تا یک سال پیش که اولین تروجان نوشته شده برای دستگاههای آندرویدی کشف نشده بود، کمتر کسی خطر بدافزارهای موبایلی را تا این حد بیخ گوش کاربران احساس کرده بود.
اما Kurt Baumgartner محقق ارشد کسپرسکی، خیلی بیشتر از این حرفها این موضوع را جدی گرفته و مدام هم در صحبتهایش راجع به آنها اخطار و هشدار میداد.
تروجان و حمله فیشینگ هدفدار کشف شده توسط لابراتوار کسپرسکی دارای یک برنامه apk (قالب برنامههای قابل نصب روی آندروید) بودند.
وقتی پژوهشگران کسپرسکی این اسب تروا را مورد بررسی قرار دادند، دریافتند که توانایی گزارش کلیه اطلاعات کاربر را به هکر دارد. بامگارتنر میگوید: «با مهندسی معکوس تروجان، دیدیم که حتی امکان بیرون کشیدن دفترچه تلفن هم خود گوشی و هم سیمکارت را دارد.
فکر میکنیم این تروجان میتواند سابقه تماسها و پیامکها را هم استخراج کند. بعدا متوجه شدیم که مهاجمان حتی درصدد دستیابی به اطلاعات مکانی و جغرافیایی صاحب تلفن و خلاصه تمام دادههای تلفن همراه بودهاند.»
بامگارتنر این اطلاعات را برای هکرها «طلایی» توصیف میکند و توضیح میدهد:« وقتی شماره تماسها و جزئیات بیرون کشیده شدند، در وهله بعدی، ابزار مهاجمان برای حمله به قربانیان بیشتری میشوند.»
اینها گوشههایی از مصاحبه اخیر کورت بامگارتنر، پژوهشگر ارشد کسپرسکی با «تریسی کیتن» از «گروه رسانهای امنیت اطلاعات» (Information Security Media Group) بود که تفصیل آن را در ادامه خواهید خواند. محورهای اصلی این گفت و گو بر سه موضوع است:
• نقشههای مختلف فیشینگ هدفدار (Spear Phishing) در کانالهای آنلاین و موبایلها
• گرایشهای اخیر بدافزارهای موبایلی در سالهای ۲۰۱۳ و ۲۰۱۴
• چرا دسترسی به اطلاعات شخصی قابل شناسایی برای سوء استفاده کنندگان مدام سهلتر میشود؟
در مورد خود بامگارتنر، باید اشاره کنم که وی از سال ۲۰۱۰ به مجموعه کسپرسکی پیوسته و مسئولیتش نظارت بر وضعیت بدافزارها در منطقه آمریکا و بهبود فناوریهای کسپرسکی برای مقابله با آنها است.
تروجانهای اندرویدی
کیتن: لابراتوار کسپرسکی چند وقت پیش یک تروجان اندرویدی کشف کرد که هدف اصلیاش فعالان سیاسی و شناخته شده تبتی بود. درباره این قسم حملات چه دارید بگویید؟ مثلا اینکه از کی و چگونه شناسایی شدند؟
کورت بامگارتنر: قضیه بر میگردد به یک تروجان اندرویدی که دیدیم دارد مدام از اکانت ایمیل یک فعال سیاسی تبتی ارسال میشود. نکته جدید و جالب درباره این حمله آن بود که پیوست ایمیل خودش یک تروجان اندرویدی بود که امکان نصب روی هر نوع دستگاه اندرویدی را داشت و کاربردش جمعآوری اطلاعات و فعالیتهای جاسوسی روی هدف بود.
گرایشهای حملات فیشینگ هدفدار
کیتن: تا جایی که میدانم، این قسم حملات با فیشینگ هدفدار شروع شد؛ موضوعی که به نگرانی روزافزون سازمانها بدل شدهاست. اگر به طور کلی به قضیه Spear phishing نگاه کنیم، به نظرتان در حال حاضر نیروی محرکه رشد آن چیست و چه گرایشهایی پیرامونش وجود دارد؟
بامگارتنر: عموما فیشینگ هدفدار، خودش راهی موثر برای رساندن بدافزارها در حملات هدفدار به هدفهایشان است.
برخی علل سوق دهنده مهاجمان به استفاده از تکنیکهای فیشینگ هدفدار این است که بعضی از دیگر تکنولوژیها، در برابر تکنیکهای شناخته شده مثل حملات Watering-hole یا نفوذ در شبکه، مقاوم هستند. Spear Phishing برای نفوذ، هر روز به شیوه محبوبتری تبدیل میشود.
شبکههای اجتماعی
کیتن: شما معتقدید رسانههای اجتماعی و دیگر شبکههای برخط از جمله ابزارهای سوءاستفاده یا کمک به بعضی حملات ایمیلی هدفدار هستند. چگونه؟
بامگارتنر: موفقیت فیشینگ هدفدار ارتباط مستقیم دارد با در اختیار داشتن اطلاعات دقیق درباره هدفی که سعی در آسیب زدن به آن دارید.
رسانههای اجتماعی و دیگر قالبهای سرویسهای آنلاین برای مهاجمان معدنی از اطلاعات محسوب میشوند تا از طریق ایمیلها یا پیوستهای ایمیلها قربانیشان را متقاعد و ترغیب به باز کردن پیوست و اجرای پیوست ایمیل در رایانه شخصیاش، بکنند.
مثلا پروفایلهای LinkedIn و ارتباطات فردی در لینکداین بسیار به کار تبهکاران میخورد. حتی ممکن است خیلی ساده فقط یک وبسایت باشد که درباره یک شرکت باشد و اسامی کارمندانش هم در آن درج شده باشد. یا اصلا یک NGO و فهرست اعضای کمک کننده به آن. تمام اینها منابع اطلاعاتی خوبی هستند که به مهاجمان کمک می کنند تا با فیشینگ هدفدار طمعهشان را گول بزنند.
جزئیات حمله اندرویدی
کیتن: دوست دارم بیشتر درباره این حمله اخیر که توسط Kaspersky کشف شد، صحبت کنیم. این حمله از نوع Spear-Phishing شامل یک ضمیمه APK بود که درواقع برنامهای خطرناک مخصوص سیستم عامل اندروید بود. این حمله عملا چگونه دستگاههای اندرویدی هدفش را مورد تهاجم قرار میداد؟
بامگارتنر: این حمله، از هنگامی که شناساییاش کردیم، تا توقفش فاصله زمانی کمی بود. چیزی که ما فهمیدیم، این بود که از یک اکانت ایمیل برای حمله فیشینگ هدفدار و ارسال نامه به سایر اعضا استفاده شده بود.
یکی از شرکتهای همکار ما یک نمونه از این پیوستها را برایمان فرستاد.
براین باورم که تا پیش از دریافت و تحلیل آن توسط ما، خودمان هم خبر نداشتیم که این تروجان برای دستگاههای اندرویدی ساخته شده است. این تروجان برای اینکه دستگاه را آلوده کند، نیازمند آن بود که کاربر شخصا ابزار اندرویدیاش را به یک PC متصل کند و فایل APK را به دستگاه منتقل کند و بعد هم آن را روی موبایل یا هر وسیله آندرویدی دیگر که دارد، اجرا کند.
کیتن: به نظرم خودتان سوال بعدی مرا پاسخ دادید: آیا این حمله فقط وقتی ایمیل روی خود دستگاه اندرویدی باز شود کارش را میکند یا وقتی روی رایانه شخصی باز شود؟ گویا این ایمیلها از آن قسم هستند که هر جایی میتوان بازشان کرد.
بامگارتنر: فکر کنم منبع اولیه یا اکانت ایمیلی که این ایمیلها از آنجا میآمد، لزوما نبایستی از یک دستگاه اندرویدی میبود. اما برای ارسال این ایمیلها و پیوستهایش استفاده شده بود.
حملات Cross-channel
کیتن: کسپرسکی در مورد حملات کراس چنل یا کراس پلتفرم، چه دیدگاهی دارد؟ مثلا حملههایی که امنیت رایانههای شخصی و دستگاههای همراه را به مخاطره میاندازند.
بامگارتنر: از این لحاظ، این اولین تروجان اندرویدی بود که ما دیدیم برای حملات هدفدار استفاده میشد. در مورد OS X و سایر سیستمعاملها، پیشتر شاهد حملاتی با محتوایی متقاعدکنندهتر، دقیقتر، جذابتر و حساب شده تر و زمان بندی شده بودیم که کاربران متقاعد شوند پیامها را باز و اجرا کنند.
در حال حاضر، شاهد رشد و پیشرفت حملات نه فقط علیه ویندوز، بلکه Mac OSX و سایر سیستم عاملها هستیم. و اکنون، نه فقط شاهد بدافزارهایی هستیم که از دستگاههای مجهز به ویندوز یا OSX اطلاعات را خودشان جمع آوری میکنند، بلکه به تروجانهایی برمیخوریم که از حالت پروتوتایپ به درآمدهاند و به شدت دستگاههای موبایل را تهدید میکنند.
اهداف حملات
کیتن: در حمله خاصی که صحبتش رفت، برنامه مضر، به محض نصب، به طور مخفیانه آلودگی را به یک سرور «فرمان و کنترل» گزارش میکرد. سپس به شخم زدن اطلاعات ذخیره شده در وسیله همراه میپرداخت. جزئیات اهداف این برنامه در ابزار موبایل چه بود؟
بامگارتز: پس از مهندسی معکوس تروجان، دیدیم که قابلیت استخراج دفترچه تلفن؛ هم از روی سیم کارت و هم از خود تلفن را دارد. همین طور توانایی بیرون کشیدن تاریخچه تماسها و پیامکها را دارد.
مهاجمان همچنین میخواستند از اطلاعات مکانی تلفن هم باخبر شوند. و بالاخره کل اطلاعات تلفن را درآورند. آنها میخواستند مستقلا تلفن را شناسایی کنند و شماره تلفن، نسخه سیستم عامل، مدل تلفن و حتی SBK تلفن را درآورند.
کیتن: در چنین شرایط مخاطرهانگیزی که جزئیاتی مثل شماره تماسها لو میرود، چگونه از آن برای گسترش حمله استفاده میشود؟
بامگارتنر: شماره تماسها برای مهاجمان همیشه به مثابه تراشههای طلا محسوب میشوند. در این مورد، از آنجا که به سرعت مچشان را گرفتیم، به نظرم زنجیره حملات از گامهای ابتدایی پاره شد.
اما به هرحال، وقتی لیستهای تماس و جزئیات دیگر از دستگاه استخراج شوند، آن شمارهها هدف بعدی محسوب میشوند. هر کدام جداگانه بررسی میشوند و مورد هجمه قرار میگیرند.
کیتن: شما به Call logها و اطلاعات geo-Location اشاره کردید. این اطلاعات جزئی چگونه برای حمله مورد سوء استفاده قرار میگیرند؟ و اصلا چرا این قدر مهم و مورد توجهند؟
بامگارتنر: تاریخچه تماسها از آن جهت مهمند که مهاجمان از طریق آنها درمییابند با چه کسی، چه زمانی ارتباط برقرار شده است. و بدین وسیله مثلا میفهمند به هرکس چه موقع یک پیامک یا ایمیل بزنند تا شانس طعمه شدن وی افزایش یابد. حتی اطلاعات کنفراسهای تلفنی، مثل اینکه هرکس کی آمده، کی رفته و کلا چند وقت یک بار میآید، برای تبهکاران ارزشمند است. و در مجموع تمام این رگههای طلا، راهی هستند برای مهاجمان به منظور نفوذ در یک سازمان.
کیتن: پس به نظر شما، هدف بسیاری از این سرقتهای جزئی، اطلاعات وسایل همراه شرکتها و سازمانها هستند؟
بامگارتنر: دقیقا. مهاجمان مدام در پی این قضیه هستند. اواخر سال پیش ما به یک پروتوتایپ روی تعدادی سرور برخورد کردیم که در مراحل اولیه ایجاد و تبدیل شدن به یک تروجان اندرویدی بود. گرچه عملا هیچگاه این تروجان به منصه ظهور نرسید.
نکته جالب دیگر درباره این حمله آن بود که باعث پیوندهایی شد. شرکتهای بسیاری که در گذشته لزوما با هم کار نمیکردند، پس از این رویداد متحد شدند. علتش آن بود که این شرکتها که سابقا همکاری نزدیکی نداشتند، فهمیدند که چه کسی در لیست تماس که قرار دارد و تا چه حد میزان ارتباط آنها با یکدیگر مورد توجه و علاقه مهاجمان است.
مخاطرات دیگر وسایل همراه
کیتن: این حمله تنها هدفش وسایل اندرویدی بود. آیا این نگرانی وجود دارد که این حمله خاص ممکن است به دیگر وسایل موبایل نیز گسترش یابد؟
با مگارتنر: در حال حاضر، با توجه به اندازه بدافزار و سرعت توقف آن، شخصا خیلی نگران این نیستم که مهاجمان در اندیشه توسعه این مورد خاص هستند اما در آینده، بیشک این نگرانی قابل اعتنایی خواهد بود. مطمئنا پورت کرن این تروجان به دیگر پلتفرمها خیلی سخت نیست.
سابقا هم مورد داشتیم که بدافزاری که ویژه مجموعه دادههای خاصی روی ماشینهای ویندوزی طراحی شده بود، به OSX و لینوکس هم پورت شد. این اتفاق در گذشته افتاده. لذا مسلما ما انتظارش را در آینده نیز میکشیم.
حفاظت از وسایل همراه
کیتن: پیشنهاد شما به کاربران برای محافظت از وسایل اندرویدیشان در قبال این قسم حملات چیست؟
بامگارتنر: کاربران این قبیل وسایل عموما از قابلیتی به نام Side loading استفاده میکنند. یعنی یک فایل APK را که از play store گوگل نیست یا دیگر فروشگاههای معتبر نیامده، از جایی دریافت و نصب میکنند.
برای این کار، آنان بایستی برخی تنظیمات را در گوشیشان روشن یا خاموش کنند و نیز اجازه نصب نرمافزار از منبعی نامطمئن را صادر کنند. این کار برای اغلب کاربران اندرویدی خطرناک و نادرست است.
آنها کمی بیشتر به تشخیص منبع نرمافزاری که دارند روی گوشیشان نصب میکنند، باید توجه داشته باشند.
برای تلفنهای اندرویدی یک سری بستههای امنیتی تولید شده که به نظرم بعضیشان بسیارخوب و مفیدند؛ اما درهر حال همه آنها یک لایه امنیتی به همراه شما میافزایند.
این بستههای نرمافزاری امنیتی هر روز دارای قابلیتهای بیشتر و کاراتری میشوند؛ امکاناتی چون محافظت رفتارشناسانه، که در مورد حملات هدفدار یا ناشناخته بسیار مفید فایده است.
تکامل بدافزارها
کیتن: از منظر کلی، درباره سیر تحول و پیشرفت بدافزارها چه میتوانید به ما بگویید؟ سازمانها تا چه حد در سال ۲۰۱۴ باید روی موضوع بدافزارهای موبایلی تمرکز کنند؟
بامگارتنر: در مود بدافزارهای موبایلی ما فعلا در مرحله نخست و آغازین به سر میبریم. قضیه هنوز برای خیلیها تازه است. اما بسته به نوع استفاده حملات هدفدار و نوع تحویل آن، سازمانها نیازمند توجه به این موضوع هستند.
ما تازه با بدافزارهای اندرویدی و آیفونی آشنا شدهایم اما گروههای پژوهشی امنیتی مهاجمان در حال توسعه اکسپلویتها براساس وبکیت یا مرورگرهای وب موجود در سیستم عامل اندروید هستند. توسعه آنها خیلی هم به سرعت دارد صورت میپذیرد.
سرمایه گذاری کافی شده؛ و میوههای تحقیقات آنها در حال به بار نشستن هستند. ما هنوز درمراحل اولیه به سر میبریم اما قضیه روز به روز دارد جدیتر میشود.
کیتن: مسلما این نگرانی هست که تمام سازمانهای درگیر بایستی برآن متمرکز شوند. اما در این میان درباره نقش موسسات بانکی که یک طرف کارمندانش را دارد و در طرف دیگر مشتریانش را، چه میتوان گفت؟
بامگارتنر: موسسات بانکی جایگاهی ویژه دارند؛ چراکه تراکنشهای مالی و تمام اطلاعاتی که حین فعالیتهای NGOها، گروههای خیریه و دیگر موسسههای اینچنینی از طریق موسسات بانکی رد و بدل میشود، تاحدی با حملات سایبری با انگیزه مالی و دیگر خلافهای سایبری، متفاوت است.
این قبیل حملات و حملاتی که میتوانند سازمانهای بانکی را هدف بگیرند، پایدارند. موسسات باید آگاه باشند که درحال نبرد علیه مجموعهای از مهاجمان هستند که با ثباتتر و مصممتر از آنچه در گذشته دیدهایم، هستند.
کیتن: قبل از اتمام بحث، درباره بدافزارها به طور کلی یا برخی از این حملات که مشخصا تمرکزشان بر دستگاههای همراه است، سخن پایانی دارید که بگویید؟
بامگارتنر: ما چندین نقشه و برنامه به منظور یافتن راهی برای جمعآوری و واکنش اطلاعات دستگاههای همراه قربانیان، کشف کردیم.
در گذشته، ما «اکتبر سرخ» را داشتیم که آن هم برنامه دیگری بود که مجموعهای از بدافزارها را روی ورک استیشن کاربر نصب میکرد. آنگاه از ورک استیشن، هر وسیلهای که بدان متصل بود، تشخیص و شناسایی میشد؛ تاحد سازنده وسیله همراه. این قضیه تا یکی دوسال ادامه داشت.
مهاجمان این فناوری را توسعه دادند و از آن علیه قربانیان تازهای که اطلاعاتشان از قربانیان قبلی استخراج شده بود، استفاده شد.
این حملات به وسایل اندرویدی محدود نشد و به کل دنیای موبایل گسترش یافت.
این نشان میدهد حملات هدفدار تاچه حد امروزه تهدید کنندهاند و موسسات بایستی بدان توجه کنند. با این احوال، باز هم انتظار بیش از اینها را داریم و متاسفانه انتظار داریم که به دیگر ابزار و فناوریها هم در آینده گسترش و توسعه یابد.