سمیه مهدویپیام – مدیران Mandiant و گوگل در جریان کنفرانس RSA 2023 درباره اقدامات مبتکرانه و نوآورانه گروههای هکری متخاصم هشدار دادند. مدیریت جلسه توجیهی و پنل رسانهای Threat Intelligence Google در آغاز کنفرانس، برعهده ساندرا جویس، معاون اجرایی و رئیس اطلاعات جهانی Mandiant بود.
همچنین کریستن دنسن، گزارشگر گروه تحلیل تهدید گوگل، جان هالتکویست معاون تحلیل هوش Mandiant و چارلز کارماکال مشاور Mandiant در Google Cloud به مدیر پنل پیوستند.
طبق اظهارات کارشناسان این پنل تخصصی، گروههای هکری متخاصم مرتبط با چین و کرهشمالی، به طور فزایندهای، نوآورانه و مبتکرانه عمل میکنند؛ از انتخاب اهداف خاص گرفته تا استفاده از اکسپلویتهای آسیبپذیری روز صفر. اکسپلویت یا کدهای مخرب، کدهایی هستند که توسط هکرها یا محققان امنیتی برای اثبات یا استفاده از یک آسیبپذیری امنیتی خاص در یک نرمافزار، سیستمعامل یا سختافزار خاص نوشته میشوند.
آسیبپذیری روز صفر نیز یک آسیبپذیری نرمافزاری است که قبل از آگاهی صاحب کسبوکار یا نرمافزار، توسط مهاجمان کشف میشود. بنابراین فرصتی برای انتشار وصله آسیبپذیری کشفشده وجود ندارد و هیچ وصلهای برای آسیبپذیری روز صفر در دسترس نیست. همین موضوع، احتمال موفقیت حملات را افزایش میدهد.
در همین رابطه، اکسپلویت روز صفر، روشی است که هکرها برای حمله به سیستمهایی با آسیبپذیری روز صفر استفاده میکنند. همچنین حمله روز صفر، استفاده از یک اکسپلویت روز صفر برای آسیبرسانی یا سرقت دادهها از یک سیستم دارای آسیبپذیری روز صفر است.
- پیشرفت حملات: از کرهشمالی تا چین و روسیه
در این پنل، به روندهای باجافزار، مشاهدات ژئوپلیتیک فعلی و تکامل گروههای تهدید کننده حمایتشده از سوی دولت پرداخته شد. اگرچه بیشتر گروههای تهدید برای دههها خطر شناختهشده برای شرکتها بودهاند اما یک گروه، علیرغم تازهکار بودن به دلیل پیشرفتههای حاصلشده برجسته بودند: نوجوانان در ایالات متحده!
اعضای این پنل، پیشرفتهای گروههای متخاصم مانند بازیگران مرتبط با کرهشمالی را که انگیزه زیادی برای دنبال کردن ارزهای دیجیتال دارند و هدف آنها در زمینه آسیبپذیری و افزایش سازههای زنجیره تامین است، برجسته کردند.
هالتکویست هشدار داد که بیش از هر زمان دیگری، تهدیدکنندههای کرهشمالی را مشاهده کرده که تکنیکهای جدید را امتحان میکنند. علاوه بر این، او پیشرفتهای گستردهای را در حوزه زیرساختهای بازیگران تهدیدهای چینی مشاهده کرد.
یکی از نمونههای ارائهشده توسط وی، امکان مخفی کردن زیرساختهای خود در Soho routers از طریق شبکهای از پروکسیها بود. او گفت که بازیگران تهدید روسیه نیز همین کار را میکنند.
کارماکال نیز اعلام کرد که بازیگران تهدید چینی، تهدید را در انواع سازمانهای هدف مشخص مانند پیمانکاران دفاعی، نهادهای دولتی، مخابرات و شرکتهای فناوری عملی میکنند.
نگرانکنندهتر، افزایش بازیگران Nexus چینی است که از آسیبپذیریهای روز صفر در دستگاههای لبه یا سیستمهایی که از ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) پشتیبانی نمیکنند، استفاده میکنند. او به حملات اخیر اشاره کرد که محصولاتی مانند Sonicwall، Fortinet VPN وHypervisor های VMware را هدف قرار میدادند.
به گفته کارماکال، حمله اولیه با بهرهبرداری از آسیبپذیری روز صفر آغاز شد. این بازیگران بدافزار را روی فایروالهای Fortinet یا هایپرویزورهای VMware مستقر میکنند و این کار، کشف مشکل را برای شرکتها دشوار میکند. حتی به عنوان یک مشتری، اگر دسترسی مدیریتی داشته باشید، توانایی مشاهده فرایندها، مشاهده فایلها در سیستم فایل، به دست آوردن حافظه یا نصب telemetry یا همان دورسنج امنیتی را ندارید. به گفته اعضای پانل، مشکل به گروههای وابسته به چین ختم نمیشود، بلکه چشمانداز تهدید کلی مهاجمانی که از آسیبپذیریهای روز صفر با سرعت فزاینده سوءاستفاده میکنند، گسترش یافته است.
- تهدیدهای غیرمنتظره
در حالی که گروههای تحت حمایت دولت از کشورهای متخاصم، تواناییهای فزایندهای از خود نشان میدهند، کارماکال نگرانی خود را درباره یک گروه تهدید کاملا متفاوت مطرح کرد: نوجوانان ایالات متحده و بریتانیا. او گفت که Mandiant شاهد نفوذ افراد جوان به برخی از بزرگترین سازمانها بوده است.
وی موفقیت این گروه را به کمپینهای موثر مهندسی اجتماعی نسبت داد. به عنوان مثال، آنها می توانند کاربران را متقاعد کنند به سایت anydesk.com وارد شوند، مشتری anydesk را دانلود کنند و سپس دسترسی از راه دور را برای مهاجم فراهم کنند.
کارماکال معتقد است آنها یکی از رایجترین بازیگران تهدید امروزی در ایالات متحده هستند. دفاع از آنها واقعا دشوار است. عامل دیگری که به موفقیت نوجوانان 13 ساله کمک میکند، هوش شخصی است. کارماکال توانایی بازیگران تهدید را برای ارسال پیامهای متنی قانعکننده با پیوندهای مخرب به تلفنهای همراه کاری یا شخصی کارکنان مشاهده کرد. هدف، پشتیبانی فنی یا کارکنان مرکز تماس است مانند قرار دادن دستگاههای لبه که از EDR پشتیبانی نمیکنند.
به گفته کارماکال، این پیامها توسط شرکت نظارت نمیشوند. ترافیک شبکه بین تلفن همراه کاری یا شخصی و وبسایت مشابه از طریق شبکه تلفن همراه عبور میکند و شرکتها نمیتوانند بر آن نظارت کنند. افزایش کار ترکیبی به این معناست که ابزارهای کاری و شخصی اغلب درهم تنیده میشوند.
کارماکال هشدار داد که نوجوانان همچنین در شخصیسازی حملات برای سازمان و افراد، آزار و اذیت کارکنان و اعضای خانواده کارمندان مهارت دارند.
به گفته وی، پرداخت برای دریافت رمزگشا یک موضوع مهم است. اگر یک مدیر اجرایی شرکت باشید و دخترتان توسط یک بازیگرِ تهدید، مورد اذیت و آزار قرار گیرد، داستان متفاوت است.
- نگرانی از تهدیدات هکری در انتخابات 2024
هالتکویست در حالی که درباره تغییر روند باجافزار بحث میکرد، اعلام کرد اخاذی چند وجهی که اغلب شامل سرقت و قرار گرفتن در معرض احتمالی دادههای حساس است، اولین روشی است که مجرمان سایبری با انگیزه مالی از نفوذهای خود، کسب درآمد میکنند. او معتقد است این کار، موثرتر از اختلال ناشی از استقرار باج افزار است که سیستمها را رمزگذاری میکند. علاوه بر این، گروههای باجافزار، اهدافی را انتخاب میکنند که فکر میکنند هزینه پرداخت میکنند. به همین دلیل زیرساختهای حیاتی همچنان در معرض خطر هستند.
به گفته هالتکویست، فعالیت این نهادها برای مدتی متوقف شد اما همچنان زنده و سالم هستند. او همچنین نگران انتخابات ریاست جمهوری آینده در سال 2024 است.
همچنین Mandiant اقدامات «جدی» از طرف روسیه و ایران در حوالی انتخابات گذشته مشاهده کرد. هالتکویست انتظار دارد این بار نیز با سایر بازیگران احتمالی که هنوز مشخص نیست، همین وضعیت را شاهد باشد. او میگوید: «ما در طول انتخابات، بیش از سایرین آسیبپذیر هستیم.»