربانیان از روش فیشینگ استفاده می کنند، لذا این هوشیاری را از تمامی کاربران می طلبد تا از دانلود فایل های ناشناس و کلیک روی لینک های مخرب خود داری نمایند.

پشت پرده حمله سایبری به المپیک زمستانی 2018 چه بود؟

به گزارش سایت تریت پست؛ مقامات و مسئولان برگزارکننده المپیک زمستانی در کره جنوبی وقوع حمله سایبری را در حین برگزاری افتتاحیه این بازی ها تأیید کرده اند.به نقل تریت پست؛ مقامات و مسئولان برگزارکننده المپیک زمستانی در کره جنوبی وقوع حمله سایبری را در حین برگزاری افتتاحیه این بازی ها تأیید کرده اند.Takian.ir olympics hack

 

کارشناسان فعال در حوزه امنیت اطلاعات عنوان کردند که این حملات سایبری دو وجه داشته اند یکی تخریب و مختل کردن عملکرد سیستم های کامپیوتری و دیگری سرقت اطلاعات بوده است.
سختگوی المپیک زمستانی «Mark Adams » طی گفتگویی اعلام کرد که حفظ امنیت مسابقات به خصوص امنیت سایبری شرکت کنندگان و حفاظت و حراست از اطلاعات آنها وظیفه اصلی ما است.
محققان شرکت امنیت سایبری سیسکو تالوس (Cisco Talos) اعلام کرد که ساختار حملات سایبری صورت گرفته به المپیک زمستانی بسیار پیچیده و ویرانگر بوده است. ضمناً کارشناسان این شرکت اعلام کرده‌اند که میزان نفوذ و تخریب هنوز به طور حتم مشخص نیست و نمی توان تشخیص داد، اما از شواهد این گونه پیدا است که این بدافزار به دنبال اطلاعات از روند بازی نیست بلکه قصد اختلال در بازی ها را دارد.
هدف اصلی نفوذگران این بوده که سیستم های کامپیوتری را به طور کلی ساقط کنند به عبارت دیگر سیستم ها را غیر قابل استفاده کنند.
اتفاقات پیش آمده و هک های صورت گرفته شباهت بسیاری به عملکرد بدافزار های Bad Rabbit و  Nyeyta ransomware بوده است.
پس از هک سیستم های کامپیوتری المپیک، کارشناسان به بررسی سیستم ها پرداخته و متوجه این موضوع شدند که تعدادی فایل در قابلت باینری روی اسن سیتم ها وجود داشته که عامل این موضوع بوده است.
شرکت امنیت سایبری سیسکو تالوس اعلام کرد که هنوز مشخص نیست از چه طریقی این بدافزار ها وارد سیستم های کامپیوتری المپیک شده اند، ولی شباهت آنها به بدافزار های « Bad Rabbit و Nyeyta » مشهود است.این بدافزار جدید شامل دو قسمت بوده است. یکی ماژول سرقت اطلاعات کاربر که مرورگرهای اینترنت اکسپلور، فایر فاکس و کروم است و دیگری ماژول با نفوذ به زیرساخت های سیستم اقدام به تخریب میکند.
سیستم های میزبان وب توسط بدافزاری به نام « vssadmin.exe » آلوده شده و بدافزار « wbadmin.exe» اقدام به تخریب سیستم های کامپیوتری مینماید.
بازی های المپیک زمستانی در کره جنوبی در جریان بوده و در حملات اتفاق افتاده برخی افراد انگشت اتهام را سوی کره شمالی گرفته اند.
اما طبق اطلاعاتی که از طریق حملات فیشینگ از گروه هکری روس به نام «Fancy Bear » منتشر شده اعلام کرده اند که این حملات توسط روسیه انجام شده است.
در این باره وزارت امور خارجه روسیه واکنش نشان داده و عنوان کرده که این موضوعات شبه تحقیقات هم نبوده است و هیچ مدرکی دال بر حمله سایبری روسیه به المپیک زمستانی وجود ندارد.

جدیدترین سوءاستفاده هکرها از امکانات ویندوز جهت دور زدن فایروال

 

مهاجمان با بهره‌وری از یک تکنیک جدید، روشهایی را برای استفاده از Microsoft Background Intelligent Transfer Service (BITS) به منظور جایگذاری پنهانی داده های مخرب بر روی دستگاه های دارای سیستم عامل ویندوز را کشف کرده اند.

به گزارش سایت هکرنیوز، در سال ۲۰۲۰، بیمارستانها، سازمان های بازنشستگی و مراکز درمانی زیادی، متحمل آسیب و ضررهای بسیار شدیدی بابت یک کمپین فیشینگ همیشه متغیر که از روش Backdoor شخصی سازی شده مانند KEGTAP استفاده میکرده است، قرار گرفته اند، که در نهایت زمینه حملات باج افزار RYUK را فراهم میکرده است.

اما تحقیقات جدید شاخه امنیت سایبری شرکت FireEye اکنون مکانیسم پایداری ناشناخته ای را شناسایی کرده است که نشان می دهد مهاجمان از BITS برای راه اندازی Backdoor استفاده کرده اند.

فناوری BITS در ویندوز XP معرفی شد، که یکی از سرویس های مایکروسافت ویندوز است که از پهنای باند خالی شبکه برای تسهیل در انتقال ناهمگام فایل ها بین دستگاه ها استفاده می کند. این امر با ایجاد یک عملگر (فضایی که شامل فایل های بارگیری یا بارگذاری است) حاصل می شود.

فناوری BITS معمولاً برای ارائه به روزرسانی های سیستم عامل به کاربران و همچنین توسط اسکنر آنتی ویروس Windows Defender برای دریافت به روزرسانی های شناسایی علائم بدافزار استفاده می شود. علاوه بر محصولات خود مایکروسافت، این سرویس توسط برنامه های دیگری مانند موزیلا فایرفاکس نیز استفاده می شود تا امکان دریافت اطلاعات در پس زمینه حتی در صورت بسته بودن مرورگر نیز فراهم گردد.

takian.ir using microsoft bits for phishing hacks

محققان FireEye گفتند: "وقتی برنامه های مخرب عملگر BITS را ایجاد می کنند، فایل ها در چارچوب روند خدمات سرویس کاربر میزبان، روند دریافت یا بارگذاری را انجام می دهند". آنها افزودند: "این امکان می تواند برای جلوگیری از فایروال هایی که ممکن است فرایندهای مخرب یا ناشناخته را مسدود کنند کاربردی باشد و همچنین کمک می کند که مشخص شود کدام برنامه درخواست انتقال اطلاعات را داده است".

بخصوص حوادث مخاطره آمیز قبل که شامل آلوده سازی از طریق Ryuk برای استفاده از سرویس BITS برای ایجاد یک عملگر جدید تحت عنوان "به روزرسانی سیستم" که برای راه اندازی یک فایل اجرایی با نام "mail.exe" برنامه ریزی و پیکربندی شده است، پس از تلاش برای بارگیری URL نامعتبر، باعث ایجاد Backdoor برای KEGTAP شده است.

محققان اظهار داشتند: "عملگر مخرب BITS جهت تلاش برای انتقال HTTP یک فایل موجود از localhost تنظیم شده است. و از آنجا که این فایل هرگز وجود نخواهد داشت، BITS حالت خطا را ایجاد کرده و دستور notify را اجرا می کند، که در این مورد، این دستور به معنی اجرای KEGTAP می باشد".

سازوکار جدید یادآور این نکته است که چگونه استفاده از یک ابزار مفید مانند BITS به نفع مهاجمان میتواند خطرساز باشد. همچنین برای کمک به پاسخگویی سریعتر به این دست حوادث و تحقیقات تیم امنیتی، محققان یک ابزار پایتون به نام BitsParser را در دسترس عموم قرار داده اند، که هدف آن تجزیه فایل های پایگاه داده BITS و استخراج عملگر و اطلاعات فایل ها جهت تجزیه و تحلیل بیشتر است.

جنگجویان سایبری شین بت چه کسانی هستند؟

 تیم رو به رشد جنگجویان سایبری شین بت (سازمان امنیت و اطلاعات داخلی اسرائیل) که یک سال پیش تعداد آن‌ها از تک‌رقمی به حدود یک‌چهارم برابر افزایش‌یافته است، در برابر افرادی مبارزه می‌کنند که شیوه‌های عملیاتی و قابلیت‌های اجرایی آن‌ها متنوع، سریع و انعطاف‌پذیر است.Takian.ir ShinBet

برگزارکنندگان کنفرانس سایبرتک 2018 در تل‌آویو مقاله‌ای از بازدیدهای بی‌سابقه بخش‌های داخلی قسمت سایبری شین بت و مصاحبه با اعضای آن منتشر کردند.

"D.،" رئیس یکی از شاخه‌های بخش، 37 ساله، متأهل و دارای چهار فرزند است. او با داشتن مدرک علوم رایانه‌ای از دانشگاه بار ایلان و خدمت در ارتش اسرائیل در برنامه ترکیبی نظامی/یشیوا، در یک شرکت بین‌المللی پیشرفته کار کرده و پس‌ازآن به شین بیت پیوسته است. وی در مصاحبه گفت که دلیل پیوستنش به شین بت این بود که هر حادثه‌ای در زندگی واقعی بشر دخالت دارد و ماهیت سریع واکنش و بازخورد بسیار قابل‌توجه است.

این مقام امنیتی افزود: «ما ابزار استراتژیکی نداریم که دو سال بی‌هدف باقی بگذاریم. آنچه در اینجا داریم فعالیتی است که ارزش و مزیت آن تقریباً همیشگی و فوری است. امروز ممکن است چیزی بنویسیم و فردا طبق آن با دشمن مقابله کنیم.»

"R.،" رئیس تیم حمله و توسعه، 34 ساله، متأهل و مادر یک دختر است. او قبل از شین بت در بخش اطلاعات نیروی هوایی کار می‌کرده و به ایجاد یک دوره آموزشی حرفه‌ای برای پرسنل ارتش اسرائیل مرتبط با سازمان کمک کرده است.

وی معتقد است: «در زمینه سایبری، مرد یا زن بودن ملاک نیست؛ اگر زنی با اطلاعات کافی و اعتمادبه‌نفس به نکات مهمی اشاره کند، همه تبعیض‌ها را از میان برمی‌دارد.»

در این مقاله به حادثه‌ای اشاره شد که در آن "Y.،" رهبری تیم توسعه راه‌حل‌های طبقه‌بندی‌شده برای خنثی‌سازی حملات تروریستی را بر عهده داشت. وی به‌عنوان عضوی از تیم چندرشته ای، باید در مورد اطلاعات موردنیاز و مکان عملیاتی خوب مطالعه می‌کرد. او و تیمش با متخصصان عملیاتی برای استفاده از راه‌حل‌های فنّاورانه در جمع‌آوری اطلاعات اولیه و در زمان واقعی کارکردند. پس‌ازآن نیز برای استفاده مناسب از فناوری در شرایط دقیق محیطی کارهای بیشتری انجام شد. درنهایت با انتقال سیستم جدید به متخصصان عملیاتی، شین بت اعلام کرد که از وقوع یک حمله تروریستی دیگر جلوگیری می‌کند. در شین بت، سربازان 20 ساله‌ای مانند "A" هم دیده می‌شوند که علاوه بر توسعه استراتژی‌های بلندمدت برای دفاع از فضای سایبری اسرائیل، درحال‌توسعه فناوری‌هایی هستند که شاید برای جلوگیری از حملات تروریستی در عرض چند ساعت موردنیاز خواهد بود.

جنگجویان سایبری شین بت چه کسانی هستند؟

 تیم رو به رشد جنگجویان سایبری شین بت (سازمان امنیت و اطلاعات داخلی اسرائیل) که یک سال پیش تعداد آن‌ها از تک‌رقمی به حدود یک‌چهارم برابر افزایش‌یافته است، در برابر افرادی مبارزه می‌کنند که شیوه‌های عملیاتی و قابلیت‌های اجرایی آن‌ها متنوع، سریع و انعطاف‌پذیر است.Takian.ir ShinBet

برگزارکنندگان کنفرانس سایبرتک 2018 در تل‌آویو مقاله‌ای از بازدیدهای بی‌سابقه بخش‌های داخلی قسمت سایبری شین بت و مصاحبه با اعضای آن منتشر کردند.

"D.،" رئیس یکی از شاخه‌های بخش، 37 ساله، متأهل و دارای چهار فرزند است. او با داشتن مدرک علوم رایانه‌ای از دانشگاه بار ایلان و خدمت در ارتش اسرائیل در برنامه ترکیبی نظامی/یشیوا، در یک شرکت بین‌المللی پیشرفته کار کرده و پس‌ازآن به شین بیت پیوسته است. وی در مصاحبه گفت که دلیل پیوستنش به شین بت این بود که هر حادثه‌ای در زندگی واقعی بشر دخالت دارد و ماهیت سریع واکنش و بازخورد بسیار قابل‌توجه است.

این مقام امنیتی افزود: «ما ابزار استراتژیکی نداریم که دو سال بی‌هدف باقی بگذاریم. آنچه در اینجا داریم فعالیتی است که ارزش و مزیت آن تقریباً همیشگی و فوری است. امروز ممکن است چیزی بنویسیم و فردا طبق آن با دشمن مقابله کنیم.»

"R.،" رئیس تیم حمله و توسعه، 34 ساله، متأهل و مادر یک دختر است. او قبل از شین بت در بخش اطلاعات نیروی هوایی کار می‌کرده و به ایجاد یک دوره آموزشی حرفه‌ای برای پرسنل ارتش اسرائیل مرتبط با سازمان کمک کرده است.

وی معتقد است: «در زمینه سایبری، مرد یا زن بودن ملاک نیست؛ اگر زنی با اطلاعات کافی و اعتمادبه‌نفس به نکات مهمی اشاره کند، همه تبعیض‌ها را از میان برمی‌دارد.»

در این مقاله به حادثه‌ای اشاره شد که در آن "Y.،" رهبری تیم توسعه راه‌حل‌های طبقه‌بندی‌شده برای خنثی‌سازی حملات تروریستی را بر عهده داشت. وی به‌عنوان عضوی از تیم چندرشته ای، باید در مورد اطلاعات موردنیاز و مکان عملیاتی خوب مطالعه می‌کرد. او و تیمش با متخصصان عملیاتی برای استفاده از راه‌حل‌های فنّاورانه در جمع‌آوری اطلاعات اولیه و در زمان واقعی کارکردند. پس‌ازآن نیز برای استفاده مناسب از فناوری در شرایط دقیق محیطی کارهای بیشتری انجام شد. درنهایت با انتقال سیستم جدید به متخصصان عملیاتی، شین بت اعلام کرد که از وقوع یک حمله تروریستی دیگر جلوگیری می‌کند. در شین بت، سربازان 20 ساله‌ای مانند "A" هم دیده می‌شوند که علاوه بر توسعه استراتژی‌های بلندمدت برای دفاع از فضای سایبری اسرائیل، درحال‌توسعه فناوری‌هایی هستند که شاید برای جلوگیری از حملات تروریستی در عرض چند ساعت موردنیاز خواهد بود.

حملات جدید DDoS اکنون با Monero Ransom آغاز شده است

به گزارش سایت هکرید، پس از یک وقفه کوتاه حملات اختلال سرویس توزیع شده (DDoS) با رویکری تازه بازگشته است. از طرفی این حملات بسیار گسترده تر و ویرانگر شده اند.Takian.ir ddos attacks now launched with monero ransom notes

شرکت امنیت سایبری «Akamai» اعلام کرد که حملات اختلال سرویس توزیع شده با ویرانگری و ساز و کاری جدید، در زمینه تعداد قربانی رکورد شکنی کرده است. در روش جدید حملات اختلال سرویس از باج افزار ها استفاده میشود، به عبارتی دیگر از یک باج افزار برای دریافت باج و همزمان برای ایجاد اختلال در سیستم استفاده می شود.

 حملات اختلال سرویس از هفته گذشته افزایش چشمگیری پیدا کرده است و مشکلاتی را برای وب سایت ها ایجاد کرده اند که با اضافه کردن بار مضاعف دسترسی به سایت ها را مختل می کنند.

در حملات اختلال سرویس توضیع شده، در حدود 1.35 ترابایت در ثانیه از اطلاعات کاربران را رمز نگاری کرده و از کاربر درخواست باج می کند.

هدف از انجام این حملات فقط ایجاد اختلال نیست بلکه هکر ها به دنبال باج خواهی نیز هستند. طبق تحقیقات صورت گرفته تعدادی بالغ بر 50 هزار سیستم در معرض هک شدن هستند.

در کل حملات اختلال سرویس توزیع شده براساس ایجاد ترافیک دروغین موجبات مشکلاتی را برای مدیران سیستم رغم میزنند و از طرفی دیگر با بهره گیری از باج افزار ها به دنبال سرقت ارزهای دیجیتالی نیز هستند. همانطور که اشاره شد 50 هزار سیستم از ایمنی لازم برخوردار نبوده و نیازمند ایمن سازی هستند.

Takian.ir ddos attacks now launched with monero ransom notes code

حمله فیشینگ به موسسات مالی ترکیه توسط کره شمالی

به گزارش سایت scmagazineuk.com، طبق تحقیقات صورت گرفته گروه هکری ای به نام کبری مخفی « Hidden Cobra» اقدام به هک و نفوذ به مؤسسات مالی ترکیه کرده است. کارشناسان مدعی شده اند، این گروه هکری وابسته به دولت کره شمالی است.Takian.ir hiddencobra

شرکت امنیت سایبری مک آفی «McAfee» طی گزارشی خبر از این حمله فیشینگ داد که توسط گروه مذکور انجام گرفته است. این شرکت امنیت سایبری اعلام نموده گروه «Hidden Cobra» همان گروه لازاروس «Lazarus Group» است که پیش از این هم اقدام به حملات سایبری گسترده ای نموده است.

گفتنی است بدافزاری که بانک ها و مؤسسات مالی ترکیه را هدف قرار داد «Bankshot» نام دارد.

طبق گزارش های موجود آخرین و بزرگ ترین حمله سایبری گروه لازاروس هک بزرگترین سیستم مالی جهان، سوئیفت (SWIFT) بوده است. در این حملات نیز همانند موضوع کنونی از روش فیشینگ استفاده شده  و شیوه کار این‌گونه بوده است که ایمیل های فیشینگ برای افراد مهم و مؤثر در بانک ها ارسال می شده و در پیوست آنها یک فایل ورد قرار داشته که به محض دانلود، فایل پیوست با بهره گیری از ادوبی فلش پلیر سیستم کاربر را آلوده می کرده است.

کد آسیب پذیری موجود در فلش پلیر «CVE-2018-4878» بوده که به تازگی توسط این شرکت وصله شده است.

طی گزارشی دیگر از شرکت امنیت سایبری مک آفی، آمده است که سه سرور بسیار بزرگ ترکیه نیز مورد حمله سایبری قرار گرفته است که این دفعه با انگیزه استخراج ارز های دیجیتالی این نفوذ صورت گرفته، گفتنی است برای استخراج بیت کوین نیازمند پردازش های سنگین و حل مسائل پیچیده ریاضی هستیم که از این رو هکر ها با در اختیار گرفتن کنترل سرور های بزرگ برای استخراج ارز های دیجیتالی تلاش می کنند.

خنثی کردن یک بمب سایبری توسط هکرهای کلاه سفید

به گزراش هک رید؛ گروه های مختلفی از هکر ها وجود دارند که برای مقاصد خوب یا بد، دست به این کار می زنند. هکر ها با القاب مختلفی از جمله هکرهای کلاه سفید، کلاه خاکستری، کلاه صورتی و کلاه سیاه معرفی می شوند که هر کدام از اینها توضیحات مربوط به خودرا دارند. در این خبر هم شاهد آن هستیم که هکرها با اقدامی بی سابقه اطلاعات یک توسعه دهنده بدافزار های جاسوسی را حذف کرده اند.Takian.ir hacker erase 1 terabyte of data from spyware developers servers

اخیرا یک گروه هکری بمب سایبری طراحی کرده و قصد استفاده علیه یک شرکت توسعه نرم افزار به نام «Retina-X Studios» داشته است. این هکر های کلاه سفید با اطلاع از این موضوع اقدام به حذف یک ترابایت از اطلاعات گروه هکری مذکور کرده است. گفتنی است این اطلاعات روی بستر ابری ذخیره شده بود که توسط هکرهای کلاه سفید حذف شد.

شرکت توسعه دهنده نرم افزار «Retina-X Studios» در کشور آمریکا فعالیت می کند و برای کامپیوتر ها و تلفن های هوشمند برنامه طراحی می کند.

این شرکت به نقض حریم شخصی و جاسوسی در آوریل 2017 متهم شد، زیرا برای اینکه مشتریان خود را راضی نگه دارد، از آنها جاسوسی می کرده است.

این اولین برای نیست که توسعه دهندگان برنامه های جاسوسی مورد حمله سایبری قرار می گیرند. پیش از این هم گروه جاسوسی به نام « mSpy» اطلاعات مربوط به 400000 نفر را سرقت کرده بود، مورد حمله قرار گرفت یا در موردی مشابه سال گذشته اسرائیل گوشی های هوشمند شرکت «Cellebrite» را به نقض داده متهم کرده بود که حجم این اطلاعات سرقت شده 900 گیگابایت بوده است و آن هم مورد حمله سایبری قرار گرفت.

درخواست اطلاعات خصوصی کاربران از شرکت های بزرگ تکنولوژی مانند گوگل

 

شما در حال ملاحظه صندوق ورودی جیمیل خود هستید و ایمیلی با موضوعی عجیب مشاهده می کنید: یک رشته اعداد به دنبال "اعلان از طرف گوگل".

به نظر می رسد کلاهبرداری فیشینگ یا به روزرسانی شرایط خدمات جیمیل باشد. اما این می تواند تنها فرصتی باشد که می توانید گوگل را از به اشتراک گذری اطلاعات شخصی خود با سازمان ها منصرف کنید.

شرکت های فناوری که دارای دیتابیس ارزشمندی از اطلاعات شخصی هستند، به اهداف رایج اجرای قانون و درخواست های دولت تبدیل شده اند. بزرگترین نامهای این صنعت مانند گوگل، فیسبوک، توییتر، لینکدین و غیره درخواستهای داده را دریافت می كنند (از اعلام احضاریه تا نامه های امنیت ملی) برای كمك و در کنار آنها سایر اقدامات مانند تحقیقات جنایی و غیركیفری و همچنین دادخواستها.

ایمیلی مانند این ایمیل فرصتی نادر است که کاربران می توانند در زمانی که سازمان های دولتی به دنبال داده های آنها هستند، متوجه آن بشوند.

در مورد گوگل، این شرکت به طور معمول به کاربران اطلاع می دهد که کدام آژانس اطلاعات آنها را جستجو می کند.

در یک ایمیل که لس آنجلس تایمز آنرا بررسی کرد، گوگل به گیرنده اعلام کرد که این شرکت درخواستی را از وزارت امنیت داخلی برای تحویل اطلاعات مربوط به حساب گوگل خود دریافت کرده است. (گیرنده ایمیل را به شرط ناشناس ماندن به دلیل نگرانی در مورد اجرای قوانین مهاجرت به اشتراک گذاشت). این حساب ممکن است به جیمیل، یوتوب، تصاویر گوگل، پرداخت های گوگل، تقویم گوگل و سایر سرویس ها نیز مرتبط و پیوست باشد.

این ایمیل که از تیم پشتیبانی تحقیقات حقوقی گوگل ارسال شده است، به گیرنده اطلاع می دهد که گوگل ممکن است اطلاعات شخصی وی را به DHS تحویل دهد، مگر اینکه ظرف هفت روز نسخه ای از دادخواست مهر دادگاه را برای لغو درخواست دریافت کند.

پارومیتا شاه، یکی از بنیانگذاران و مدیر اجرایی شرکت حقوقی حقوق مهاجرت با نام جاست فیوچرز، گفت: این درخواست بسیار بزرگی است که باید در مدت زمان کوتاهی حذف شود.

شاه گفت: "آنچه گوگل از شما انتظار دارد این است كه احضاریه را لغو كنید و این شما را ملزم می كند كه به دادگاه فدرال بروید". وی افزود: "من می خواهم بدانم که چه تعداد از مردم متوجه این موضوع هستند که فقط هفت روز فرصت دارند تا یک وکیل استخدام کنند تا استیضاح ICE را در دادگاه فدرال لغو کنند".

ایمیل دریافتی از گوگل شامل کپی درخواست قانونی نمی شود. به محض درخواست، گیرنده دریافت که این احضاریه اداری از اداره مهاجرت و امور اداری ایالات متحده است. ICE به دنبال نام ها، آدرس های ایمیل، شماره تلفن ها، آدرس های IP، آدرس پستی، طول خدمت مانند تاریخ شروع و روش های پرداخت حقوق بود که ممکن است به هر روشی به حساب گوگل مرتبط باشند.

چنین درخواست هایی برای گوگل غیر معمول نیست. از ژانویه 2020 تا ژوئن 2020، گوگل نزدیک به 40،000 درخواست اطلاعات کاربر از سازمان های مجری قانون دریافت کرده است - طبق گزارش شفافیت سالانه، بیش از 15500 احضاریه ارسال شده است. از این احضارها، گوگل در 83٪ موارد "برخی داده ها" را ارائه داده است. در همان دوره، فیس بوک بیش از 60،000 درخواست دریافت کرده است که در 88٪ موارد برخی داده ها را ارائه کرده است. توییتر کمی بیش از 3000 درخواست دریافت کرده و گفته است که 59٪ نرخ انطباق دارد.

اگرچه ممکن است شرکت ها در توانایی خود در مبارزه با صدور احکام قضایی و احضار احکام قضایی دارای محدود باشند، اما شاه و مدافعان مهاجرت معتقدند که صنعت فناوری در پاسخ به درخواست های قانونی که مجوز قضایی دریافت نکرده اند، توانایی بیشتری برای جلوگیری از ارائه اطلاعات کاربران دارند.

در بیانیه ای، سخنگوی گوگل، الکس کراسوف گفت که این شرکت "به شدت" از حریم خصوصی کاربران محافظت می کند، "در حالی که از اقدامات مهم در راستای اجرای قانون حمایت می کند".

در این بیانیه آمده است که: "ما یک فرایند کاملاً ثابت برای مدیریت درخواست های نیروهای امنیتی برای داده های مربوط به کاربران خود داریم: وقتی درخواستی را دریافت می کنیم، به کاربران اطلاع می دهیم که درخواست اطلاعات آنها دریافت شده است، برای محافظت از حریم خصوصی کاربران و ارائه درخواست های گسترده تر را برای محافظت از حریم خصوصی کاربران پاسخ نداده و در مورد چنین درخواست هایی در گزارش شفافیت ما در مورد این درخواست ها از خود شفافیت نشان میدهیم".

احضاریه یکی از معدود مراحل قانونی است که دفاتر اجرای قانون برای به دست آوردن اطلاعات کاربر، در برخی مواقع در ارتباط با تحقیقات جنایی یا تحقیقات دیگر، صادر می شوند. بسیاری از این درخواست ها با مطالبات غیرمعقولی ارائه می شود و حداقل تا یک سال پس از صدور درخواست، اطلاعاتی از کاربران ارائه نخواهد شد. برخی دیگر به کاربران زمان یا اطلاعات کمی می دهند تا بتوانند از داده های آنها محافظت کنند.

سازمان های اجرای قانون می توانند اطلاعات کاربر را از راه های دیگر کسب کنند. بعضی از شرکت ها اطلاعات کاربری را به کارگزاران جمع آوری داده می فروشند، که به عنوان مثال اطلاعات را به دفاتر اجرای قانون می فروشند. همه آنها تنها بخشی از سیستمی هستند که به عنوان محصول جانبی وابستگی شرکت های فناوری به مدل تجاری جمع آوری، ذخیره و فروش اطلاعات شخصی و همچنین تمایل اغلب بدون قید و شرط کاربران برای تحویل داده هایشان، در اختیار نیروهای امنیتی قرار بگیرد، شکل گرفته است.

احضاریه های اداری، مانند موردی که کاربر گوگل دریافت کرده است، از منظر نوع اطلاعاتی که آنها می خواهند و همچنین اجرای آنها با حکم یا احضاریه احکام دادگاه متفاوت است. احضاریه اداری خود اجرا نمی شود؛ به این معنی که صرفاً یک درخواست حقوقی است و در صورت عدم رضایت گیرنده از طریق ICE یا دفاتر صادر کننده دیگر، فقط با مراجعه به دادگاه قابل اجرا است. همچنین توسط قاضی امضا نشده است و آن دفتر ملزم است که نشان دهد ارسال این احضاریه اتفاقی یا بر حسب احتمال نبوده است. برخلاف حکم، احضار اداری فقط به مقامات اجازه می دهد تا اطلاعات اولیه مشترک مانند آدرس IP و مدت زمان فعال بودن یک حساب را جستجو کنند.

برخی از گروه های حقوق مدنی و حقوقی نگران هستند که آژانس های فدرال مانند ICE بتوانند از فرآیندهای قانونی مانند احضارهای اداری برای دسترسی به اطلاعات کاربر برای گسترش نظارت بر ساکنان ایالات متحده استفاده کنند.

در یک درخواست آزادی اطلاعات، ائتلافی از گروه ها با اشاره به این که سیستم عامل ها "حاوی مقادیر زیادی از اطلاعات شخصی در مورد کاربران آنها از جمله موقعیت مکانی در زمان واقعی، آدرس و داده های ارتباطی" هستند، از ICE پرسیده اند که چه تعداد از این درخواست ها را به گوگل، فیس بوک و توییتر ارسال کرده است.

دفتر حقوقی جاست فیوچرز و کمیته پشتیبانی میخنته اعلام کرده اند: "درخواست احضار اداری ICE از شرکت های فناوری برای دریافت چنین اطلاعات شامل خصوصی ترین و شخصی ترین اطلاعات در مورد زندگی روزمره ما مانند مکان، آدرس و ارتباطات مطالبه می کند"، این درخواست توسط برنامه مهاجران حقوق بشر و برنامه مهاجرتی انسانی دانشگاه بوستون ارائه شده است.

یک مقام ICE گفت که این آژانس به طور معمول احضاریه اداری را برای اهداف غیرجنایی و مهاجرت مدنی به شرکت های فناوری نمی فرستد. این آژانس همچنین به استفاده قبلی از احضارهای اداری برای مجبور کردن اداره اصلاح و نظارت بر امور اجتماعی نیویورک (در شهری که قوانین پناهندگان، کمک به آژانس ها در تلاش برای اخراج فدرال پناهندگان را ممنوع کرده است)، اشاره کرد که درخواست کرده اند اطلاعات چندین نفر را به ICE ارائه دهد. در اعلامیه مطبوعاتی در مورد استفاده از احضارهای اداری، ICE گفت که از "احضاریه مهاجرتی مجاز برای دریافت اطلاعات به عنوان بخشی از تحقیقات در مورد مهاجران خطرناک احتمالی" استفاده می کنند.

شاه می گوید: "منتقدان ابراز نگرانی می کنند برای کاربرانی که اطلاعات آنها محور احضارهای اداری است، سخت است که شرکت هایی مانند گوگل را از اشتراک آن اطلاعات منصرف و این روند را متوقف کنند".

وی گفت: "گوگل بعید به نظر میرسید که از ارائه اطلاعات اعلام انصراف كند، زیرا آنها با این كار مسئولیت لغو كردن را بر عهده شخص می گذارند". و " این برای شرکت ها بسیار معمول است. برای کاربران بسیار سخت است که از هر چیزی انصراف دهند، مگر اینکه مراحل اضافی را طی کرده یا برای انصراف به پورتال ها و صفحات ویژه ای بروید".

ائتلافی از گروه های حمایت از حقوق مهاجران در نامه ای به مدیر حقوقی گوگل، کنت واکر، استدلال کردند که این شرکت نباید هیچ اطلاعاتی را تحویل دهد مگر اینکه درخواست ICE همراه با دستور قضایی باشد و در سیاست خود تجدید نظر کند تا "مشترک دارای فرصتی برای دریافت و بررسی آن داشته باشد". گوگل به سوالات خاص در مورد اینکه آیا این شرکت در خط مشی خود تجدید نظر می کند پاسخ نداده است.

این نامه که تنها از طرف سازمان حقوق مهاجران، میخنته، جاست فیوچرز و برخی سازمانهای حقوقی مهاجران در دانشگاه ارائه شده، میگوید که: "ارائه اطلاعات مکان به ICE می تواند صدمات جبران ناپذیری ایجاد کند، زیرا ICE از چنین اطلاعاتی برای انجام حمله به منازل، زندانی کردن افراد غیرشهروند، تبعید افراد و خانواده های آنها و از بین بردن جوامع استفاده می کند".

در حالی که استفاده ICE از این فرایند فراقضایی به نگرانی کسانی تبدیل شده است که معتقدند از این روش برای "ایجاد و بروز سردرگمی" در مورد حد قانونی استفاده شده است، احضارهای اداری در واقع یکی از روشهای شفاف است که نیروهای امنیتی می توانند اطلاعات کاربران را از شرکت های تکنولوژی درخواست کنند. ااین تا حدی به این دلیل است که چنین درخواست هایی به صورت یک جانبه با سفارشات و درخواست های غیرمعقول ارائه نمی شوند.

آندرو کراکر، وكیل كاركنان بنیاد مرز الکترونیك، گفت: "آژانس مجبور است به دادگاه مراجعه كند تا یك دستور العمل گنگ دریافت كند، اقدامی كه می تواند استیضاح اداری (كه ابزاری ارزان قیمت است زیرا نیازی به مراجعه به دادگاه ندارد) را در معرض چالش هایی قرار دهد". (مقامات می توانند در احضارهای اداری خود درخواست کنند، همانطور که ICE در این مورد انجام داد، یک شرکت اطلاعات را با کاربر به اشتراک نگذارد، اما این فقط یک درخواست است.)

از طرف دیگر، سایر درخواست های اجرای قانون، از جمله ضمانت نامه ها و نامه های امنیت ملی، اغلب با دستورات مضحک همراه هستند زیرا میگویند اطلاع رسانی به کاربر می تواند در تحقیقات تداخل ایجاد کند.

در این موارد، به کاربر اطلاع داده نمی شود. کراکر گفت، نامه های امنیت ملی (نوعی استیضاح اداری که عمدتاً توسط سازمان امنیت فدرال صادر می شود) دارای یک دستور پیش فرض است که لازم است در طی تحقیقات دو بار مورد بازنگری قرار گیرد. نمونه های منتشر شده توسط گوگل نشان می دهد كه یك نامه امنیت ملی كه در ماه ژوئیه سال 2016 برای این شركت ارسال شده بود كه به تازگی در ماه گذشته افشا شد و دیگری در ماه مارس سال 2020 صادر و در ماه فوریه منتشر شد. در هر دو مورد، مشترکی که اطلاعات وی درخواست می شود، تا زمان افشای آن تصوری از نحوه تحویل و ارائه آن ندارد.

کراکر گفت، به همین دلیل، ضروری است برای ارائه دهندگان بزرگی مانند گوگل به عنوان یک عامل کنترل در اجرای قانون عمل کنند.

وی گفت: "در غیر این صورت شما فقط نمی دانید فرآیندی که برای به دست آوردن اطلاعات خصوصی استفاده می شود چیست". ولی افزود: "وقتی این را با روشی که در دنیای واقعی اتفاق می افتد مقایسه می کنید، اگر پلیس بخواهد خانه شما را جستجو کند، مجبور به صدور و دریافت حکم برای این کار است و سپس درب شما را می شکند یا می کوبد. اما با این روند شما می دانید که آنها در خانه شما هستند و در واقع لازم است لیستی از همه آنچه را که می گیرند به شما بدهند".

راهکارهای امنیتی بیشتر، به معنی امنیت بیشتر نیست!

 

تحقیقات جدید نشان میدهد که در طی سال گذشته اجرا و اعمال چندین راهکار حفاظت و امنیت سایبری به طور همزمان مانع از دست دادن داده ها و اطلاعات، بخصوص در بسیاری از سازمان های بزرگ نشده است.

این یافته بخشی از دومین نظرسنجی سالانه هفته محافظت سایبری است که توسط شرکت فناوری جهانی آکرونیس انجام شده است. محققان از 4،400 کاربر فناوری و امنیت اطلاعات و متخصص در 22 کشور در شش قاره جهان در مورد راهکارهای امنیت سایبری خود سوال کردند.

نتایج نشان داده است در حالی که 80% شرکتها اکنون 10 راهکار مختلف را برای محافظت از داده ها و سیستم های رایانه ای خود اجرا می کنند؛ بیش از نیمی از این سازمانها در سال 2020 بعد از دست دادن داده ها، از کار افتاده و از دسترس خارج شده اند.

سخنگوی آکرونیس گفت: "نه تنها سرمایه گذاری در راهکارهای امنیتی بیشتر باعث حفاظت بیشتر نمی شود، بلکه در بسیاری از موارد تلاش برای مدیریت حفاظت از طریق چندین راهکار و نرم افزار، پیچیدگی بیشتر و دید کمتری را برای تیم فناوری اطلاعات ایجاد می کند، که امکان بروز خطر را افزایش می دهد".

محققان معتقدند زمانی که صحبت از آگاهی متخصصین حوزه فناوری اطلاعات و کاربران از توانایی ارگان های آنها در بحث امنیت سایبری میشود، اختلاف فاحشی بین این دو دسته وجود دارد.

این بررسی نشان داده است که 68% از کاربران فناوری اطلاعات و 20% از متخصصان فناوری اطلاعات قادر به تشخیص این موضوع نیستند که اطلاعات آنها بدون اطلاع آنها تغییر یافته است، زیرا راهکارهای امنیت سایبری آنها تشخیص این نوع تغییرات را دشوار می کند.

تقریباً نیمی از کاربران حوزه فناوری اطلاعات (43%) در ناآگاهی به سر می بردند که از این نکته اطلاع ندارد که آیا نرم افزارهای محافظت در مقابل بدافزار آنها تهدیدات zero-day را متوقف می کند یا خیر؛ زیرا راهکارهای امنیتی آنها چنین اطلاعاتی را به راحتی در دسترس کاربر نمی گذارد.

یک دهم متخصصان فناوری اطلاعات اعتراف کردند که نمی دانند سازمان آنها تحت مقررات حریم خصوصی داده ها قرار دارد یا خیر و به طور بالقوه ای، شرکت و سازمان خود را در معرض جریمه های سنگین به دلیل عدم انطباق قرار می دهند.

محققان رویکردی فردی در زمینه امنیت سایبری را آشکار کردند که از آن با عنوان "به شکل سرسام آوری سست" توصیف کردند.

در حالی که 83% از کاربران حوزه فناوری اطلاعات گفتند که در سال 2020 وقت بیشتری را در دستگاه های خود صرف کرده اند و فقط نیمی از آنها اقداماتی اضافی برای محافظت از این دستگاه ها انجام داده اند. یک سوم (33%) آنها اعتراف کرده اند که پس از اطلاع از انتشار بروزرسانی ها، حداقل یک هفته منتظر مانده اند تا دستگاه های خود را با آن بروزرسانی جدید، به روز نمایند.

یافته های این نظرسنجی نشان می دهد که کاربران حوزه فناوری اطلاعات نمی دانند چگونه از داده های خود به درستی پشتیبان گیری کنند، زیرا 90% گزارش کرده اند که نسخه پشتیبان تهیه می کنند؛ در حالی که 73% آنها گفتند که حداقل یک بار داده های خود را از دست داده اند.

ساختار جهانی و چشم انداز دفاع سایبری

به گزارش سایت تهران تایمز؛ دفاع سایبری و راهبردهای مربوط به آن، موضوعات متعددی را در برمی‌گیرد. توجیه نظام‌های پیچیده‌ای که برای فراهم آوردن دفاع غیرقابل نفوذ و جلوگیری از آسیب‌های ناشی از حملات سایبری اجرا می‌شود، از مهم‌ترین این موضوعات محسوب می‌شود. تعیین خطرات جرائم سایبری (اقدامات مستمر خصمانه که سامانه‌های اطلاعاتی در سرتاسر جهان را تحت‌الشعاع قرار می‌دهد) به‌سادگی امکان‌پذیر نیست.Takian.ir Cyber Defence

بر اساس شواهد موجود، از سال 2007 حملات سایبری متعددی رخ داده است (از جمله نفوذ جاسوس‌افزار) که در همه آنها ردپای مجرمان سایبری دیده می‌شود؛ مجرمانی که به‌احتمال‌زیاد، نیت خرابکاری در ذهن دارند. سامانه‌های اطلاعاتی و ارتباطی در فعالیت‌های روزمره، عملیات‌های فیزیکی و مادی انجام می‌دهند اما آنچه باعث آسیب‌پذیری آنها در فضای سایبری می‌شود این است که اطلاعات شخصی و محرمانه را در خود جای داده‌اند و این اطلاعات بین عوامل مختلف که در فواصل دور از هم قرار دارند، مبادله می‌شود.

با توجه به طیف گسترده فعالیت‌های خرابکارانه در فضای مجازی، نقش کلی دفاع سایبری باید به درستی مشخص شود. اول و مهم‌تر از همه، این دفاع باید قابلیت‌های دفاعی و تهاجمی را در خود بگنجاند.

برقراری «دفاع قابل قبول و معتبر» در فضای سایبر، مسئله پیچیده‌ای است و شناسایی ریشه و اهداف حمله، این پیچیدگی را تشدید می‌کند. ویروس «کانفیکر» مثال خوبی در این زمینه است. این کرم رایانه‌ای، میلیون‌ها رایانه را در سال‌های 2008 و 2009 آلوده کرد و تا امروز، نویسنده آن شناسایی نشده است.

گاهی اوقات عوامل و نقش‌آفرینان، «دفاع آبرومندانه» ای از خود به نمایش می‌گذارند تا قابلیت‌های دفاع سایبری خود را به رخ بکشند. درهرحال، ساختار فعلی اینترنت و سامانه‌های اطلاعاتی اجازه عرض‌اندام هرگونه قابلیت دفاعی را در ابعاد واقعی نمی‌دهد. حمله علیه یک سامانه اطلاعاتی خاص مانند سامانه برق به شما این امکان را می‌دهد که برای نشان دادن تأثیر قابلیت‌های تهاجمی و دفاعی مهاجمان سایبری، دلایل قانع‌کننده‌ای رو کنید. این حملات ممکن است آثار نامطلوبی در پی داشته باشد و باید به کاربران هشدارهای لازم را داد. اثر قدرت‌نمایی در شبکه بسته با قدرت‌نمایی در شبکه‌های دیگر متفاوت است.

برای مثال، تجزیه‌وتحلیل اجزای مرموز کرم استاکس‌نت، فنون به کار رفته در طراحی این ویروس را برملا ساخته و احتمال توسعه ویروس‌های مشابه توسط سایر نویسندگان بالقوه را افزایش می‌دهد. درهرحال، این تجزیه‌وتحلیل هم نمی‌تواند هویت سازنده ویروس را برای ما مشخص کند. افرادی بوده‌اند که با نام این ویروس برای خود اعتبار کسب کرده‌اند. گبی اشکنازی، رئیس ستاد کل نیروهای دفاعی رژیم صهیونیستی را از سال 2007 تا 2011 بر عهده داشت، هنگام بازنشستگی، خود را پدر کرم اینترنتی استاکس‌نت معرفی کرد.

استاکس‌نت پرسش‌های زیادی با خود به همراه داشت. از جمله این که چرا برای مخفی سازی باقیمانده کار، از فنون مشابهی استفاده نشده است. کرم استاکس‌نت، بعد از اتمام حمله، خود را نابود می‌کند تا امکان کسب اطلاعات از محتوای آن از بین برود. طراح این ویروس، با حذف ردپای خود امکان تجزیه‌وتحلیل قابلیت تهاجمی آن را از میان می‌برد.

شاید کرم استاکس‌نت رویکردی دوگانه داشته باشد: قدرت‌نمایی به بهای انتشار فن (که ممکن است حاکی از این باشد که طراح آن از قابلیت‌های بیشتر دیگری هم برخوردار است) و ارائه شواهدی از توان دفاعی حریف.

موضوع دیگر در «دفاع معتبر»، قابلیت اعتماد بیانیه‌ها و ادعاها است: باید شفافیت اطلاعات به گونه‌ای محقق شود که جریان داده سرعت بگیرد و ادعای غلطی شکل نگیرد.

برای مثال، شرکت امریکایی HGB (شرکت توسعه نرم‌افزارهای امنیت فدرال) در سال 2010 ادعا کرد که نوعی فناوری را توسعه داده است که قادر است هکرها را با تجزیه‌وتحلیل داده‌های انتقال یافته از طریق شبکه‌های اجتماعی شناسایی کند. اوایل سال جاری، این شرکت ادعا کرد که به گروه انانیموس نفوذ کرده است، به برخی از اعضای آن دسترسی پیدا کرده است و حاضر است هویت اعضای این گروه را به قیمت مناسب در اختیار اف‌بی‌آی قرار دهد.

گروه انانیموس نیز به وبگاه‌های این شرکت حمله کرد، دهها هزار ایمیل محرمانه آن را در اینترنت منتشر کرد و اهداف آن علیه ویکی‌لیکس را نیز افشا کرد. به‌علاوه، انانیموس اعلام کرد که افرادی که از سوی HGB به عنوان اعضای گروه انانیموس معرفی شده‌اند، درواقع اعضای این گروه نبوده‌اند. این گروه، روش‌های به کار گرفته شده توسط HGB را زیر سؤال برد و آنها را به لحاظ فنی ناشدنی دانست. در پی این افشاگری، مشتریان HB رفته‌رفته از شرکت روگردان شدند و دولت امریکا تحقیق درباره معاملات انجام شده بین سرویس‌های دفاعی خود و این شرکت را شروع کرده است.

بین ناتو و گروه انانیموس نیز موقعیت مشابهی ایجاد شده بود. در بهار 2011، ناتو در گزارشی به بررسی چالش‌های مرتبط با پیشرفت‌های اخیر در فعالیت‌های جرائم سایبری، به‌ویژه فعالیت‌های ویکی‌لیکس و گروه انانیموس پرداخت. ناتو در این گزارش ادعا کرده بود که اعضای گروه یادشده شناسایی شده و مورد تعقیب قانونی قرار خواهند گرفت. گروه انانیموس در واکنش به این اقدام ناتو، حملات خود به وبگاه‌های رسمی را شروع کرد و به‌طور خاص، اف‌بی‌آی را هدف گرفت. این گروه در جولای 2011 اعلام کرد که به وبگاه‌های ناتو حمله کرده و چند گیگابایت سند به دست آورده است.

باید خاطرنشان کرد که این اقدام (پیگرد عوامل غیردولتی) هرچند که در حوزه دفاعی نباشد، بدون شک می‌تواند در بافت درگیری درازمدت بین دولت‌ها و گروهی غیرقانونی، صورت گیرد. درواقع، این نوع عکس‌العمل (و روش‌های به کار رفته) یادآور مقابله با سازمان‌های ملی یا چندملیتی جنایی است.

کمبود سند درباره درگیری دولت‌ها در فضای سایبر به این معنا نیست که این درگیری وجود ندارد. بلکه، نشان می‌دهد که دشمنی‌ها بین دولت‌ها به دلایل خاصی (از قبیل اصرار بر مخفی نگاه داشتن توانمندی‌ها، تلاش برای اجتناب از برخورد فیزیکی یا اقتصادی و غیره) کمابیش دشمنی پنهانی است. به‌علاوه، اکثر فعالیت‌ها در فضای سایبر با کمک سرویس‌های جاسوسی انجام می‌شود و این گروه‌ها جایگاه برجسته‌ای در اقدامات دفاعی دارند. در چشم‌انداز گسترش و توسعه دفاع سایبری، این امر را باید در نظر گرفت. دولت‌ها برای سازمان‌دهی توسعه قابلیت‌های دفاعی و تهاجمی دو گزینه در اختیار دارند.

فرانسه تصمیم گرفته است که دو قابلیت دفاعی و تهاجمی را از هم تفکیک کند. این مسئله به تأیید شورای امنیت ملی این کشور رسیده است. فرانسه وزارت دفاع را به عنوان «سازمان امنیت ملی سامانه‌های اطلاعاتی» و بخش تهاجمی وزارت دفاع و اداره کل امنیت تعیین کرده است.

راهبردی برای ترکیب کردن دو قابلیت دفاعی و تهاجمی در دست تنظیم است و هر دوی این قابلیت‌ها به یک سازمان واحد (سازمان امنیت ملی) سپرده شده است.

سرانجام، باید تأکید کرد که به‌کارگیری روابط چندجانبه صنعتی در حوزه اطلاعات، برقراری همکاری بین‌المللی و توسعه تدابیر اثربخش مقابله با جرائم سایبری، به‌منظور کارآمدتر کردن قابلیت‌های حمله و دفاع ضروری است.

سازمان ها در معرض رشد فزاینده Initial Access Brokers یا IAB ها قرار دارند

 

دیجیتال شدوز گزارش میدهد که IAB ها یا همان Initial Access Brokers روند رو به رشدی را در فضای جرائم به خود اختصاص داده اند. به جای نفوذ عمیق در یک سازمان، با نفوذ به شرکت های بسیار زیاد، به صورت واسطه ای یا Man-in-the-middle عمل کرده و با اجرای این تهدیدات، اقدام به فروش دسترسی به بالاترین پیشنهاد ممکن و اغلب به گروه های باج افزاری، میکنند. این روش کار بخصوص در زمان گسترش پاندمی کرونا و با توجه به روند فزاینده استفاده کارکنان از روش های دسترسی از راه دور، در حال گسترش است. مجرمان سایبری با استفاده از اسکن آسیب پذیری هایی که امکان دسترسی از راه دور مانند V.P.N ها را میدهند، اقدام به بهره برداری، سواستفاده و فروش آنها میکنند.

takian.ir initial access brokers increased

دیجیتال شدوز از سال 2016 این گروه از مجرمان را مورد مطالعه قرار داده است؛ با این حال در سال گذشته افزایش چشمگیر و محسوسی را در فعالیت آنها مشاهده شده است. بسیاری از مارکت های جرائم سایبری برای وارد کردن چنین محتوا و تبلیغاتی، اقدام به ساماندهی مجدد این ساختار کرده اند و در حال حاضر حدود 500 تصویر از این دست موارد توسط دیجیتال شدوز از فروم ها و انجمن های معروف عکسبرداری شده است. اکثر فروشندگان اطلاعات بازخورد خوبی از مجرمین دریافت میکنند که نشانگر ادعای واقعی آنهاست.

میانگین قیمت فروش برای دسترسی ها بسته به درآمد آن سازمان، نوع دسترسی فروخته شده، تعداد کارکنان و پرسنل و تعداد دستگاه های قابل دسترسی به حدود 7 هزار و صد دلار میرسد. RDP یا پروتکل دسترسی از راه دور، مهاجم را قادر میسازد تا سیستم قربانی را در اختیار بگیرد که این روش با 17% از کل جرایم سایبری، رایج ترین نوع ذکر شده است که همچنین بالاترین قیمت متوسط با ارزش 9800 دلار را دارد. RDP به یک نگرانی برای مبازره با باج افزارها تبدیل شده است تا حدی که سخنگوی سازمان امنیت فدرال آمریکا اعلام کرده است که: "RDP هنوز 70-80 درصد پایه اولیه سواستفاده عاملین باج افزارها میباشد". همچنین از دیگر سو، اعتقاد بر این است که این روش عامل یکی از موارد نفوذ اخیر به مرکز تصفیه آب فلوریدا که مهاجمان سعی در کنترل از راه دور سطح مواد شیمیایی موجود برای مصرف عمومی داشتند، نیز بوده است.

یکی از موارد ارزشمند در این زمینه نیز دامنه مدیریتی است که 16% از این لیست را با متوسط قیمت 8187 دلار به خود اختصاص داده است. موارد دسترسی به V.P.N بدلیل افزایش روند کار از راه دور نیز رونق یافته است و به شما این امکان را میدهد که با متوسط قیمت 2871 دلار به شبکه یک سازمان و شرکت دسترسی داشته باشید که 15% لیست را به خود اختصاص داده است. همچنین Citrix با 7 درصد، کنترل پنل با 6 درصد، سیستم های مدیریت محتوا با 5 درصد و دسترسی به Shell با 5 درصد، بیشترین زمینه این جرایم را جهت بهره برداری به خود اختصاص داده اند.

ریک هالند (CISO در شرکت دیجیتال شدوز) اظهار داشته است که: "افزایش چشمگیر دورکاری با سواستفاده تجاری باج افزارها پیوند خورده است که به طبع شرایط مطلوبی را در اختیار IAB ها قرار داده است. این عاملین با توجه به افزایش تقاضا و تخصص ویژه کارشان، درآمدزایی میکنند. آنها بر روی یکی از جنبه های زمینه جرایم سایببری متمرکز شده اند و به شبکه شما دسترسی پیدا کرده و این کار را به بهترین شکل ممکن انجام میدهند. آنها سپس این ابزار سرکوب و نفوذ را به دست دیگر مجرمین سپرده و به سمت هدف بعدی خود میروند. به دلیل توانایی بالای آنها در به خطر انداختن سازمان ها و نهادهای کوچک و بزرگ، عملکرد IAB ها در جرایم سایبری زیرزمینی بسیار برجسته بوده و افزایش داشته است".

بنا بر گفته دیجیتال شدوز، این فرصت و مجال برای شرکت های محافظت کننده از این حملات وجود دارد تا بتوانند به خصوص با شناسایی لیست IAB ها که بر عملکرد سازمان ها و نهاد تاثیر میگذارند، حملات احتمالی را خنثی کنند.

شرکت تاکیان به منظور جلوگیری از بروز حملات مبتنی بر RDP پیشنهاد میدهد که در قدم اول حتما از NGFW ها یا همان فایروال های نسل بعدی استفاده نمایند زیرا این نوع از فایروال ها بدلیل داشتن قابلیت Port Enforcement و Application Awareness، امکان کنترل محتوای پکت ها را فارغ از شماره پورت دارند و در مرحله دوم بجای استفاده از V.P.N های عمومی، از ارتباطات V.P.N اختصاصی مثل L3 Secure V.P.N یا L7 SSL V.P.N استفاده نمایند زیرا این نوع از دسترسی ها امکان وابستگی به توکن های سخت افزاری را فراهم کرده و همچنین سازوکارهای بسیار امن و غیر رایجی را در عین راحتی فراهم میاورند، علاوه بر اینکه امکان اعمال الزامات امنیتی فراوانی در آنها لحاظ شده است. برای مشاوره بیشتر در این زمینه میتوانید با ما در تماس باشید.

سوء استفاده هکرها از هزاران سایت دولتی جهت استخراج بیت کوین

به گزارش سایت رویترز، مجرمان سایبری با قرار دادن ویروس در 7400 وب سایت در سراسر جهان آنها را برای مقاصد شوم خود آلوده کرده اند. هکر ها قصد دارند پس از آلوده کردن سایت ها با در دست گرفتن کنترل سیستم های کامپیوتری به استخراج بیت کوین بپردازند.Takian.ir Bitcoin and other coins can be mined using software Coinhive

در این راستا هزاران وب سایت متعلق به دولت انگلیس مورد حمله سایبری قرار گرفته و هک شده اند تا بتوان از آن طریق پول های مجازی مانند بیت کوین را استخراج کرد.

در این میان سایت های بزرگ و کوچکی هدف گرفته شده اند، به عنوان مثال سایت شرکت وام های دانشجویی، وب سایت NHS اسکاتلند و هزارن وب سایت دیگر به ویروس آلوده شده اند.

طبق آمار حدود ۷۴۰۰ وب سایت در سراسر جهان با این ویروس دست و پنجه نرم می کنند.

در نتیجه این حمله، مجرمان با استفاده از رایانه، موبایل ها یا هر تجهیزات دیگری که کاربران جهت بازدید سایت مراجعه کنند، ویروس موجود روی این وب سایت ها موجب می شود تا بتوان بیت کوین استخراج کرد و برای هکرها درآمد زایی می کند.

هکرها با طراحی ویروسی به نام Coinhive و قرار دادن آن در بین نرم افزار های مورد استفاده در این وب سایت ها موجبات حمله را فراهم کرده اند. این ویروس به گونه ای وانمود می کند که برنامه ای جهت استفاده نابینایان از سایت است و اجازه دسترسی نابینایان به سایت را فراهم می کند؛ اما در صورتی که کاربران و بازدیدکنندگان روی سایت کلیک کنند این ویروس به رایانه آنها منتقل می شود.

هکر ها با بهره گیری از قدرت پردازش مازادی که از دستگاه ها و تجهیزات کاربران به دست میاورند اقدام به استخراج ارز های مجازی مانند بیت کوین می کنند.

در این فرایند استخراج که در اصطلاح «Mining» گفته می شود با حل مسئله های پیچیده ریاضی سکه های دیجیتالی جدیدی به وجود می آید و به محض ایجاد این سکه ها می توان آنها را به صورت آنلاین ذخیره کرد.

در کل برای استخراج بیت کوین نیاز به پردازش های پیچیده داریم به همین دلیل هم قیمت برخی سخت افزار های مرتبط با پردازش کامپیوتر افزایش چشمگیری پیدا کرده است.

شبکه تحویل محتوای گوگل (CDN) میزبان تصاویر آلوده به بدافزارها شد

به گزارش سایت هکرید، این بدافزار سایت های مورداعتماد گوگل را هدف قرار داده است.
فیلدهای متادیتای عکس های آپلود شده در CDN گوگل، از طریق هکرها مورد سواستفاده قرار گرفته است تا با استفاده از کدهای مخرب، امنیت وب سایت ها را به خطر بیاندازند. این روش از سوءاستفاده،در واقع نوعی آسیب پذیری است زیرا کاربران هرگز تصاویر را به‌منظور کشف نرم افزارهای مخرب اسکن نمیکنند.Takian.ir googleusercontent cdn hosting images infected with malware 1
این بدافزار تزریق شده از فرمت EXIF (فایل عکس قابل تغییر) برای مخفی کردن کد استفاده می کند و تصاویر خطرناک در سایت های رسمی گوگل از جمله شبکه اجتماعی Google+، سایت های GoogleUserContent و وبلاگنویسان مانند Blogger.com در دسترس هستند.
حمله مشابهی قبلا در GitHub و Pastebin دیده شده بود، جایی که مجرمان سایبری قادر به پنهان کردن نرم افزارهای مخرب در تصاویر آپلود شده بودند.این موضوع توسط شرکت امنیتی سایبری Sucuri کشف شد و یافته ها در روز پنج شنبه منتشر شد. 
یکی از محققان امنیتی به نام Dennis Sinegubko در Sucuri طرح توزیع بدافزار را شناسایی کرد که از GoogleUserContent CDN برای میزبانی یکی از تصاویر آلوده استفاده کرد. بنابراین هنگامی که چنین تصویری دانلود می شود، بدافزار بلافاصله سایت را آلوده می کند. مهاجم فقط باید منتظر دریافت یک گزارش از سمت تصویر آلوده باشد و سپس اقدام به راه اندازی حمله برعلیه این سایت ها میکند.
Sinegubko در گزارش خود که در روز چهارشنبه منتشر شد، اظهار داشت که تمرکز شناسایی این کمپین بر سرقت توکن های امنیتی PayPal با هدف جلوگیری از فرآیند تأیید پی پال است.
هکرها با لود کردن تصویری که توسط گوگل میزبانی شده بود و با استفاده از تکنیک استگانوگرافی (steganography) میزبانی میگردید، توانستند بدافزار را در سرور نصب کنند. آنچه در steganography اتفاق می افتد این است که هکرها فایل را استخراج کرده و کد مخرب را در فیلد متادیتای کاربر EXIF ​​پنهان می کنند. کد مورد استفاده در این کمپین یک رشته کدگذاری Base64 است.
هنگامی که این رشته بیش از یک بار رمزگشایی می شود، آن را به یک اسکریپت تبدیل می کند که می تواند یک Shell از پیش تعریف شده بر روی سرور هدف را با دیگر فایل ها آپلود کند. این Shell در حال حاضر قادر به خرابکاری سرور است و مهاجم می تواند آدرس های سایت هایی را که با موفقیت مورد سوء استفاده قرار گرفته اند دریافت کنند.Takian.ir googleusercontent cdn hosting images infected with malware 2
Sinegubko ادعا می کند که پنهان کردن نرم افزارهای مخرب به فایل های EXIF ​​برای او خیلی هم نگران کننده نیست؛ نگران کننده ترین چیز این بود که هکرها از GoogleUserContent CDN برای تحقق اهداف نابکار خود استفاده می کردند. این کاملا یک ایده جدید است که مطمئنا شبهای پرسر و صدا را به محققان امنیتی تحمیل می کند.
دلیل اصلی برای نگرانی این است که هیچ راه استانداردی برای اطلاع گوگل در مورد تصویر آلوده شده وجود ندارد، زیرا این شرکت یک فرآیند گزارش دهی برای نقض حق نسخه برداری و نه مسائل مرتبط با امنیت را اجرا کرده است. Sinegubko می نویسد:

"گوگل ابزارهای بسیاری برای حذف محتوا دارد، اما مشخص نیست که چگونه بدافزار موجود در تصاویر را میخواهد گزارش دهد. اکثر ابزارهای آنها نیاز به ارائه پیوندهایی به پستهای اصلی، صفحات یا نظرات حاوی محتوای نقض‌کننده دارند. تصویر در اینجا جزء برخی از محتوای عمومی شناخته شده نیست. "

محققان نمی توانند منبع آپلود بدافزار را شناسایی کنند. محققان در Sucuri اذعان کرده اند که:

"دشوار است بگوییم که منبع اصلی تصاویر کجاست، زیرا URL های آنها ناشناس هستند و فرمت مشابعی دارند."

کسپرسکی: کاهش حملات DDoS در پی افزایش بهای رمزارزها

 

بنا بر گزارش های منتشر شده از کسپرسکی، میزان حملات DDoS در برای سه ماهه آخر سال میلادی در قیاس با سه ماهه سوم همان سال، کاهشی 31 درصدی را از خود نشان میدهد.

takian.ir DDoS attacks declined

کارشناسان بر این باور هستند که این کاهش حجم حملات، ارتباط مستقیمی با افزایش قیمت رمزارزها دارند که به طبع توجه مجرمان سایبری به استخراج رمزارزها معطوف شده است. بررسی های کسپرسکی نشان میدهد که هرچند تعداد استخراج کنندگان رمزارزها در سال 2019 و آغاز 2020 کاهش یافته است، از ماه آگوست سال 2020 استفاده از اینگونه بدافزارها اندکی افزایش داشته است.

با توجه به افزایش سودآوری استخراج رمزارزها، به نظر میرسد که مجرمان سایبری برای فعال کردن سرورهای C&C، برخی از ربات های اینترنتی را که معمولا در حملات DDoS مورد استفاده قرار میگرفتند، بازطراحی کرده اند تا از اهداف و تجهیزات آلوده خود با استفاده از توان محاسباتی آنها، جهت استخراج رمزارزها بهره برداری نمایند.

ماه گذشته شرکت آویرا گزارشی را منتشر کرد که گواه از کشف افزایش 53 درصدی در نرم افزارهای استخراج رمزارز در سه ماهه پایانی سال 2020 و در پی افزایش قیمت بیت کوین میداد.

با وجود این کاهش در سه ماهه چهارم سال 2020، میزان حملات DDoS در قیاس با مدت مشابه سال 2019، افزایش 10 درصدی را نشان میدهد.

این میزان افزایش مداوم حملات DDoS در سال 2020، بخاطر بهره برداری مجرمان سایبری از افزایش نفرات و مقدار زمانی است که وقت خود را بصورت آنلاین از زمان اعمال محدودیت ها بخاطر بیماری کووید-19 و فاصله گذاری اجتماعی، صرف مینمایند. کسپرسکی خاطرنشان کرد که موسسات آموزشی متعددی در سه ماه پایانی سال 2020، شامل چندین مدرسه در ماساچوست و دانشگاه لورنتیان کانادا، هدف این دست حملات قرار گرفته اند.

الکسی کیسلف، مدیر توسعه تجارت در تیم محافظتی DDoS کسپرسکی اظهار داشته است که: "بازار حملات DDoS تحت تاثیر دو روند متضاد و مخالف هم قرار گرفته است. از یک سو مردم هنوز هم به کارهای با ثبات وابسته به منابع آنلاین اعتماد بالایی دارند که میتواند حملات DDoS را به گزینه ای معمول برای مجرمان سایبری تبدیل کند. هرچند با با افزایش قیمت رمزارزها، برای این مجرمین بسیار بصرفه خواهد بود که که اهداف خود و دستگاه های کاربران بی اطلاع را به ابزار استخراج رمزارز تبدیل نمایند. درنتیجه میبینیم که تعداد کل حملات DDoS در سه ماهه چهارم سال 2020 تقریبا ثابت مانده است؛ و میتوان پیشبینی کرد که این روند در سال 2021 نیز ادامه یابد."

کشف بدافزار جدید ماینینگ ارز دیجیتالی با قدرت بسیار بالا بنام ZombieBoy

به گزارش سایت ambcrypto.com، یک کارشناس امنیتی مستقل با نام James Quinn خانواده جدیدی از ماینرهای ارز دیجیتالی را کشف کرده است. این ماینرکه ZombieBoy نام گذاری شده است، طبق تحلیل‌های این کارشناس، دارای سرعت کاوش 43 KH/s 43000) Hash در ثانیه) است که قادر به استخراج 1000 دلار در ماه است. این ماینر یا همان کاوشگر از زبان چینی استفاده می‌کند که از این رو احتمالا در کشور چین توسعه داده شده است.Takian.ir ZombieBoy Malware Threatens The Security of Cryptocurrency Worldwide
Quinn در بلاگ خود توضیح داده است که این کاوشگر مشابه massminer است که در اوایل ماه می معرفی شد. بدلیل استفاده این بدافزار از ZombieBoyTools، آنرا ZombieBoy نامگذاری کرده‌اند. باید اشاره کرد که ZombieBoyTools دارای ارتباطاتی با IronTigerAPT است و یک ویرایش از تروجان Gh0st است.
بدافزار به کمک این ابزار اولین فایل dll خود را در سیستم قربانی قرار می‌دهد. علاوه بر این، Quinn ادعا می‌کند که این کرم از اکسپلویت‌های مختلف برای گسترش در سیستم استفاده می‌کند. تفاوتی که بین massminer و ZombieBoy وجود دارد در استفاده از ابزار اسکن میزبان است که ZombieBoy به جای MassScan از WinEggDrop استفاده می‌کند. نکته قابل توجه و البته نگران کننده این بدافزار بروزرسانی آن بصورت مداوم است. علاوه بر این، بدافزار می‌تواند از CVEهای مختلفی برای دور زدن برنامه‌های امنیتی بهره ببرد. این CVEها شامل یک آسیب‌پذیری RDP یعنی CVE-2017-9073 و اکسپلویت‌های CVE-2017-0143 و CVE-2017-0146 هستند.Takian.ir ZombieBoy
بدافزار از اکسپلویت‌های DoublePulsar و EternalBlue برای ایجاد در پشتی استفاده می‌کند. از آنجایی که بدافزار می‌تواند چندین درپشتی ایجاد کند، بنابراین راه ورود سایر برنامه‌های مخرب مانند keyloggerها، باج‌افزارها و بدافزارهای دیگر باز می‌شود.

گونه جدید شل اسکریپت برای اخاذی اینترنتی و فعال سازی Mirai

 

محققان امنیت سایبری روز دوشنبه موج جدیدی از حملات مداوم را با بهره گیری از چندین آسیب پذیری برای استقرار نوع جدیدی از Mirai در دستگاه های متصل به اینترنت فاش کردند.

تیم اطلاعات امنیتی واحد 42 شرکت پالو آلتو در توضیحی نوشت: "پس از نفوذ و سوءاستفاده موفقیت آمیز، مهاجمان سعی می کنند یک shell script مخرب که شامل اعمال آلوده کننده دیگری مانند بارگیری و اجرای انواع Mirai و اخاذی است را بارگیری کنند".

مواردی که در پی این آسیب پذیری مورد سوءاستفاه قرار میگیرند، عبارتند از:

  • VisualDoor - آسیب پذیری اعمال دستور از راه دور SonicWall SSL-VPN که اوایل ژانویه سال جاری مشخص گردید.
  • CVE-2020-25506 - آسیب پذیری اجرای کد راه دور (RCE) فایروال D-Link DNS-320.
  • CVE-2021-27561 و CVE-2021-27562 - دو آسیب پذیری در مدیریت دستگاه Yealink که به مهاجم غیرمجاز اجازه می دهد دستورات دلخواه خود را بر روی سرور با امتیازات دسترسی root اجرا کند.
  • CVE-2021-22502 - نقص RCE در گزارشگر Micro Focus Operation Bridge (OBR)، در نسخه 10.40.
  • CVE-2019-19356 - روتر بی سیم Netis WF2419 که از RCE استفاده می کند.
  • CVE-2020-26919 - آسیب پذیری Netgear ProSAFE Plus RCE

سونیک وال در بیانیه ای اعلام کرد: "بهره برداری VisualDoor از آسیب پذیری سیستم عامل SSL-VPN نسخه قدیمی است که در سال 2015 با نسخه های 7.5.1.4-43sv و 8.0.0.4-25sv بر روی محصولات قدیمی بروزرسانی شده است." همچنین در ادامه افزوده است که "این سوءاستفاده از هر دستگاه سونیک وال که به درستی بروزرسانی شده باشد، قابل اجرا نیست."

همچنین سه آسیب پذیری اعمال دستور که قبلاً نامشخص بوده است، در این مجموعه گنجانده شده است که در برابر اهداف ناشناخته اعمال گردیده که به گفته محققان یکی از آنها همراه با یک بات نت جداگانه با نام MooBot مشاهده شده است.

گفته می شود این حملات به مدت یک ماه از 16 فوریه تا 13 مارس کشف شده است.

صرف نظر از نقصی که از آن برای دستیابی موفقیت آمیز بهره برده شده است، این زنجیره حمله شامل استفاده از ابزار wget برای بارگیری یک shell script از زیرساخت های بدافزار است که سپس برای استخراج باینری های Mirai استفاده می شود، یک بدافزار معروف که دستگاه های مبتنی اینترنت اشیا شبکه ای را تبدیل به بات های کنترل از راه دور کرده که می توانند به عنوان بخشی از بات نت در حملات شبکه با مقیاس گسترده استفاده شود.

علاوه بر دانلود Mirai، shell script های دیگری نیز مشاهده شده اند که در حال بازیابی موارد عملیاتی برای سهولت انجام حملات شدید برای نفوذ به دستگاه های آسیب پذیر با رمزهای عبور ضعیف هستند.

این محقق افزود: "حریم اینترنت اشیا به عنوان یک هدف به راحتی در دسترس مهاجمان باقی مانده و بهره برداری و سوءاستفاده از آن حجم زیاد از آسیب پذیری ها، بسیار آسان است و در برخی موارد می تواند عواقب فاجعه باری را به همراه داشته باشد".

 

بات نت جدیدZHtrap، با استفاده ازHoneypot قربانیان را به دام می اندازد

در یک طرح توسعه مرتبط، محققان شرکت امنیتی چینی نت لب 360، بات نت جدید مستقر در Mirai به نام ZHtrap را کشف کردند که در حالی که برخی از ویژگی ها را از یک بات نت  DDoS معروف به نام Matryosh گرفته است، از روش Honeypot برای یافتن و اضافه کردن قربانیان جدید استفاده می کند.

takian.ir ZHtrap botnet malware 1

 

در حالی که هانی پات ها به طور معمول اقدام به تقلید از هدف خود برای جرایم سایبری خود میکنند تا برای نفوذ به آنها جهت کسب اطلاعات بیشتر در مورد روش کار خود استفاده کنند، بات نت ZHtrap برای گسترش و تکثیر بیشتر خود، از یک روش مشابه استفاده کرده و از طریق یکپارچه سازی ماژول جمع آوری IP اسکن برای جمع آوری آدرس های IP که به عنوان اهداف استفاده می شوند، استفاده می کند.

این اطلاعات با زیر نظر گرفتن و بررسی 23 پورت تعیین شده و با شناسایی آدرس های IP متصل به این پورت ها و سپس با استفاده از آدرس های IP انباشته شده برای بررسی چهار آسیب پذیری برای نفوذ به مقادیر در حال بارگیری، به دست آمده است:

  • MVPower DVR Shell RCE تأیید نشده
  • Netgear DGN1000 Setup.cgi RCE غیرمجاز
  • دوربین مدار بسته DVR RCE که بر فروشنده های مختلف تأثیر می گذارد
  • اجرای دستور Realtek SDK miniigd SOAP (CVE-2014-8361)

محققان اعلام کردند: "انتشار ZHtrap از چهار آسیب پذیری N-day استفاده می کند و در حالی که از برخی ویژگی های backdoor بهره میبرد، عملکرد اصلی آن DDoS و اسکن کردن است". آنها افزودند: "Zhtrap یک هانی پات را بر روی دستگاه آلوده راه اندازی می کند و تصاویری را از دستگاه های قربانی می گیرد و اجرای دستورات جدید را بر مبنای آن تصاویر غیرفعال می کند و اینگونه به دستگاه تسلط پیدا مینماید".

takian.ir ZHtrap botnet malware 2

 

ZHtrap هنگامی که دستگاه ها را به انحصار خود گرفت، با استفاده از Tor برای ارتباط با یک سرور command-and-control برای بارگیری و اجرای مابقی اطلاعات، با بات نت Matryosh ارتباط می گیرد.

محققان با اشاره به اینکه این حملات از 28 فوریه 2021 آغاز شده است، میگویند که توانایی ZHtrap در تبدیل دستگاه های آلوده به هانی پات ، یک "تحول جالب" از بات نت ها برای تسهیل در امر یافتن اهداف و طعمه های بیشتر است.

بات نت های مبتنی بر Mirai جدیدترین مواردی هستند که در فضای حملات سایبری ظاهر شده اند و تا حدی با در دسترس بودن کد سورس Mirai از سال 2016 در اینترنت، زمینه را برای سایر مهاجمان جهت ایجاد انواع مختلف از این بات نت را فراهم کرده است.

در ماه مارس گذشته، محققان یک نوع Mirai به نام "Mukashi" را کشف کردند که مشخص شد دستگاه های ذخیره سازی متصل به شبکه Zyxel (NAS) را هدف قرار می دهد تا آنها را در اختیار یک بات نت قرار دهد. سپس در اکتبر سال 2020، تیم تحقیقاتی اینترنت اشیاء شرکت Avira نوع دیگری از بات نت Mirai به نام "Katana" را شناسایی کرد که از آسیب پذیری های اجرای کد از راه دور برای آلوده کردن روترهای D-Link DSL-7740C، دستگاه های DOCSIS 3.1 wireless gateway و سوئیچ های Dell PowerConnect 6224 سوءاستفاده می کرده است.

لو رفتن157 گیگابایت اطلاعات حساس از تسلا، تویوتا و سایر خودروسازی ها

به گزارش سایت هکرید، کریس ویکی یکی از محققان امنیت اطلاعاتی متوجه یک شکاف اطلاعاتی شده که تعداد زیادی از خودروسازان از جمله تسلا، تویوتا، فورد و فولکس واگن را تحت تاثیر قرار داده است.Takian.ir 157 gb of sensitive data from tesla gm toyota others exposed online

 ویکی در مصاحبه با نیویورک تایمز اعلام کرده حدود ۴۷ هزار سند حساس کشف کرده که در فضای اینترنت منتشر شده اند. در کل ۱۵۷ گیگابایت اطلاعاتی که فاش شده  شامل نقشه اولیه دقیق و طرح های کارخانه، اسناد مربوط به مشتریان مانند رسید، قرارداد و  برنامه کاری همراه قراردادهای محرمانه بودند.

 خودروسازان به طور معمول اقدامات زیادی برای حفاظت از این نوع اطلاعات حساس می کنند زیرا افشای رازهای تجاری فضای رقابت را ناعادلانه می کند.

به هرحال اطلاعات حدود ۱۰۰ شرکت در این شکاف امنیتی فاش شده است. جالب آنکه تمام این شرکت ها یک نقطه مشترک داشتند. همه آنها با شرکتی کانادایی به نام Level One Robotics and Controls همکاری داشتند که در حوزه طراحی فرایندهای اتوماسیون برای خودروسازان و تهیه کنندگان تجهیزات فعالیت می کند.Takian.ir157 gb of sensitive data from tesla gm toyota others exposed online 1

ویکی نیز این اطلاعات را در یکی از سرورهای بک آپ Level One یافته است. در این رویداد هیچ عملیات هکی صورت نگرفته بود، زیرا سرور با پسورد محافظت نمی شد بنابراین هر کسی می توانست به آن دسترسی یابد.  

جالب آنکه میان موارد افشا شده، اطلاعات جمعی از کارمندان Level One نیز وجود داشته مانند گواهینامه رانندگی و پاسپورت. البته در این رویداد اطلاعات مشتریان شرکت های خودروسازی فاش نشده است.Takian.ir 157 gb of sensitive data from tesla gm toyota others exposed online 2

محققین امنیتی خبر از وجود یک باگ VMware با امکان اجرای دستورات از راه دور را میدهند

 

به گزارش سکیوریتی مگزین، یکی از کارشناسان کمپانی پازیتیوز تکنولوجیز با نام ایگور دیمیترنکو یک آسیب پذیری جدی و بزرگ در ابزار تکثیر اطلاعات VMware vSphere Replication را کشف کرده است. این ابزار به سازمان ها امکان میدهد تا از ماشین های مجازی نسخه پیشتیبان تهیه کرده و در صورت بروز مشکل در ماشین مجازی اصلی، آنها را اجرا نمایند. این نقص و باگ به مهاجمین اجازه دسترسی به رابط مدیریتی تحت وب VMware vSphere Replication را میدهد که در پی آن کدهای دلخواه را بر روی سرور با حداکثر اختیارات اجرا کرده و همچنین اعمال ثانوی ای را آغاز کنند تا کنترل و مدیریت کامل زیرساخت های سازمان ها را به دست بگیرند.

خبر خوب اینکه VMware این آسیب پذیری را که امکان اجرای فرامین از راه دور بر روی سرور را فراهم میکرد، برطرف کرده است. نقص امنیتی با نام CVE-2021-21976 شناخته می شود و دارای نسخه CVSS v3 سری 7.2 است.

ایگور دیمیترنکو توضیح میدهد: "آسیب پذیری هایی که امکان اجرای این نوع حملات (Command Injection) را میدهند، اغلب در محصولاتی که برای مدیریت ایجاد شده اند، یافت میشوند". وی می افزاید: "چنین خطاهایی معمولا به دلیل تایید ناکافی اطلاعات ورودی کاربر ایجاد میشود، که به متعاقب آن در محتوای فراخوان فرمان سیستم قرار میگیرد. مکانیسم هایی برای جلوگیری از چنین حملاتی معمولا در ابزار توسعه دهنده در نظر گرفته شده و تعبیه شده اند تا از احتمال بروز خطا در کدها محافظت نمایند. با این وجود، هنوز ناهنجاری ها و مشکلاتی در کدها اتفاق می افتد؛ به عنوان مثال،  هنگام اجرای سریع کارها و فرامین جدید و یا در راستای حل و فصل سریع یک مشکل که وجود دارد، چنین خطاهایی حادث میشوند. جهت بهره برداری و سواستفاده از آسیب پذیری موجود در محصول VMware، مهاجمین نیازمند مدارک و شناسه معتبری هستند که اینها را میتوان به دلیل استفاده از رمز عبورهای ضعیف و ساده و یا با استفاده از مهندسی اجتماعی، به سادگی به دست آورد".

سازمان ها میبایست جهت رفع این آسیب پذیری، توصیه های اعلام شده رسمی VMware را به کار ببندند. در صورت امکان پذیر نبودن به روز رسانی، سازمان ها و نهادها میتوانند با استفاده از راهکار SIEM، علائم نفوذ را که به طبع به شناسایی رفتار مشکوک در سرور کمک میکند را شناسایی نمایند. در پی آن این نفوذ و عمل مشکوک را ثبت کرده و از جابجایی و نفوذ هر چه بیشتر متجاوز و مهاجم به درون شبکه آن سازمان در سریعتر زمان ممکن جلوگیری کنند.

در سپتامبر 2020، پازیتیو تکنولوجیز آسیب پذیری های همان کلاس (امکان Command Injection) را در PAN-OS، سیستم عامل مورد استفاده توسط فایروال های نسل بعدی Palo Alto Networks، کشف کرد.

هدف قرار دادن سایت های رسانه های ایرانی

روز یکشنبه وزارت فناوری اطلاعات و ارتباطات گزارش داد که حملات سایبری شب شنبه علیه چند رسانه ای ایران منتشر شده و گفته می شود که این سایت ها از سوی ایالات متحده و بریتانیا مورد حمله قرار گرفته اند.Takian.ir Hackers from U S UK targeted Iranian media websites ICT Ministry
این گزارش می گوید مسائل امنیتی یکی از عوامل مهم است که به حملات منجر شد. همچنین نام 27 وب سایت دیگر با مسائل مشابه منتشر شده است.

وب سایت های خبری که مورد حمله قرار گرفته اند شامل: روزنامه ی قانون، روزنامه ی آرمان، روزنامه ستاره صبح بودند که در مرکز داده ی تبیان و مرکز داده شرکت پیشتاز میزبانی شده اند . گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم های هدف نموده و در این فرایند مشخص شد که تمامی این سامانه ها توسط یک شرکت و در بستر سیستم عامل ویندوز با سرویس دهنده ی وب IIS و زبان برنامه نویسی ASP.Netتوسعه داده شده اند

پس از دریافت فایل های ثبت وقایع از حملات انجام شده از سرویس دهنده ها با تحلیل و بررسی تاریخچه ی حملات و آسیب پذیری ها حجم بالایی از فایل ها مورد تحلیل و آنالیز قرار گرفت و آی پی مبدا حملات استخراج شد که شامل 5آی پی از کشورهای انگلستان و آمریکا بوده است. طبق این گزارش، تمام سایت های خبری مورد حمله دارای نام کاربری و کلمه ی عبور پیش فرض و یکسان توسط شرکت پشتیبان بودند که این موارد به معنای رعایت نشده حداقل موارد امنیتی هست.

هکر 16 ساله با هک کردن سرورهای شرکت اپل موفق به سرقت اطلاعات شد

به گزارش سایت هکرنیوز، پسری ۱۶ ساله و ساکن جنوب ملبورن استرالیا، چندین بار به سیستم‌های کامپیوتری حاوی اطلاعات مشتریان اپل نفوذ کرد و موفق به دانلود حدود ۹۰ گیگابایت فایل امن مربوط به اطلاعات حساب کاربری کاربران اپل شد.Takian.ir 16 year old compromised apple networks to steal gbs of sensitive data

با توجه به اینکه هک، توسط پسری نوجوان انجام شده است؛ طبق قوانین استرالیا به‌دلیل نوجوان بودن متهم، تاکنون نامی از وی در رسانه‌ها مطرح نشده است. در پی بروز این حمله‌ی هکری، اپل به کاربران اطمینان داد با وجودی که اطلاعات توسط این هکر جوان دانلود شده است؛ ولی هیچ‌کدام از داده‌های کاربری کاربران به‌خطر نیفتاده و جای هچ‌گونه نگرانی نیست. بلافاصله پس از آنکه اپل از حمله‌ی هکری مطلع شد، موضوع را به FBI‌ اطلاع داد. FBI نیز موضوع نفوذ به اطلاعات را به پلیس فدرال استرالیا (AFP) منتقل کرد.

پلیس فدرال استرالیا بلافاصله موضوع را پیگیری کرد و متوجه شد که نفوذ از طریق دو عدد لپتاپ، یک عدد گوشی هوشمند و یک عدد هارد اتفاق رخ داده است. شماره سریال لپتاپ‌ها و آدرس IP گوشی تلفن همراه با گزارش اپل مبنی بر بروز نفوذ، مطابقت داشت. پسر نوجوان کلیه‌ی اطلاعات دانلود‌شده از سرورهای اپل را در فولدری به‌نام «hacky hack hack» ذخیره کرده بود. براساس گزارش AFP، این پسر نوجوان ملبورنی در پیام‌رسان واتساپ، در مورد کاری که انجام داده بود، صحبت کرده بود و به خودش به دلیل توانایی انجام چنین کاری افتخار کرده بود.

سخنگوی اپل بدون اشاره به جزئیات پرونده، به یکی از اعضای امنیت اطلاعات اپل در خصوص بروز این حادثه اعلام کرد:

فرد خاطی و هکر نوجوان به دست قانون سپرده می‌شود تا به پرونده‌ی وی رسیدگی کند. کاربران و مشتریان‌مان مطمئن باشند که هیچ‌گونه اطلاعات شخصی و اطلاعات مربوط به حساب کاربری کاربران در این حادثه، به‌خطر نیفتاده است.

از آنجایی که هنوز دادگاهی برای پسر نوجوان تشکیل نشده است؛ پلیس فدرال استرالیا در مورد این واقعه هیچ‌گونه اظهار نظری نکرد. یکی از سخنگویان اداره‌ی دادگستری استرالیا نیز، ضمن امتناع از ارائه‌ی توضیحات بیشتر در مورد این پرونده، تنها به این نکته اشاره کرد که پسر نوجوان در دادگاه ۲۰ام سپتامبر محکوم خواهد شد. از آنجایی که هکر یک نوجوان است؛ نام وی قرار نیست رسانه‌ای شود. به‌همین دلیل هیچ‌ صحبتی در مورد نام و یا هویت پسر نوجوان در رسانه‌ها مطرح نشده است.

1 2