روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛
مقدمه- رویدادهای مهم در سال 2018

سال گذشته از نظر تهدیدهای دیجیتال (که متوجه سازمان‌های مالی شده بود) سال پر رویدادی بود: گروه‌ مجرمین سایبری از تکنیک‌های نفوذیِ جدیدی استفاده کرده‌اند؛ همچنین جغرافیای حملات نسبت به گذشته گسترده‌تر شده است. با این حال بیایید تحلیل خود را با رویه‌ای مثبت پیش ببریم: در سال 2018 پلیس گروهی از اعضای مهم گروه‌های جرایم سایبری را دستگیر کرد (Carbanak، Cobalt و Fin7 از میان کلی فعالیت‌های دیگر). 

این گروه‌ها در خیلی از موارد عملیات هکر و تهدیدات سایبری -در سراسر جهان- دست داشته‌اند. متأسفانه دستگیری سرکرده‌ی این گروه‌ها باز هم نتوانست فعالیت آن‌ها را به طور کلی مسدود کند. در حقیقت این گروه‌ها سعی کرده‌اند تا مأموریت‌های مخرب خود را در مقیاس بسیار کوچک‌تری پیش ببرند.

فعال‌ترین عامل 2018، لازاروس[1] بود. این گروه رفته رفته ابزار خود را پیشرفته‌تر کرد و به دنبال هدف‌های جدیدی ‌گشت. حوزه‌ی علایق این گروه (برای خرابکاری) بانک‌ها، شرکت‌های فناوری مالی (فین‌تک[2])، تبادلات رمزی، پایانه‌های فروش (PoS) و دستگاه‌های خودپرداز بوده است. و از حیث جغرافیایی هم این حملات در بسیاری از کشورها صورت گرفت که می‌توان بیشتر به کشورهای آسیایی، آفریقایی و آمریکای لاتین اشاره کرد. اواخر سال گذشته متوجه شدیم که شرکت‌های فین‌تک و تبادلات رمزی بیشتر در معرض خطرنند؛ زیرا سیستم‌های امنیتی‌شان هنوز به بلوغ کافی نرسیده است. این نوع شرکت‌ها اغلب مورد هدف قرار می‌گرفتند. خلاقانه‌ترین هدفی که (از دید ما)  در سال 2018 دیده شد AppleJeus بود که بازرگانان رمزارز را مورد هدف قرار داد. در این مورد، مجرمین نرم‌افزار خاصی را ساخته بودند که به نظر قانونی می‌آمد و کارکردهای قانونی نیز داشت. با این حال، این برنامه همچنین آپدیتی مخرب را آپلود کرد که نوعی بک‌دُر[3] از آب درآمد. این در حقیقت گونه‌ای جدید از حمله است که تارگت‌های خود را از طریق زنجیره‌ی تأمین آلوده می‌کند.

صحبت از زنجیره‌ی تأمین شد، خوب است به گروه MageCart نیز اشاره کنیم؛ گروهی که با آلوده کردن صفحات پرداختی وبسایت‌ها (شامل برخی صفحات متعلق به شرکت‌های بزرگ همچون British Airways) توانست در سال جاری به حجم وسیعی از اطلاعات کارت‌های اعتباری دسترسی پیدا کند. این حمله خیلی مؤثر بود زیرا مجرمین تارگتی جالب را انتخاب کرده بودند: Magento.... این هدف یکی از محبوب‌ترین پلت‌فرم‌ها برای فروشگاه‌های آنلاین محسوب می‌شود. مجرمین سایبری با استفاده از آسیب‌پذیری‌های داخل Magento توانستند تعداد زیادی از سایت‌ها را با تکنیکی که شاید گروه‌های دیگر هم از آن استفاده کنند آلوده کند.

همچنین باید به رشد فزاینده‌ی خانواده‌ی عملیات‌های مخرب روی دستگاه‌های خودپرداز نیز اشاره کنیم. در سال 2018، متخصصین لابراتوار کسپرسکی 6 خانواده‌ی جدید را در این بخش کشف کردند. این بدان معناست که اکنون بیش از 20 نوع عمل مخرب مخصوص دستگاه‌های خودپرداز وجود دارد. برخی از این خانواده‌ها حتی رشد و تکامل نیز پیدا کرده‌اند. برای مثال، بدافزار Plotus از آمریکای لاتین به نسخه‌ی جدیدش آپدیت شده و یا Peralda قابلیت‌های جدیدی پیدا کرده است. بزرگترین آسیب مربوط به حملات به دستگاه های خودپرداز ناشی از آلودگیِ شبکه های داخلی بانکی است. مانند FASTCash و ATMJackPot که به مهاجمین اجازه دادند به بیش از هزار دستگاه خودپرداز دسترسی پیدا کنند.

سال 2018 همچنین شاهد حملاتی روی شرکت‌های بانکداری نیز بودیم. نهایتاً سیستم آنالیز رفتاری مبتنی بر یادگیری ماشینِ ما امواج مختلفی از فعالیت‌های مخرب را (در ارتباط با شیوع تروجان بانکی Buhtrap در سال جاری) شناسایی کرد. همچنین حملاتی را روی دپارتمان‌های مالی شرکت‌های صنعتی شناسایی کردیم. اغلب در مراحل پایانی حملاتی از این دست، مهاجمین روی کامپیوترهای آلوده نظیر RMS، TeamViewer و  VNC ابزارهای اعمال از راه دور نصب می‌کنند. اما قبل از آنکه به پبش‌بینی‌های 2019 بپردازیم بیایید ابتدا ببینیم پیش‌بینی‌های 2018 مان تا چه اندازه درست از آب درآمده است:

•  نفوذ حملات به تکنولوژی‌های زیربنایی بلاک‌چین سیستم های مالی توسط خودِ موسسات مالی- چنین چیزی در جهان مالی رخ نداد اما در بخش کازینوی آنلاین رؤیت شد.
• حملات زنجیره تأمین بیشتر در جهان مالی- بله.
• حملات روی رسانه‌ها (به طور کلی شامل اکانت‌های توییتر، صفحات فیسبوک، کانال‌های تلگرام و غیره) شامل هک، دستکاری برای دریافت سود مالی از طریق تبادلات تجاری- بله.
• اتوماسیون مخرب دستگاه‌های خودپرداز- بله. برای مثال، برخی برنامه‌های آلوده و مخرب که باعث می‌شوند دستگاه‌های خودپرداز فوراً پول را به مجرمین سایبری تقدیم کنند.
• حملات بیشتر در پلت‌فرم‌های تبادل رمز- بله.
• افزایش قابل‌توجه بزهکاری‌های معمول روی کارت‌های اعتباری به دلیل حجم وسیع نقض اطلاعاتی (در سال گذشته)- نه.
• حملات حمایت‌شده از سوی دولت ملی به سازمان‌های مالی- بله.
• حمله به فین‌تک‌ها و کاربرانِ موبایلی: کاهش تعداد تروجان‌های بانکی مبتنی بر پی‌سی و افزایش قربانی‌های موبایل‌محور- بله.

پیش‌بینی‌های 2019

• ظهور گروه‌های جدید به دلیل تکه‌تکه شدن Cobalt/Carbnal و Fin7: گروه‌های جدید و جغرافیای تازه.

دستگیریِ سرکرده‌ها و اعضای جداگانه‌ی احزابِ جرایم سایبری هم نتوانست جلوی اقدامات مخرب آن‌ها را روی سازمان‌های مالی بگیرد. سال آینده به احتمال زیاد شاهد تکه‌تکه شدن این گروه‌ها و ساخت گروه‌های جدید (با همان اعضای سابق) خواهیم بود که نهایتاً موجب تشدید حملات و توسعه‌ی جغرافیای قربانیان احتمالی خواهد شد. در عین حال، گروه‌های داخلی نیز فعالیت‌های خود را توسعه و کیفیت و مقیاس خود را نیز افزایش خواهند داد. به احتمال زیاد (که فرضیه‌ای معقول هم به نظر می‌رسد) برخی اعضای گروه‌های منطقه‌ای ممکن است با اعضای سابق Fin7 یا Cobalt ارتباط بگیرند تا بدین‌طریق دسترسی راحت‌تری به هدف‌های منطقه‌ای داشته باشند و همچنین ابزارهای جدیدی به دست آورند که با هر یک می‌توانند حملات مختلفی را اعمال کنند.

• اولین حملات از طریق سرقت و استفاده از داده‌های بیومتریک.

سیستم‌های بیومتریک مخصوص شناسایی کاربر و احراز هویت رفته‌رفته دارند توسط مؤسسات مختلف مالی اعمال می‌شوند و تا اینجای کار، چندین درز اطلاعات بیومتریک رخ داده است. همین باعث خواهد شد تا شاهد اولین حملات POC[4] (proof-of-concept) روی سرویس‌های مالی (با استفاده از داده‌های بیومتریک نشت‌کرده) باشیم.

• ظهور گروه‌های لوکال جدید که حملاتشان روی مؤسسات مالی در منطقه‌ی هند-پاکستان، جنوب‌شرقی خاورمیانه و اروپای مرکزی متمرکز است.

فعالیت مجرمین سایبری در چنین مناطقی دائماً در حال رشد است: نابالغ بودن راه‌حل‌های محافظتی در بخش مالی و همچنین شیوع سریع ابزار مختلف الکترونیکی پرداختی میان مردم و شرکت‌های این منطقه نیز مزید بر علت شده است. حال تمام شرایط لازم برای ظهور مرکز جدیدی برای تهدیدهای مالی در آسیا (به علاوه‌ی آمریکای لاتین، شبه جزیره کره و شوروی سابق) آماده است.

• ادامه‌ی حملات زنجیره‌ی تأمین: حملات روی شرکت‌های کوچکی که در سراسر جهان به مؤسسات مالی خدمات‌رسانی می‌کنند.

این روند با ما تا سال 2019 باقی خواهد ماند. حملات روی ارائه‌دهندگان خدمات نرم‌افزاری همیشه موفق از آب درآمده و باعث شده است مهاجمین به هدف‌های مهمی دسترسی پیدا کنند. شرکت‌های کوچک (که برای بالادستی‌های خود سرویس‌های مالی تخصصی تأمین می‌کنند) اول از همه در معرض خطر قرار خواهند گرفت (مانند تأمین‌کنندگان سیستم‌های انتقال پول، بانکداری و مبادلات ارزی).

• جرایم سایبری سنتی تمرکزشان روی آسان‌ترین هدف‌ها و دور زدن راه‌‌حل‌های ضد تقلب خواهد بود: جایگزینی حملات PoS با حملاتی روی سیستم‌هایی که پرداخت آنلاین می‌پذیرند.

اگر بخواهیم تنها روی کاربران و فروشگاه‌های معمولی تمرکز کنیم، سال آینده آن‌هایی که از کارت‌های بدون تراشه استفاده می‌کنند و در تراکنش‌های خود احراز هویت دو عامل را پیاده نمی‌کنند از همه بیشتر در معرض خطر قرار خواهند داشت. مهاجمین این بخش بیشتر به دنبال هدف‌های ساده‌ای هستند که سریع می‌شود از طریقشان به پول رسید. با این حال، این بدان معنا نیست که آن‌ها برای اعمال امور مخرب‌شان از روش‌های فنی کمک نمی‌گیرند.

• سیستم‌های امنیت سایبری مؤسسات مالی با استفاده از دستگاه‌های فیزیکی متصل به شبکه‌های اینترنتی داخلی دور زده خواهند شد.

به دلیل نبود امنیت فیزیکی و همچنین عدم نظارت روی دستگاه‌هایی که به اینترنت وصل می‌شوند (در بسیاری از شبکه‌ها)، مجرمین سایبری از آسیب‌پذیری‌ها سوءاستفاده‌ی بیشتری خواهند کرد. حملات این چنینی به مجرمین سایبری اجازه می‌دهد تا به داده‌های مختلفی دسترسی پیدا کنند؛ برای مثال اطلاعاتی در مورد مشتریان مؤسسات مالی و همچنین زیرساخت‌های شبکه‌ایِ مؤسسات مالی.

• حمله به بانکداری موبایل برای کاربران سازمانی.

اپ‌های موبایل در سازمان‌ها دارد بیشتر و بیشتر می‌شود و همین شاید باعث شود کاربران این اپ‌ها اولین قربانی‌های چنین حملاتی باشند.  ابزار کافی نیز برای این کار وجود دارد و این بار بهایی که شرکت‌ها خواهند داد بزرگ‌تر از زمانی است افراد به طور جداگانه به خطر می‌افتند. محتمل‌ترین راه‌های حمله، آن‌هایی‌اند که در سطح Web API (و از طریق زنجیره تأمین) رخ می‌دهند.  

• کمپین‌های پیشرفته‌ی‌ مهندسی اجتماعی، اپراتورها، منشی‌ها و دیگر کارمندان داخلی را (که مسئول بخش‌های ارتباطاتی‌اند) مورد هدف قرار خواهند داد: در نتیجه افشای اطلاعات را شاهد خواهیم بود.

مهندسی اجتماعی در برخی مناطق بسیار محبوب است. برای مثال در آمریکای لاتین. مجرمین سایبری دائماً برخی افراد را مشخصاً در برخی شرکت‌ها (و مؤسسات مالی) مورد هدف قرار می‌دهند تا بدین‌طریق با باجگیری به پول هنگفتی دسترسی پیدا کنند. به دلیل درز کردن حجم وسیعی از اطلاعات در سال‌های گذشته این روش از سوی مجرمین به کرات اتخاذ می‌شود. این تکنیک‌ها از بدافزار صفر استفاده می‌کنند اما نشان می‌دهند مهندسی اجتماعی می‌تواند تا چه حد موفقیت‌آمیز عمل کند و تا چه اندازه قادر است در سال 2019 پیشرفت کرده و نیرومندتر شود. از این دست حملات می‌توان به simswap اشاره کرد.

[1] Lazarus

[2] fin-tech

[3] Backdoor، در علوم رایانه، به راهی گفته می‌شود که بتوان از آن بدونِ اجازه به قسمت/قسمت‌های مشخصی از یک سامانهٔ دیگر مانند رایانه، دیوار آتش، یا افزاره‌های دیگر دست پیدا کرد.

[4]اثبات مفهوم: نمونه‌ای است که صرفاً برای اثبات وجود یا امکان‌پذیری چیزی آورده می‌شود. از آنجایی که هدف چنین شاهدی تنها بیان امکان وجود یا انجام امری است، اثبات مفهوم اغلب بهینه نیست، و می‌توان با دقّت بیشتر شواهد مناسبتری را پیدا کرد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.