اعتراف مقامات آمریکایی: بیش از دیگران آسیب‌پذیریم

هراس آمریکا از نفوذ به انتخابات 2024

سمیه مهدوی‌پیام – مدیران Mandiant و گوگل در جریان کنفرانس RSA 2023 درباره اقدامات مبتکرانه و نوآورانه گروه‌های هکری متخاصم هشدار دادند. مدیریت جلسه توجیهی و پنل رسانه‌ای Threat Intelligence Google در آغاز کنفرانس، برعهده ساندرا جویس، معاون اجرایی و رئیس اطلاعات جهانی Mandiant بود.

همچنین کریستن دنسن، گزارشگر گروه تحلیل تهدید گوگل، جان هالتکویست معاون تحلیل هوش Mandiant و چارلز کارماکال مشاور Mandiant در Google Cloud به مدیر پنل پیوستند.

طبق اظهارات کارشناسان این پنل تخصصی، گروه‌های هکری متخاصم مرتبط با چین و کره‌شمالی، به طور فزاینده‌ای‌، نوآورانه و مبتکرانه عمل می‌کنند؛ از انتخاب اهداف خاص گرفته تا استفاده از اکسپلویت‌های آسیب‌پذیری روز صفر. اکسپلویت یا کدهای مخرب، کدهایی هستند که توسط هکرها یا محققان امنیتی برای اثبات یا استفاده از یک آسیب‌پذیری امنیتی خاص در یک نرم‌افزار، سیستم‌عامل یا سخت‌افزار خاص نوشته می‌شوند.

آسیب‌پذیری روز صفر نیز یک آسیب‌پذیری نرم‌افزاری است که قبل از آگاهی صاحب کسب‌وکار یا نرم‌افزار، توسط مهاجمان کشف می‌شود. بنابراین فرصتی برای انتشار وصله آسیب‌پذیری کشف‌شده وجود ندارد و هیچ وصله‌ای برای آسیب‌پذیری‌ روز صفر در دسترس نیست. همین موضوع، احتمال موفقیت حملات را افزایش می‌دهد.

در همین رابطه، اکسپلویت روز صفر، روشی است که هکرها برای حمله به سیستم‌هایی با آسیب‌پذیری روز صفر استفاده می‌کنند. همچنین حمله روز صفر، استفاده از یک اکسپلویت روز صفر برای آسیب‌رسانی یا سرقت داده‌ها از یک سیستم دارای آسیب‌پذیری روز صفر است.

  • پیشرفت حملات: از کره‌شمالی تا چین و روسیه

در این پنل، به روندهای باج‌افزار، مشاهدات ژئوپلیتیک فعلی و تکامل گروه‌های تهدید کننده حمایت‌شده از سوی دولت پرداخته شد. اگرچه بیشتر گروه‌های تهدید برای دهه‌ها خطر شناخته‌شده‌ برای شرکت‌ها بوده‌اند اما یک گروه، علی‌رغم تازه‌کار بودن به دلیل پیشرفته‌های حاصل‌شده برجسته بودند: نوجوانان در ایالات متحده!

اعضای این پنل، پیشرفت‌های گروه‌های متخاصم مانند بازیگران مرتبط با کره‌شمالی را که انگیزه زیادی برای دنبال کردن ارزهای دیجیتال دارند و هدف آنها در زمینه آسیب‌پذیری و افزایش سازه‌های زنجیره تامین است، برجسته کردند.

هالتکویست هشدار داد که بیش از هر زمان دیگری، تهدیدکننده‌های کره‌شمالی را مشاهده کرده که تکنیک‌های جدید را امتحان می‌کنند. علاوه بر این، او پیشرفت‌های گسترده‌ای را در حوزه زیرساخت‌های بازیگران تهدیدهای چینی مشاهده کرد.

یکی از نمونه‌های ارائه‌شده توسط وی، امکان مخفی کردن زیرساخت‌های خود در Soho routers از طریق شبکه‌ای از پروکسی‌ها بود. او گفت که بازیگران تهدید روسیه نیز همین کار را می‌کنند.

کارماکال نیز اعلام کرد که بازیگران تهدید چینی، تهدید را در انواع سازمان‌های هدف مشخص مانند پیمانکاران دفاعی، نهادهای دولتی، مخابرات و شرکت‌های فناوری عملی می‌کنند.

نگران‌کننده‌تر، افزایش بازیگران Nexus چینی است که از آسیب‌پذیری‌های روز صفر در دستگاه‌های لبه یا سیستم‌هایی که از ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) پشتیبانی نمی‌کنند، استفاده می‌کنند. او به حملات اخیر اشاره کرد که محصولاتی مانند  Sonicwall، Fortinet VPN وHypervisor های VMware را هدف قرار می‌دادند.

به گفته کارماکال، حمله اولیه با بهره‌برداری از آسیب‌پذیری روز صفر آغاز شد. این بازیگران بدافزار را روی فایروال‌های Fortinet یا هایپرویزورهای VMware مستقر می‌کنند و این کار، کشف مشکل را برای شرکت‌ها دشوار می‌کند. حتی به عنوان یک مشتری،  اگر دسترسی مدیریتی داشته باشید، توانایی مشاهده فرایندها، مشاهده فایل‌ها در سیستم فایل، به دست آوردن حافظه یا نصب telemetry  یا همان دورسنج امنیتی را ندارید. به گفته اعضای پانل، مشکل به گروه‌های وابسته به چین ختم نمی‌شود، بلکه چشم‌انداز تهدید کلی مهاجمانی که از آسیب‌پذیری‌های روز صفر با سرعت فزاینده سوءاستفاده می‌کنند، گسترش یافته است.

  • تهدیدهای غیرمنتظره

در حالی که گروه‌های تحت حمایت دولت از کشورهای متخاصم، توانایی‌های فزاینده‌ای از خود نشان می‌دهند، کارماکال نگرانی خود را درباره یک گروه تهدید کاملا متفاوت مطرح کرد: نوجوانان ایالات متحده و بریتانیا. او گفت که Mandiant شاهد نفوذ افراد جوان به برخی از بزرگ‌ترین سازمان‌ها بوده است.

وی موفقیت این گروه را به کمپین‌های موثر مهندسی اجتماعی نسبت داد. به عنوان مثال، آنها می توانند کاربران را متقاعد کنند به سایت anydesk.com وارد شوند، مشتری anydesk را دانلود کنند و سپس دسترسی از راه دور را برای مهاجم فراهم کنند.

کارماکال معتقد است آنها یکی از رایج‌ترین بازیگران تهدید امروزی در ایالات متحده هستند. دفاع از آنها واقعا دشوار است. عامل دیگری که به موفقیت نوجوانان 13 ساله کمک می‌کند، هوش شخصی است. کارماکال توانایی بازیگران تهدید را برای ارسال پیام‌های متنی قانع‌کننده با پیوندهای مخرب به تلفن‌های همراه کاری یا شخصی کارکنان مشاهده کرد. هدف، پشتیبانی فنی یا کارکنان مرکز تماس است مانند قرار دادن دستگاه‌های لبه‌ که از EDR پشتیبانی نمی‌کنند.

به گفته کارماکال، این پیام‌ها توسط شرکت نظارت نمی‌شوند. ترافیک شبکه بین تلفن همراه کاری یا شخصی و وب‌سایت مشابه از طریق شبکه تلفن همراه عبور می‌کند و شرکت‌ها نمی‌توانند بر آن نظارت کنند. افزایش کار ترکیبی به این معناست که ابزارهای کاری و شخصی اغلب درهم تنیده می‌شوند.

کارماکال هشدار داد که نوجوانان همچنین در شخصی‌سازی حملات برای سازمان و افراد، آزار و اذیت کارکنان و اعضای خانواده کارمندان مهارت دارند.

به گفته وی، پرداخت برای دریافت رمزگشا یک موضوع مهم است. اگر یک مدیر اجرایی شرکت باشید و دخترتان توسط یک بازیگرِ تهدید، مورد اذیت و آزار قرار گیرد، داستان متفاوت است.

  • نگرانی از تهدیدات هکری در انتخابات 2024

هالتکویست در حالی که درباره تغییر روند باج‌افزار بحث می‌کرد، اعلام کرد اخاذی چند وجهی که اغلب شامل سرقت و قرار گرفتن در معرض احتمالی داده‌های حساس است، اولین روشی است که مجرمان سایبری با انگیزه مالی از نفوذهای خود، کسب درآمد می‌کنند. او معتقد است این کار، موثرتر از اختلال ناشی از استقرار باج افزار است که سیستم‌ها را رمزگذاری می‌کند. علاوه بر این، گروه‌های باج‌افزار، اهدافی را انتخاب می‌کنند که فکر می‌کنند هزینه پرداخت می‌کنند. به همین دلیل زیرساخت‌های حیاتی همچنان در معرض خطر هستند.

به گفته هالتکویست، فعالیت این نهادها برای مدتی متوقف شد اما همچنان زنده و سالم هستند. او همچنین نگران انتخابات ریاست جمهوری آینده در سال 2024 است.

همچنین Mandiant اقدامات «جدی» از طرف روسیه و ایران در حوالی انتخابات گذشته مشاهده کرد. هالتکویست انتظار دارد این بار نیز با سایر بازیگران احتمالی که هنوز مشخص نیست، همین وضعیت را شاهد باشد. او می‌گوید: «ما در طول انتخابات، بیش از سایرین آسیب‌پذیر هستیم.»

نوشته های مرتبط

اخبار روز