۱۲ ماه گذشته، دورانی بسیار آشوبزده برای متخصصین حوزه آیتی و همینطور کسبوکارها بوده و عدم قطعیتی که جهان را در خود فرو برد، بیشمار فرصت تازه در اختیار مجرمان سایبری قرار داد تا آنها نیز به نوبه خود جهان را به آتش بکشند. از رویکردهای فیشینگ مرتبط با کووید-۱۹ گرفته تا عملیاتهایی که با حمایت دولتی، در صدد تخریب پژوهشهای صورت گرفته روی واکسنهای بالقوه برمیآمدند، دورنمای امنیت به طرقی نامتعارف و غیر منتظره تغییر کرد.
ترکیب حملات الهام گرفته از کووید-۱۹، رخنههای اطلاعاتی بزرگ و ترندهای به تکامل رسیده باعث شد که طی سال جاری میلادی، امنیت شکلی مهمتر از هر زمان دیگر به خود بگیرد. اما اکنون که در روزهای پایانی سال ۲۰۲۰ به سر میبریم و گرد و خاکها فروکش کرده، میتوانیم به مرور برخی از برجستهترین ترندهای حوزه امنیت سایبری طی ۱۲ ماه اخیر بپردازیم و ببینیم کدام وقایع، بیشتر از هر چیز دیگر توجهها را به خود جلب کردند.
سال ۲۰۲۰ با یک بنگ آغاز شد و شرکت صرافی Travelex متوجه شد سیستمهایش به یک باجافزاری آلوده شدهاند که توسط گنگ سایبری Sodinokibi توسعه یافته بود. در ابتدا جزییات بسیار اندکی راجع به این حادثه منتشر شد و Travelex اعلام کرد که تمام سیستمهایش را خاموش کرده و تمام تدابیر لازم را به کار گرفته تا با این «ویروس کامپیوتری» که توانسته راهش را به شبکههایش باز کند به مقابله بپردازد.
این موضوع بدان معنا بود که سرویس مبادلات مالی شرکت به صورت کامل آفلاین شدند و بسیاری از مشتریان در حالی که در آنسوی آبها و به دور خانه بودند، نمیتوانستند به پول خود دسترسی یابند. اما تنها مردم عادی نبودند که از این اتفاق رنج بردند و شرکتهای بزرگی مانند HSBC و Virgin Money هم به خاطر اتکای شدیدشان بر پلتفرم Travelex، عملا فلج شدند.
چند ماه بعد بود که بالاخره جزییات بیشتری راجع به این اتفاق منتشر شد. نخست دریافتیم که حمله واقعا با یک باجافزار صورت گرفته بود، بعد در گزارشها آمد که Travelex حاضر به پرداخت بیتکوینهایی به ارزش ۲.۳ میلیون دلار به هکرها شده بود تا بتواند دوباره به شبکه خود دسترسی یابد. این کاری است که هم فعالان حوزه امنیت و هم مراجع قانونی، به هیچ وجه پیشنهادش نمیکنند. زیرا پرداخت چنین مبالغی بدان معناست که هکرها در کار خود موفق بودهاند و بنابراین بسیاری هکر دیگر دست به فعالیتهای مشابه خواهند زد.
Zerologon که از آن به عنوان ترسناکترین آسیبپذیری سال ۲۰۲۰ یاد میشود، آژانس امنیت زیرساخت و امنیت سایبری ایالات متحده (CISA) را به این واداشت که تمام آژانسهای این کشور را به پچ کردن فوری سیستمهای سرورهایشان مجبور کند.
این آسیبپذیری که در سیستم امتیازدهی آسیبپذیری عام به بیشینه نمره ۱۰.۰ دست یافته، یک نقص حیاتی در ویندوز سرور بود که به مهاجمین اجازه میداد از طریق کنترلر دامین Active Directory، به دسترسی ادمین دست پیدا کنند. این نقص درون Microsoft Windows Netlogon Remote Protocol یافت شد که یکی از اجزای حیاتی Active Directory برای احراز هویت به حساب میآید و کافی بود مهاجمین فقط یک اتصال TCL با یک کنترلر دامین آسیبپذیر برقرار کنند. از سوی دیگر هکرها نیازی به اطلاعات دامین نداشتند و میشد از Zerologon برای سوء استفاده از تمام سرویسهای تشخیص هویت Active Directory استفاده کرد.
از آنجایی که اندکی زمان برد تا این آسیبپذیری کشف شده و توسط مایکروسافت به تایید برسد، Zerologon به مثالی تازه در حوزه امنیت تبدیل شد که نشان میداد دست کم گرفتن نواقص امنیتی در میان انبوه اخبار و گزارشهای مربوط به آسیبپذیریها چقدر میتواند گران تمام شود.
دینیس کروز، مدیر ارشد فنی شرکت امنیتی Glasswall میگوید: «اگر به تاثیر ماجرا نگاه کنید، این یکی از دیوانهوارترین آسیبپذیریهایی بود که طی چند وقت اخیر مشاهده کردیم. تنها در عرض چند ثانیه، میزان آسیب از صفر به صد میرسد. به محض اینکه به کنترلر دامین دسترسی مییابید، تبدیل به ادمین اصلی میشوید. هیچچیز بدتر از این نیست. به نظرم این یکی از مواردی بود که همه ما باید به سرعت "دکمه قرمز بزرگ" را میفشردیم، اما بعید میدانم چنین کاری کرده باشیم. برخی آن را به سرعت پچ کردند، اما این حقیقت که هنوز بسیاری دیگر آسیبپذیر هستند نشان میدهد که Zerologon را آنقدر که باید جدی نگرفتهایم».
یکی از بزرگترین تغییراتی که بسیاری از کسبوکارها در سال ۲۰۲۰ تجربه کردند، تعطیلی ادارات و دورکاری گسترده کارمندان بود. گذشته از ایجاد تغییرات بنیادین در عادات کاری ما و ایجاد اختلال در بالانس میان شغل و زندگی، چنین اتفاقی به معنای یک سردرد واقعی برای تیمهای آیتی بود. نهتنها فعالیتهای امنیتی شکلی نامتمرکزتر به خود گرفتند و مدیریتشان دشوارتر شد، بلکه لازم بود کارمندان به ابزارها و تجهیزات لازم برای دورکاری دسترسی داشته باشند؛ چیزهایی مانند لپتاپها، ابزارهای کار مشارکتی و شبکههای خصوصی مجازی.
پژوهشها نشان داده که امنیت سایبری اکنون از هر زمان دیگر اهمیت بیشتری دارد و در عین حال، هنگام پشتیبانی از کارمندان دورکار، دسترسی امن به سیستمهای آنها بزرگترین چالش پیش روی متخصصین آیتی بوده است. موضوع زمانی نگرانکننده میشود که بدانیم تمام اینها با افزایش ۲۲۰ درصدی حملات فیشینگ طی چند ماه اخیر همزمان بوده. حتی اپلیکیشنهایی که برای پایش ارتباطات میان افراد و شناسایی اشخاص احتمالا آلوده به ویروس طراحی شده بودند هم مورد سوء استفاده کلاهبرداران قرار گرفتند و هکرها امیدوار بودند به این طریق، اطلاعات شخصی مردم را به دست آورند.
از سوی دیگر نیز شاهد تلاش هکرهای دولتی برای ایجاد اختلال در روند توسعه واکسنهای کووید-۱۹ بودیم. برای مثال مایکروسافت در ماه نوامبر خبر از فعالیت گسترده هکرهای کره شمالی و روسیه داد و مدعی شد که بسیاری از آنها، شرکتهای دارویی و سازمانهای تحقیقاتی را هدف قرار دادهاند.
در یک مثال تازهتر، هکرها در جریان یک حمله سایبری علیه آژانس دارویی اروپا، به مستندات مربوط به واکسن دو شرکت فایزر و BioNTech دسترسی یافتند. این ماجرا تنها چند روز بعد از آن اتفاق افتاد که آیبیام گفت یک کمپین فیشینگ جهانی علیه سازمانهایی آغاز شده که در حوزه نگهداری واکسن کووید-۱۹ در دمای مطلوب و حمل و نقل آن فعالیت دارند.
این احتمالا یکی از بزرگترین هکهایی باشد که تا به امروز دامن توییتر را گرفته است. در ماه جولای اخیر، اکانتهای اشخاصی مانند باراک اوباما، بیل گیتس و جف بزوس به سرقت رفت و شاهد یک پیام عجیب بودیم که مدعی میشد به کاربران، بیتکوین رایگان میدهد. در واقع هکرها با به دست گرفتن اکانت این اشخاص، به شکلی دروغین اعلام کردند که «در صورت پرداخت مقادیر مشخصی از بیتکوین، میتوانید دو برابر آن را دریافت کنید».
بعد از پژوهش گسترده از سوی پلیس فدرال آمریکا و توییتر، مشخص شد که حدودا ۱۳۰ اکانت تحت تاثیر این ماجرا قرار گرفتند و مهاجمین توانسته بودند نهتنها به ارسال توییت بپردازند، بلکه به پیامهای دایرکت هر اکانت نیز دسترسی داشتند. توییتر بعدا اعلام کرد که احتمالا یکی از کارمندانش با دریافت رشوه، حاضر شده ابزارهای داخلی کمپانی را در اختیار هکرها قرار دهد.
مقامات قضایی به دستگیری چند نوجوان در ایالات متحده و بریتانیا پرداختند که در روند حمله مشارکت داشتند. و بعد در اتفاقی عجیبتر، دادگاه یکی از متهمین این پرونده که پسری ۱۷ ساله بود، در پلتفرم چت ویدیویی زوم برگزار شد. سپس یک نفر این چت ویدیویی را هایجک کرد و به استریم محتوای هرزهنگارانه درون آن پرداخت.
آخرین موردی که در این مقاله به آن میپردازیم، تازهترین مورد نیز هست. اوایل ماه دسامبر شرکت امنیتی FireEye تایید کرد که سیستمهایش توسط هکرهای وابسته به دولت روسیه به خطر افتادهاند. این اتفاق از آن جهت عجیب و طنزآمیز بود که FireEye خود در زمینه امنیت سایبری فعالیت میکند و دولت بسیاری از کشورهای جهان، به سیستمهای آن برای مقابله با چنین حملاتی اتکا دارند.
با گذشت چند روز، مشخص شد که ابعاد ماجرا بسیار بزرگتر از آنچیزی بوده که در ابتدا تصور میشد. در واقع مشخص گشت که هکرها حملهای «شدیدا پیچیده» ترتیب داده بودند و سرقت ابزارهای FireEye Red Team، تنها یک تکه از پازلی بزرگتر بوده. فایرآی، مایکروسافت و بازوی امنیتی دولت آمریکا، CISA، اعلام کردند که همراه با این شرکت امنیتی، دهها هزار کسبوکار و آژانس دولتی دیگر نیز هدف حمله بودهاند. به این دلیل ساده که ابزارهای غول حوزه نرمافزار، یعنی SolarWinds (که آن هم از شرکای بسیاری از آژانسها و شرکتهای بزرگ جهان به حساب میآید) نیز به خطر افتاده بودند.
تیم فایرآی بعد از بررسی ابعاد رخنه اعلام کرد که هکرها توانسته بودند یک در پشتی درون نرمافزار SolarWinds به نام Orion ایجاد کنند. این کمپانی قربانی «یک زنجیره حمله شدیدا پیچیده» بود که توسط هکرهای دولتی و به شکلی «شدیدا هدفمند» پیادهسازی شده بود. به همین ترتیب، CISA از تمام آژانس دولتی آمریکا خواست که فورا ارتباط خود را با پلتفرم امنیتی Orion قطع کنند و خود SolarWinds هم از مشتریان خواست که فورا به دریافت آخرین بهروزرسانی موجود بپردازند.
اگرچه نقص امنیتی موجود قابل برطرفسازی بود، SolarWinds گفت حداقل ۱۸ هزار مشتریاش تحت تاثیر قرار گرفتند. موضوع زمانی بدتر میشود که بدانیم حداقل ۴۲۵ تا از این مشتریان، شرکتهایی بودند که در لیست ۵۰۰ شرکت ارزشمند فورچن حضور دارند. بنابراین ۱۰ شرکت مخابراتی برتر آمریکا، ۵ شرکت حسابداری برتر آمریکا و ۵ زیرشاخه ارتش این کشور جزو مهمترین قربانیان ماجرای SolarWinds و هکرهای روسی بودند.
پاسخ ها