1. صفحه نخست
  2. وبلاگ ایدکو
  3. بر خلاف سایر حملات، حمله‌ی دارک‌ویشنیا فیزیکی است

بر خلاف سایر حملات، حمله‌ی دارک‌ویشنیا فیزیکی است

18 آذر 1397 بر خلاف سایر حملات، حمله‌ی دارک‌ویشنیا فیزیکی است

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به طور عادی، همیشه بررسی روی یک حادثه‌ی سایبری را با نگاه کردن به منبع آلودگی شروع می‌کنیم. پیدا کردن چنین منبعی کار سختی نیست- به دنبال ایمیلی با یک پیوست بدافزار و یا لینک مخرب یا حتی سرور هک‌شده می‌گردیم. متخصصین بر طبق مقررات همیشه فهرستی از تجهیزات دارند؛ پس تنها کاری که باید انجام داد پیدا کردن آن دستگاهی است که برای اولین بار شروع به فعالیت‌های مخرب و مسری کرده است. اما اگر همه‌ی دستگاه‌ها سالم باشند و همچنان عملیاتی مخرب در جریان باشد چه؟ اخیراً متخصصین ما چنین وضعیتی را بخوبی و با دقت مورد بررسی قرار داده‌اند. یافته‌های آن‌ها: مهاجمین به طور فیزیکی تجهیزات خود را به شبکه‌ی اینترنتی شرکت وصل کرده بودند. 

این نوع حمله را دارک‌ویشنیا (DarkVishnya) می‌گویند. دارک‌ویشنیا از زمانی آغاز به حمله می‌کند که مجرم دستگاهی را به اداره‌ی قربانی می‌آورد و آن را به شبکه‌ی اینترنتی شرکت وصل می‌کند. مجرمان سایبری بوسیله‌ی ان دستگاه می‌توانند از راه دور زیرساخت آی‌تی شرکت را زیر نظر بگیرند؛ در رمزعبورها سرک بکشند؛ اطلاعات مختلف را از فولدرهای عمومی بخوانند و کلی کارهای دیگر. این متود می‌تواند شرکت‌های بزرگ را به خطر بیاندازد... در واقع هر قدر شرکت بزرگ‌تر، خطر بیشتر.  و برای مجرمین هر قدر شرکت بزرگ‌تر کارشان راحت‌تر. مخفی کردن یک دستگاه مخرب در شرکتی بزرگ به مراتب آسان‌تر از پنهان کردن آن در شرکتی کوچک است؛ خصوصاً اگر آن شرکت در نقاط دیگر جهان اداره‌های دیگری هم داشته بشد که با یک شبکه به همدیگر وصل‌اند.

دستگاه‌ها

در طی این بررسی، متخصین ما با سه نوع حمله‌ی دارک‌ویشنیا مواجه شدند. هنوز نمی‌دانیم آیا همه‌شان توسط یک گروه کار گذاشته شده بودند یا خیر و یا اینکه آیا عاملین مختلفی در این پروسه دخیل بودند یا نه. اما این را بخوبی می‌دانیم که همه‌ی این حملات از یک اصول و روش استفاده می‌کردند. دستگاه‌های دخیل شامل موارد زیر می‌شدند:

لپ‌تاپ‌های ارزان‌قیمت و یا نت‌بوک‌ها[1]. مهاجمین نیازی به مدل پیشرفته و پرچم‌دار ندارند؛ آن‌ها می‌توانند یک کارکرده‌اش را بخرند، مودم G3 بدان وصل کرده و یک برنامه‌ی کنترل از راه دور نیز برایش نصب کنند. آن‌ها براحتی می‌توانند دستگاه را پنهان کنند تا از نظر همه پوشیده بماند. آن‌ها دو کابل متصل می‌کنند؛ یکی به شبکه‌ی اینترنتی و دیگری به منبع برق.

سری رایانه‌های تک‌بردی رزبری پای[2]. یک کامپیوتر مینیاتوری که با اتصال یو‌اس‌بی کار می‌کند. بسیار ارزان و نامحسوس....می‌توان آن را براحتی خرید و در اداره جاساز کرد... کارایی‌ بیشتری نسبت به لپ‌تاپ‌ها دارد. می‌توان آن را به کامپیوتر زد.. .بدین‌ترتیب خیلی راحت می‌شود لا‌به‌لای سیم‌ها پنهانش کرد (برای مثال در پورت یو‌اس‌بی روی دستگاه تلویزیون در لابی و یا محوطه‌های انتظار).

بَش‌بانی[3]. به عنوان وسیله‌ای برای آزمایش عملیات نفوذ به کار می‌رود. بش‌بانی را می‌توان آزادانه از انجمن‌های هکرها تهیه کنند. نیازی به استفاده از یک کانکشن اینترنتی اختصاصی نیست؛ بش‌بانی از طریق پورت یو‌اس‌بی کامپیوتر عمل می‌کند. بش‌بانی‌ها دو روی سکه دارند: از طرفی کار راه اندازند چراکه خود را شبیه به یک فلش‌درایو می‌کنند و از طرفی دیگر خیلی راحت توسط فناوری کنترل دستگاه شناسایی می‌شوند (و به همین دلیل است که اغلب موفق نمی‌شوند).

نحوه‌ی اتصال

حتی در شرکت‌هایی که مسائل امنیتی بسیار جدی گرفته می‌شود هم کاشت و جاگذاری چنین دستگاهی بعید نیست. پیک‌ها، متقاضیان مشاغل و نمایندگان مشتری‌ها و شرکا... اینها همگی می‌توانند بالقوه وسیله‌ای برای جاگذاری این دستگاه در شرکت‌ها باشند. بنابراین مجرمان می‌توانند خود را به اقتضای شرایط هر سازمان به شکل هر یک از آن‌ها درآورند.

خطر ضمنی: سوکت‌های اترنت تقریباً هر جایی از ادارات نصب‌شده‌اند- راهروها، اتاق‌های جلسه، سالن‌ها و غیره. بالاخره داخل هر شرکتی یک جایی برای جاساز دستگاه کوچکی که بتواند به شبکه‌ی اینترنتی و یا منبع برق وصل شود پیدا می‌کنید.

چه باید کرد؟

این حمله دست کم یک نقطه‌ضعف دارد: مهاجم باید به طور فیزیکی وارد شرکت شود و باز هم به طور فیزیکی دستگاه را جاساز کند. بنابراین ابتدا باید تا حد امکان، دسترسی به شبکه‌ها را توسط افراد غریبه محدود کنید.

  • خروجی‌های اترنتِ بلااستفاده را در مکان‌های عمومی از اتصال خارج کنید. اگر انجام چنین کاری امکان‌پذیر نیست دست کم آن‌ها را روی شبکه‌‌ی اینترنتی جداگانه‌ای بگذارید.
  • سوکت‌های اترنت را در معرض دید دوربین‌های مدار بسته قرار دهید (تا بدین‌ترتیب بشود در هنگام وقوع حادثه‌، مجرم را شناسایی نمود).
  • از راه‌حل امنیتی همراه با فناوری‌های مطمئنِ کنترل دستگاه است استفاده کنید (مانند بسته‌ی اندپوینت سکیوریتی کسپرسکی برای شرکت[4]).
  • برای نظارت فعالیت‌های مشکوک و خارج از عرف از راه‌حل تخصصی استفاده کنید. مانند پلت‌فرم ضد حملات هدفمند کسپرسکی[5]

 

[1]  Netbook: لپ‌تاپی سبک، کوچک، قابل حمل، ارزان و با مشخصات سخت‌افزاری و قدرت پردازش کم‌تر در مقایسه با لپ‌تاپ‌های بزرگ‌تر است.

[2] Raspberry Pi

[3] Bash Bunny

[4]  Kaspersky Endpoint Security for Business

[5] Kaspersky Anti Targeted Attack Platform

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

مطالب کاربردی

هم اکنون شرکت تجارت الکترونیک ایرانیان افتخار دارد در زمینه ارائه راهکارهای امنیت اطلاعات و ارتباطات بیش از 750 سازمان و شرکت دولتی و خصوصی را در کنار خود داشته باشد. مهمترین هدف شرکت در کلیه فعالیت های خود، استفاده از آخرین دستاوردهای علمی و ایجاد رضایتمندی مشتریان است...

لینک های مفید

تماس با ما

عضویت در خبرنامه

تمامی حقوق این سایت برای شرکت گسترش خدمات تجارت الکترونیک ایرانیان محفوظ است.