تحولات دنیای تهدیدات سایبری در فصل نخست 2015 (بخش اول)

۱۳۹۴/۴/۲مقالات علمی

سه ماهه نخست 2015 از نگاه آمار:

* براساس اطلاعات شبکه امنیتی کسپرسکی، محصولات امنیتی کسپرسکی در فصل نخست سال 2015 در مجموع بیش از 2.2 میلیارد حمله بدافزاری علیه سیستم‌های کامپیوتری و دستگاه‌های موبایلی شناسایی و خنثی کردند.

* محصولات امنیتی کسپرسکی نزدیک به 470 میلیون حمله از طریق منابع آنلاین در سراسر دنیا را دفع کردند.

* آنتی ویروس وب کسپرسکی بیش از 28 میلیون عامل بدافزاری مانند کد، اسکریپت، حفره و فایل‌های اجرایی منحصر به فرد را شناسایی کرد.

* آنتی ویروس کسپرسکی بیش از 93 میلیون URL آلوده و خرابکارانه را شناسایی کرد.

* 40 درصد از حملات تحت وبی که کسپرسکی موفق به دفع آنها شد از طریق منابع اینترنتی آلوده در روسیه پایه‌ریزی شده بود.

* محصولات آنتی ویروس کسپرسکی بیش از 253 عامل خرابکارانه را شناسایی کردند.

* محصولات کسپرسکی برای دستگاه‌های موبایلی موفق به شناسایی این موارد شدند:

- بیش از 147 هزار فایل نصب و راه‌اندازی

- بیش از 103 هزار برنامه موبایلی خرابکارانه جدید

- بیش از 1500 تروجان بانکداری همراه

نگاه جامع

پیشرفته‌ترین حمله سایبری: Equation

در فصل نخست سال 2015 اخبار مربوط به گروه جاسوسی سایبری Equation بیش از هر خبر دیگری در دنیای امنیت سایبری بر سر زبان‌ها بود. این گروه قدرتمند با دیگر گروه‌های هم‌رده خود مانند Stuxnet و Flame سال‌ها در تعامل بوده است. به‌جرات می‌توان حملات این گروه جاسوسی را پیشرفته‌ترین حملات در نوع خود دانست، به‌طوریکه یکی از ماژول‌های این گروه قادر است میان‌افزار هارد درایو را دستکاری کند. از سال 2011 تاکنون، Equation صدها هزار سیستم کامپیوتری در آمریکا، ایران، روسیه، سوریه، افغانستان و چند کشور دیگر را آلوده کرده و قربانیان عمده آن را نهادهای دولتی و دیپلماتیک و سازمان‌های فعال در حوزه‌های زیرساختی مانند مخابرات و انرژی تشکیل می‌دهند.

این گروه دامنه گوناگونی از بدافزارها را در حملات خود به‌کار می‌بندد که بعضی از آنها از پلتفرم بدافزاری مشهور Regin هم قدرت‌مندتر هستند. برخی از راه‌های آلودگی بدافزاری این گروه عبارت است از استفاده از کرم Fanny USB (کرمی که دو آسیب‌پذیری ناشناخته نفوذ می‌کرد و بعدها در حملات استاکس نت هم استفاده شد)، فایل‌های نصب آلوده مانند CDROMS و حفره‌ها و آسیب‌پذیری‌های تحت وب.

موفق‌ترین عملیات سایبری: Carbanak

کسپرسکی در بهار سال میلادی گذشته یک پرونده تحقیقاتی بزرگ را کلید زد؛ دستگاه‌های خودپرداز یک بانک مشخص بدون حضور فیزیکی کاربران پای دستگاه، پول نقد پرداخت می‌کرد و این نقطه شروع تحقیقات کسپرسکی بود که به کشف عملیات سایبری وسیع Carbanak و شناسایی بدافزاری با همین نام منجر شد.

Carbanak یک بدافزار به‌اصطلاح Backdoor (درپشتی) است که برپایه کد Carberp نوشته شده و هدف طراحی آن جاسوسی، جمع‌آوری اطلاعات و کنترل راه دور سیستم‌های آلوده است. Carbanak به‌محض نفوذ در یک شبکه، امکان شناسایی و رصد فعالیت‌های درون‌شبکه‌ای و جمع‌آوری داده‌های حساسی مانند سیستم‌های پردازش، حسابداری و سیستم‌های مدیریت دستگاه‌های خودپرداز را برای مهاجمان ممکن می‌ساخت.

این بدافزار از سه روش عمده برای سرقت پول استفاده می‌کرد:

1. دستگاه‌های خودپرداز

2. انتقال پول به حساب‌های بانکی مهاجمان سایبری از طریق شبکه سوئیفت

3. دستکاری پایگاه‌های داده بانک و باز کردن حساب‌های جعلی

ارسال ایمیل‌های فیشینگ با ضمیمه اسناد آلوده یکی از راه‌های عمده گسترش آلودگی‌های Equation بود. این ایمیل‌ها به‌گونه‌ای طراحی شده بودند که شک کمتر کسی را برمی‌انگیختند و حتی در بعضی از موارد از آدرس ایمیل کارکنان سازمان‌های معتبر برای قربانیان ارسال می‌شد.

کسپرسکی پیش‌بینی می‌کند حدود 100 نهاد مالی که اغلب در اروپای شرقی فعالیت می‌کنند ضرری یک میلیارد دلاری را درپی حملات Equation متحمل شده‌اند. این اعداد و ارقام با اختلاف قابل توجهی Carbanak را در صدر برترین عملیات سایبری دنیا قرار می‌دهد.

 

شاهین صحرا در خاورمیانه

کسپرسکی در جریان بررسی یک حادثه سایبری در خاورمیانه به حملات سازمان‌یافته گروهی برخورد که فعالیت آن تا آن زمان از کارشناسان پوشیده بود؛ گروهی که Desert Falcons نام گرفت. «شاهین صحرا» اولین گروه عرب زبانی است که دست به اجرای عملیات جاسوسی سایبری تمام‌عیار زده است. از این گذشته به‌نظر می‌رسد فعالیت‌های این گروه با درگیری‌های سیاسی در منطقه در ارتباط است.

اولین نشانه از فعالیت‌های شاهین صحرا در سال 2011 شناسایی و اولین مورد از آلودگی‌های آن در سال 2013 ثبت شد. شدت عملیات Desert Falcons در سال 2014 و اوایل سال 2015 به اوج خود رسید و کارشناسان براین باورند که اعضای این گروه افراد حرفه‌ای و کاربلدی هستند؛ آنها یک بدافزاری ویندوزی و اندرویدی را از پایه خلق کردند و از طریق ایمیل‌های فیشینگ و وب‌سایت‌ها و حساب‌های کاربری قلابی در شبکه‌های مجازی، حملات سازمان‌یافته کم‌نظیری را ترتیب دادند.

قربانیان اصلی این گروه سایبری را کاربران و سازمان‌های فعال در سرزمین‌های فلسطین اشغالی، مصر و اردن تشکیل می‌دهند. فعالان و رهبران سیاسی، سازمان‌های دولتی و نظامی، رسانه‌های عمومی و نهادهای مالی اهداف عمده حملات Desert Falcons بوده‌اند. این گروه تاکنون بیش از 3000 هزار قربانی داشته  و بیش از یک میلیون فایل و سند حساس را به‌سرقت برده است.

شاهین صحرا علاوه بر انتشار ماهرانه و بسیار دقیق و برنامه‌ریزی شده ایمیل‌های فیشینگ، از شیوه‌های مهندسی اجتماعی در فیسبوک نیز سود برده است. مهاجمان بعد از ایجاد صفحه و حساب کاربری در فیسبوک با کاربران هدف ارتباط برقرار کرده و با جلب اعتماد آنها از طریق چت فایل‌های بدافزاری را در قالب یک فایل عکس ارسال می‌کنند. این گروه برای آلودگی سیستم‌های کامپیوتری در مقیاس وسیع‌تر برای رهبران سیاسی صفحات قلابی ایجاد می‌کند و با سواستفاده از اعتماد کاربران به چهره‌های سیاسی شاخص، لینک‌های آلوده را در این صفحات به‌اشتراک می‌گذارد.

قلعه حیوانات

روزنامه فرانسوی «لوموند» در ماه مارس 2014 گزارشی از یک مجموعه ابزار جاسوسی سایبری منتشر کرد. این جاسوس‌افزارها که اولین بار سازمان Communications Security Establishment Canada (CSEC) از آنها پرده برداشت در عملیات سایبری وسیعی به‌نام Snowglobe به‌کار گرفته شده بود؛ عملیاتی شامل حمله به رسانه‌های فرانسوی زبان کانادا و همچنین هجوم به رسانه‌های یونان، نروژ، فرانسه و برخی کشورهای آفریقایی. CSEC برپایه یافته‌های اولیه خود احتمال داد آژانس‌های اطلاعاتی فرانسوی پشت این حملات بوده‌اند.

در اوایل سال میلادی جاری، محققان نتایج بررسی‌های خود روی چند بدافزار را منتشر و نقاط اشتراک زیادی را با بین این بدافزارها و Snowglobe مشاهده کردند. محققان به‌طور خاص موفق به شناسایی کدهایی شدند که نام مستعار Babar در آنها به چشم می‌خورد؛ نامی که پیش‌تر در گزارش SCEC نیز آمده بود.

کارشناسان کسپرسکی بعد از بدافزارهای به‌کاررفته در عملیات Snowglobe، گروه سایبری پشت این حملات را Animal Farm نامید. کسپرسکی در تحقیقات خود ردپای گروه «قلعه حیوانات» را در دو مورد از سه آسیب‌پذیری ناشناخته عمده‌ای مشاهده کرد که مهاجمان سایبری در سال 2014 برای انجام حملات خود از آن استفاده کرده بود.

ویژگی‌های جالب این عملیات سایبری آن است که NBOT– یکی از بدافزارهای به‌کار رفته در عملیات Animal Farm– برای انجام حملات DDoS طراحی شده است. این درحالیست که مهاجمان سایبری مشابه اغلب از چنین شیوه‌ای در حملات خود استفاده نمی‌کنند. همچنین یکی دیگر از بدافزارهای این گروه Tafacalou نام دارد؛ نامی که محققان احتمال می‌دهند از یک زبان محلی در جنوب فرانسه برگرفته شده است.

تروجان بانکی Upatre

تروجان Upatre که به Dyreza هم معروف است شایع‌ترین تروجان بانکی-مالی در سه ماهه نخست سال 2015 بود. این تروجان که در سال 2014 ظهور کرد کاربران نهادهای مالی مختلف را هدف قرار می‌دهد. Upatre برای سرقت اطلاعات بانکی کاربران هنگام پرداخت اینترنتی از شیوه پیشرفته‌ای برای دور زدن پروتکل امنیتی SSL استفاده می‌کند. این بدافزار همچنین ممکن است به عنوان ابزار مدیریت راه دور (RAT) استفاده شود که به این ترتیب به مهاجمان امکان خواهد داد به جای کاربران به انجام عملیات بانکی آنلاین بپردازند.

فایل Upatre به‌وسیله هرزنامه‌هایی به دست کاربران می‌رسد که با ایمیل‌های رسمی از سوی نهادهای مالی مو نمی‌زنند. در میان قربانیان Upatre نام نهادهای مالی بزرگی مانند Bank of America، Natwest، Citibank، RBS و Ulsterbank به چشم می‌خورد. تحقیقات نشان می‌دهد حملات اصلی این بدافزار در انگلیس متمرکز است.

حمله به کارتخوان‌ها

تروجان بانکی جدیدی به نام PoSeidon شناسایی شده که حافظه دستگاه‌های پوز یا همان کارتخوان‌ها را اسکن می‌کند و تمام اطلاعات پرداخت روی دستگاه را در فایل تکست برای مهاجمان باز پس می‌فرستد.

محققان Cisco Security Solutions سه عامل بدافزاری کشف کرده‌اند که احتمالا با PoSeidon در ارتباط است: یک Keylogger (ابزار ثبت اطلاعات ورودی کاربران)، یک Loader و یک Memory Scraper که از عملکرد یک Keylogger نیز برخوردار است. بدافزار شناسایی Keylogger برای سرقت از اپلیکیشن دسترسی راه دور LogMeIn استفاده می‌شده است. عملکرد این بدافزار به این صورت است که پروفایل‌ها و گذرواژه‌های رمزنگاری شده در رجیستری سیستم را پاک می‌کند تا کاربران به ناچار اطلاعات حساس خود را دوباره وارد کنند. کارشناسان احتمال می‌دهند این Keylogger برای نفوذ به دستگاه‌های کارتخوان و انتشار PoSeidon به‌کار می‌رفته است.

مهاجمان به محض دسترسی اولیه به کارتخوان‌ها یک Loader را نصب می‌کنند. سپس این عامل خرابکاری فایلی به نام FindStr را دانلود می‌کند که به‌وسیله آن دستگاه کارتخوان به مرکز کنترل و فرمان مهاجمان متصل می‌شود. کارکرد FindStr یافتن رشته‌ای از شماره کارت‌های یکسان در حافظه موقت دستگاه کارتخوان است. جالب آنکه که این کارتخوان فقط به دنبال شماره کارت‌هایی می‌گردد که با اعداد مشخصی شروع شده باشد؛ اولویتی که از هدف گرفته شدن کارت‌های اعتباری یک بانک یا تعدادی بانک مشخص حکایت دارد.

منبع: کسپرسکی آنلاین

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.