روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به طور عادی، همیشه بررسی روی یک حادثهی سایبری را با نگاه کردن به منبع آلودگی شروع میکنیم. پیدا کردن چنین منبعی کار سختی نیست- به دنبال ایمیلی با یک پیوست بدافزار و یا لینک مخرب یا حتی سرور هکشده میگردیم. متخصصین بر طبق مقررات همیشه فهرستی از تجهیزات دارند؛ پس تنها کاری که باید انجام داد پیدا کردن آن دستگاهی است که برای اولین بار شروع به فعالیتهای مخرب و مسری کرده است. اما اگر همهی دستگاهها سالم باشند و همچنان عملیاتی مخرب در جریان باشد چه؟ اخیراً متخصصین ما چنین وضعیتی را بخوبی و با دقت مورد بررسی قرار دادهاند. یافتههای آنها: مهاجمین به طور فیزیکی تجهیزات خود را به شبکهی اینترنتی شرکت وصل کرده بودند.
این نوع حمله را دارکویشنیا (DarkVishnya) میگویند. دارکویشنیا از زمانی آغاز به حمله میکند که مجرم دستگاهی را به ادارهی قربانی میآورد و آن را به شبکهی اینترنتی شرکت وصل میکند. مجرمان سایبری بوسیلهی ان دستگاه میتوانند از راه دور زیرساخت آیتی شرکت را زیر نظر بگیرند؛ در رمزعبورها سرک بکشند؛ اطلاعات مختلف را از فولدرهای عمومی بخوانند و کلی کارهای دیگر. این متود میتواند شرکتهای بزرگ را به خطر بیاندازد... در واقع هر قدر شرکت بزرگتر، خطر بیشتر. و برای مجرمین هر قدر شرکت بزرگتر کارشان راحتتر. مخفی کردن یک دستگاه مخرب در شرکتی بزرگ به مراتب آسانتر از پنهان کردن آن در شرکتی کوچک است؛ خصوصاً اگر آن شرکت در نقاط دیگر جهان ادارههای دیگری هم داشته بشد که با یک شبکه به همدیگر وصلاند.
دستگاهها
در طی این بررسی، متخصین ما با سه نوع حملهی دارکویشنیا مواجه شدند. هنوز نمیدانیم آیا همهشان توسط یک گروه کار گذاشته شده بودند یا خیر و یا اینکه آیا عاملین مختلفی در این پروسه دخیل بودند یا نه. اما این را بخوبی میدانیم که همهی این حملات از یک اصول و روش استفاده میکردند. دستگاههای دخیل شامل موارد زیر میشدند:
لپتاپهای ارزانقیمت و یا نتبوکها[1]. مهاجمین نیازی به مدل پیشرفته و پرچمدار ندارند؛ آنها میتوانند یک کارکردهاش را بخرند، مودم G3 بدان وصل کرده و یک برنامهی کنترل از راه دور نیز برایش نصب کنند. آنها براحتی میتوانند دستگاه را پنهان کنند تا از نظر همه پوشیده بماند. آنها دو کابل متصل میکنند؛ یکی به شبکهی اینترنتی و دیگری به منبع برق.
سری رایانههای تکبردی رزبری پای[2]. یک کامپیوتر مینیاتوری که با اتصال یواسبی کار میکند. بسیار ارزان و نامحسوس....میتوان آن را براحتی خرید و در اداره جاساز کرد... کارایی بیشتری نسبت به لپتاپها دارد. میتوان آن را به کامپیوتر زد.. .بدینترتیب خیلی راحت میشود لابهلای سیمها پنهانش کرد (برای مثال در پورت یواسبی روی دستگاه تلویزیون در لابی و یا محوطههای انتظار).
بَشبانی[3]. به عنوان وسیلهای برای آزمایش عملیات نفوذ به کار میرود. بشبانی را میتوان آزادانه از انجمنهای هکرها تهیه کنند. نیازی به استفاده از یک کانکشن اینترنتی اختصاصی نیست؛ بشبانی از طریق پورت یواسبی کامپیوتر عمل میکند. بشبانیها دو روی سکه دارند: از طرفی کار راه اندازند چراکه خود را شبیه به یک فلشدرایو میکنند و از طرفی دیگر خیلی راحت توسط فناوری کنترل دستگاه شناسایی میشوند (و به همین دلیل است که اغلب موفق نمیشوند).
نحوهی اتصال
حتی در شرکتهایی که مسائل امنیتی بسیار جدی گرفته میشود هم کاشت و جاگذاری چنین دستگاهی بعید نیست. پیکها، متقاضیان مشاغل و نمایندگان مشتریها و شرکا... اینها همگی میتوانند بالقوه وسیلهای برای جاگذاری این دستگاه در شرکتها باشند. بنابراین مجرمان میتوانند خود را به اقتضای شرایط هر سازمان به شکل هر یک از آنها درآورند.
خطر ضمنی: سوکتهای اترنت تقریباً هر جایی از ادارات نصبشدهاند- راهروها، اتاقهای جلسه، سالنها و غیره. بالاخره داخل هر شرکتی یک جایی برای جاساز دستگاه کوچکی که بتواند به شبکهی اینترنتی و یا منبع برق وصل شود پیدا میکنید.
چه باید کرد؟
این حمله دست کم یک نقطهضعف دارد: مهاجم باید به طور فیزیکی وارد شرکت شود و باز هم به طور فیزیکی دستگاه را جاساز کند. بنابراین ابتدا باید تا حد امکان، دسترسی به شبکهها را توسط افراد غریبه محدود کنید.
- خروجیهای اترنتِ بلااستفاده را در مکانهای عمومی از اتصال خارج کنید. اگر انجام چنین کاری امکانپذیر نیست دست کم آنها را روی شبکهی اینترنتی جداگانهای بگذارید.
- سوکتهای اترنت را در معرض دید دوربینهای مدار بسته قرار دهید (تا بدینترتیب بشود در هنگام وقوع حادثه، مجرم را شناسایی نمود).
- از راهحل امنیتی همراه با فناوریهای مطمئنِ کنترل دستگاه است استفاده کنید (مانند بستهی اندپوینت سکیوریتی کسپرسکی برای شرکت[4]).
- برای نظارت فعالیتهای مشکوک و خارج از عرف از راهحل تخصصی استفاده کنید. مانند پلتفرم ضد حملات هدفمند کسپرسکی[5]
[1] Netbook: لپتاپی سبک، کوچک، قابل حمل، ارزان و با مشخصات سختافزاری و قدرت پردازش کمتر در مقایسه با لپتاپهای بزرگتر است.
[2] Raspberry Pi
[3] Bash Bunny
[4] Kaspersky Endpoint Security for Business
[5] Kaspersky Anti Targeted Attack Platform
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
