بحران VPNهای قلابی
نزدیک به 2 ماه از انسداد اینترنت و فیلترینگ برخی خدمات و سایتهای اینترنتی پرکاربرد در ایران میگذرد و همین موضوع به گواه شواهد و قراین موجود، منجر به هجوم تعداد زیادی از کاربران ایرانی به سمت استفاده مستمر از انواع و اقسام ابزارهای دورزدن فیلترینگ شده است.
موبنا؛ سعید میرشاهی – اگرچه آمار دقیقی از تعداد نرمافزارها و اپلیکیشنهای موسوم به VPN و فیلترشکن روی موبایل و کامپیوتر ایرانیها در دست نیست، اما مشاهدات و بررسیهای میدانی نشان میدهد هر کاربر ایرانی به طور متوسط 5 و گاه تا 10 فیلترشکن روی دستگاه خود نصب کرده است.
این در حالی است که اصل استفاده از ابزارهای فیلترشکن، خود میتواند کاربران و یک کشور را با چالشهای امنیتی متعدد مواجه کند که آثار آن نیز گاه تا سالهای طولانی میتواند ادامه داشته باشد.
اکنون اما با پدیده خطرناک و بیپاسخ مانده دیگری به نام بحران VPNهای قلابی و جعلی مواجه هستیم که میتواند از طرف گروهها و کشورهای مختلفی به سمت ایران سرازیر شده باشد.
فارغ از تهدید اطلاعات شخصی کاربران نسخههای ضعیف و جعلی VPN این ناامنیها به ویژه در حوزه شرکتها و سازمانها نیز آثار به مراتب وخیمتر و گستردهتری هم به جای میگذارد.
چالشی که هیچ پاسخ روشن و مستدلی از سوی متولیان امنیت و فضای مجازی کشور در پی نداشته است و با سکوت در این خصوص مواجه هستیم.
*شیوع جاسوسافزار معروف
در جدیدترین نمونه از گسترش فیلترشکنهای تقلبی، حالا کاربران اندروید با استفاده از جاسوسافزار معروف به SandStrike که از طریق برنامههای VPN آلوده به بدافزار ارایه میشود، توسط عوامل تهدید، هدف قرار میگیرند. عوامل تهدید، نرمافزارهای جاسوسی بسیار مخفیانه و پیچیده را داخل یک برنامه VPN به گردش درمیآورند.
بر اساس گزارش محققان امنیت سایبری در آزمایشگاه کسپرسکی، یک کمپین جاسوسی توسط بازیگران تهدید با استفاده از SandStrike انجام شد که در آن به طور مشخص برخی کاربران مناطق خاورمیانه و ایران را هدف قرار دادند. این برنامه مخرب از طریق VPN، به عنوان یک روش ساده برای دور زدن سانسور مطالب مذهبی در برخی نقاط خاص جهان، توسط مهاجمان به بازار عرضه میشود.
کانالهای توزیع بدافزار
عوامل تهدید در کانالهای توزیع، به طور فعال پلتفرمهای رسانههای اجتماعی را با حسابهای جعلی در فیسبوک و اینستاگرام با هزار دنبالکننده هدف قرار میدهند.
با این حسابهای جعلی رسانههای اجتماعی، عوامل تهدید، قربانیان را به کانال تلگرامیکه توسط آنها اداره میشود، هدایت میکنند. در این کانال تلگرامی، چندین لینک مخرب برای دانلود و نصب برنامه مخرب VPN ارایه شده است. هرچند این برنامه، مخرب است اما از زیرساخت VPN استفاده میکند که نشان میدهد VPN مخرب، کاملا کاربردی و عملیاتی است.
بر اساس این گزارش برخی حسابهای جعلی که توسط عوامل تهدید استفاده میشود، با مضمون دینی طراحی شدهاند و با نصب VPN، بدافزار SandStrike، روی دستگاههای موردنظر مستقر میشود که توانایی سرقت طیف گستردهای از دادههای حساس را از دستگاههای قربانیان دارد. این اطلاعات، مواردی مانند سیاهه لیستهای تماس جاسوسی از فعالیتهای قربانیان APT Trends و تغییرات قابلتوجه در تاکتیکها، تکنیکها و رویههای بازیگران APT در سه ماهه سوم سال 2022 را شامل میشود.
توصیههای تحلیلگران امنیتی
در همین راستا همچنین پلتفرم بدافزار پیشرفته جدید که شرکتهای مخابراتی، ارایهدهندگان خدمات اینترنتی و دانشگاهها را هدف قرار میدهد، در حال ارتقا به ابزارهای پیشرفته و پیچیده است. اوایل سپتامبر، صنایع مخابراتی، بخشهای آموزشی و ISPها در آفریقا و خاورمیانه با یک پلتفرم بدافزار جدید به نام متاترون مواجه شدند.
تحلیلگران امنیتی توصیههای زیر را به عنوان روشهایی برای جلوگیری از حمله عوامل تهدید ارایه کردهاند:
– مهارتهای تیم امنیت سایبری خود را ارتقا دهید.
– دسترسی به آخرین اطلاعات تهدید، یکی از حیاتیترین کارهایی است که میتوانید برای تیم SOC خود انجام دهید.
– راهحلهای EDR که در سطح سازمانی هستند، توصیه میشوند.
– محافظت از نقطه پایانی، بخش مهمیاز استراتژی فناوری اطلاعات شماست.
– آگاهی از امنیت باید آموزش داده شود.
هشدار درباره سرورهای VPN با محافظت ضعیف
در همین خصوص، افبیآی هشدار میدهد سرورهای VPN با محافظت ضعیف، مورد حمله قرار میگیرند.
افزایش حملات باجافزاری و اخاذی دادهها از ارایهدهندگان خدمات بهداشتی، موجب صدور یک مشاوره امنیت سایبری مشترک (CSA)، توسط دفتر تحقیقات فدرال (FBI)، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و وزارت بهداشت و خدمات انسانی (HHS) ایالات متحده شد.
طبق گزارش این آژانسها، این حملات اغلب روی سرورهای VPN ناامن تمرکز میکنند و از ژوئن 2022 به طور پیوسته بر تعداد آنها افزوده میشود.
عامل تهدیدکننده
این گروه مشاوره مشترک، «تیم Daixin» را به عنوان عامل تهدیدکننده این جرایم که شامل باجافزارهای هدفمند و عملیات اخاذی از داده است، نام میبرد. همچنین آنها معتقدند تیم Daixin مسوول حوادث باجافزار خاص در چندین سازمان مراقبتهای بهداشتی و سلامت عمومی(HPH) است.
این باجافزار، برای رمزگذاری سرورهای مسوول مدیریت سوابق و خدمات مراقبتهای بهداشتی، از جمله سوابق الکترونیکی سلامت، خدمات تشخیصی، خدمات تصویربرداری و خدمات اینترانت مستقر میشود. استخراج و بهرهبرداری از اطلاعات شناسایی شخصی (PII) و اطلاعات سلامت بیمار (PHI) که تهدیدی برای انتشار این دادههای حساس در صورت عدم پرداخت باج است، از جمله اقدامات این باجافزار است.
تبدیل VPNها به اهداف باجافزارها
بازیگران جرایم سایبری تیم (دایکسین )Daixin، برای اجرای حملات خود، از انواع تاکتیکها، تکنیکها و رویههای (TTPs) مرتبط با چارچوب MITRE ATT&CK® for Enterprise استفاده میکنند. با این حال، در هر مورد، بازیگران Daixin با بهرهبرداری از شبکه خصوصی مجازی (VPN) سازمان، به قربانیان، دسترسی اولیه پیدا میکنند. پس از دسترسی، بازیگران دایکسین از شبکهها عبور میکنند و دادههای مربوطه را که میتوانند برای انجام حمله باجافزار استفاده کنند، جمعآوری میکنند.
در یک مورد تاییدشده، تیم دایکسین از یک آسیبپذیری اصلاحنشده در VPN سازمان قربانی، سوءاستفاده کرد.
در مورد دیگر، مهاجم، از اعتبارنامههای قبلا بهخطرافتاده، برای دسترسی به سرور VPN قدیمیناامن استفاده کرد.
اعتقاد بر این است این اعتبارنامهها با استفاده از یک ایمیل فیشینگ با یک پیوست مخرب به دست آمده که پس از ورود به سیستم، امکان تخلیه اعتبار را فراهم میکند. سروری که بعدا با این اعتبارنامهها در معرض خطر قرار گرفت، احراز هویت چندعاملی (MFA) را فعال نکرد، بنابراین دسترسی غیرقانونی عامل تهدید، بررسی نشد.
دسترسی کامل با اعتماد کامل، توسط یک VPN ناامن فعال شده، به عوامل تهدید دایکسین اجازه میدهد تا به صورت جانبی در شبکه سازمان حرکت کرده، دادهها را بازیابی و رمزگذاری کنند و آنها را برای باج نگه دارند. بازیگران از پروتکلهای پوسته امن (SSH) و دسکتاپ از راه دور (RDP)، به عنوان ابزارهای حرکت در سیستمهای درون سازمان استفاده میکنند. تخلیه اعتبار به آنها اجازه میدهد تا به حساب کاربری ممتاز، دسترسی پیدا کرده و اعتبارنامهها را برای استفاده و بهرهبرداری در آینده استخراج کنند.
هنگامیکه حسابهای دارای امتیاز نقض میشوند، برای دسترسی به VMware vCenter Server و بازنشانی رمزهای عبور حساب برای سرورهای ESXi در محیط استفاده میشوند سپس دایکسین میتواند از دسترسی SSH برای اتصال به سرورهای در معرض خطر و استقرار باجافزار استفاده کند.
بر اساس گزارش نهاد ثالث، باجافزار تیم دایکسین بر اساس کد منبع فاششده، Babuk Locker است که به طور خاص سرورهای ESXi را هدف قرار میدهد و باجافزار فایلهای واقع در /vmfs/volumes/ را با پسوندهایی که در ادامه خواهد آمد رمزگذاری میکند: vmdk.، vmem.، vswp.، vmsd.، vmx.، و vmsn. همچنین یک یادداشت باج نیز در /vmfs/volumes/ نوشته میشود. جزییات بیشتر درباره TTPهای مورداستفاده و شاخصهای سازش (IOC) را میتوان در وبسایت CISA دنبال کرد.
توصیههایی برای کاهش تاثیرات دایکسین
تیم مشاوره مشترک FBI، CISA و HHS برای کمک به محافظت در برابر دایکسین و فعالیتهای مخرب مرتبط، برخی اقدامات کلیدی را توصیه کردند. این اقدامات عبارتند از:
– نرمافزار و سیستمها را با تمرکز ویژه بر نرمافزارهای دسترسی از راه دور و ماشینهای مجازی بهروز نگه دارید. استفاده از MFA در همه سیستمها الزامیاست.
– با محدودیت دسترسی به شبکههای داخلی، پروتکل دسکتاپ از راه دور (RDP) را ایمن کرده و بر آن نظارت کنید.
– پورتها و پروتکلهایی را که برای اهداف تجاری استفاده نمیشوند، غیرفعال کنید.
– SSH و سایر رابطهای مدیریت دستگاه شبکه را غیرفعال کنید. در صورت فعال بودن، با رمزهای عبور قوی، ایمن کنید.
– پیادهسازی، بخشبندی شبکه چندلایه، قرار دادن حیاتیترین ارتباطات و دادهها در امنترین و قابل اطمینانترین لایه را مدنظر قرار دهید.
– برای محدودیت دسترسی و اطمینان از عدم دستکاری بستههای داده توسط هجوم انسانی در حین انتقال، برای نقاط پایانی که باید به شبکه متصل شوند، احراز هویت مداوم را حفظ کنید.
– از حسابهای کاربری استاندارد در سیستمهای داخلی استفاده کنید. همچنین حسابهای مدیریتی را محدود کرده و «حداقل دسترسی» را در سراسر شبکه ارتقا دهید.
– از ابزارهای نظارتی برای مشاهده اینکه آیا دستگاههای مختلف متصل به دلیل سازش، رفتار نامنظم دارند، استفاده کنید.
– با برنامههای واکنش به حوادث سایبری و بکاپ دادهها، به طور منظم برای آمادگی در برابر حملات باجافزار تمرین کنید.
استفاده از Zero Trust برای کاهش حملات
بسیاری از توصیههای CISA برای کاهش این حوادث و حملات، اصول اولیه اتخاذ دسترسی به شبکه زیرو تراست (ZTNA) به جای تکیه بر فناوری سنتی VPN است که به شدت در برابر TTPهای شناساییشده در مشاوره چند سازمان حساس است.
کلید این استراتژی، تضمین یک قفل محکم بین راهحل ZTNA و عوامل امنیتی نقطه پایانی است. این روش، یک رویه lock-step را برای استفاده از مدیریت دسترسی و امنیت نقطه پایانی تقویت میکند. در یک گام به جلو، احراز هویت مجدد اجباری کاربر هنگام دسترسی به منابع خصوصی، استفاده از احراز هویت مداوم برای مدیریت انتشار اطلاعات را تضمین میکند. اتخاذ حداقل دسترسی، همچنین میزان «runway» را که میتواند یک عامل تهدید از طریق حسابهای در معرض خطر به دست آورد، به حداقل میرساند.
حفاظت داخلی از تهدید، از طریق سیستم تشخیص نفوذ (IDS)، میتواند این سپر دفاعی را تقویت و به شناسایی فعالیتهای مخرب و تجزیه و تحلیل مقصد کمک کند. مدافعان شبکه این توانایی را به دست میآورند که بفهمند آیا عواملی از مقاصد مخرب شناختهشده، تلاش میکنند به منابع شبکه -حتی زمانی که مهاجمان، هویت کاربران تاییدشده با اعتبار سرقتشده را جعل میکنند – دسترسی پیدا کنند یا خیر؟
این اصول اولیه zero trust با هم کار میکنند تا با اطمینان از کنترل دسترسی گرانول و تقسیمبندی شبکه چند لایه، تهدیدها را به چالش بکشند و حیاتیترین محافظت را برای حیاتیترین دادهها و ارتباطات فراهم کنند. زمانی که ZTNA به صورت جامع اجرا شود، یک عامل بازدارنده در برابر باجافزار، چراغهای فرمان و کنترل (C2)، افزایش امتیازات و استخراج دادهها خواهد بود. این کار، انسجام سطح را برای حمله کاهش میدهد، از حرکت جانبی و کشف برنامههای ناخواسته جلوگیری میکند و دید بیشتری را در فعالیت شبکه برای منابع داخلی و ابری فراهم میسازد.
در این زمینه، بلکبری به رویکرد چندمستاجری و بوم ابری برای ZTNA اعتقاد دارد تا راهحل سریع، قابل اعتماد و انعطافپذیر برای شرکتهای مدرن ارایه دهد که تحول کسبوکار دیجیتال را در عین ایمن نگه داشتن شبکهها و نقاط پایانی قدرتمند میکند. این موضوع، باید با راهحلهای امنیت سایبری همراه شود که از هوش مصنوعی و یادگیری ماشین در سطح جهانی برای حمایت از یک استراتژی موثر پیشگیرانه استفاده میکند. منابع:gbhackers.com – blackberry.com
منبع: عصر ارتباط