روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ هیچچیز سختتر از پیشبینی کردن نیست. بنابراین به جای زل زدن به گوی جهانبین بهتر است بر پایهی آنچه اخیراً اتفاق افتاده است حدسهایی سنجیده زد. همچنین باید نگاهی داشت به رویههایی که ممکن است در ماههای آتی اتخاذ شود. سعی کردیم با کمک از باهوشترین افراد و قرار دادن مبنای سناریوی خود روی حملات APT[1] پیشبینیهایی در خصوص وقایعی که ممکن است در چند ماه آینده رخ دهد ارائه دهیم. پس با ما همراه شوید:
نه به APTهای بزرگ
آیا این امکان وجود دارد در دنیایی که مدام داریم عاملین بیشتری را شناسایی میکنیم، تیر اولین پیشبینی به خطا رود؟ شاید دلیل این باشد که صنعت امنیت، پیوسته دارد عملیاتهای فوق پیشرفتهای را (که از سوی دولت حمایت میشوند) کشف میکند. اگر بخواهیم چنین وضعیتی را از منظرِ مهاجم نگاه کنیم میبینیم که واکنش منطقیاش به این ماجرا دنبال کردن تکنیکهای پیچیدهتر خواهد بود؛ تکنیکهایی که براحتی لو نمیروند و تنها مخصوص برخی از عاملین خیلی خاص است. به طور حتم راههای مختلفی برای انجام این کار وجود دارد. تنها لازمهی این کار، درکِ روشهایی است که این صنعت برای تخصیص و شناسایی شباهتهای بین حملات مختلف و ترفندهای بکار رفته در آنها استفاده میکند؛ چیزی که چندان راز بزرگی هم نیست. با در اختیار داشتن منابع کافی، راهحلی ساده برای یک مهاجم ممکن است مجموعه فعالیتهای پیوستهای را به همراه داشته باشد که سخت بتوان آنها را به همان مهاجم یا همان عملیات ربط داد. مهاجمینی که دستشان در بخش منابع حسابی باز است میتوانند عملیاتهای نوآورانهی جدیدی را آغاز کنند؛ این درحالیست که میتوانند همچنان عملیاتهای قدیمی خود را نیز در چنته نگه دارند. البته که این احتمال هم وجود دارد عملیاتهای قدیمیتر شناسایی شوند اما کشف عملیاتهای جدید بسی چالش بزرگتری است.
ظاهراً در برخی موارد برای عاملین بسیار خاص که میتوانند کمپینهای پیچیدهتری بسازند، خیلی بهتر است که به جای انجام این کار مستقیماً زیرساختها و شرکتهایی را مورد هدف قرار دهند که در آنها، قربانیان را میشود براحتی پیدا کرد مانند ISPها. برخی اوقات این کار را میشود با رگولاسیون و بدون نیاز به بدافزار انجام داد. برخی عملیاتها به گروهها و شرکتهای مختلف که از ابزارها و تکنیکهای مختلف استفاده میکنند اختصاص داده میشود و همین کارِ تخصیص را بسی دشوار میکند. شایان ذکر است که در بخش عملیاتهایی که از سوی دولت حمایت میشوند چنین جداسازیِ منابع و استعدادی ممکن است آیندهی چنین کمپینهایی را تحتالشعاع قرار دهد.
در چنین سناریویی، صنعت خصوصی دارندهی اصلیِ این قابلیتها و ابزارهای فنی است. در بسیاری از موارد این قابلیتها و ابزارها برای آن دسته از مشتریانی که به درک جامعی از جزئیات فنی و پیامد آنها ندارند قابل فروش نیستند. همهی اینها نشان میدهد احتمال کشف عملیاتهای بسیار پیچیده بسیار پایین است چراکه مهاجمینی که منابع خوبی در اختیار دارند خیلی راحتتر میتوانند به الگوهای جدید تغییر مسیر دهند.
سختافزار شبکه و اینترنت اشیاء[2]
زمانی این واقعاً منطقی به نظر میرسد که هر عاملی برای سختافزار شبکهای از ابزارها و قابلیتهای طراحیشده استفاده کند. کمپینهایی چون VPNFilter نمونهی بارزیست از اینکه چطور مهاجمین از پیش از بدافزار خود برای ساخت باتنتهایی چند منظوره استفاده میکردهاند. در این مورد خاص، حتی وقتی چنین بدافزاری شیوع یافت، خیلی زمان برد تا حمله شناسایی شود. این بسیار نگرانکننده است زیرا نمیدانیم در عملیاتهایی با سطح بالاتری از هدفمندی قرار است چه اتفاقی بیافتد. در وقع این ایده برای عاملینی که منابع بسیار خوبی در اختیار دارند حتی یک گام فراتر نیز می رود: چرا به جای صرفاً تمرکز روی یک سازمان مورد هدف، مستقیم به زیرساختهای پایهایتر حمله نکنیم؟ پر واضح است که این میزان از کنترل میتواند برای یک مهاجم تا چه اندازه وسوسهانگیز باشد. آسیبپذیریهای سختافزار شبکه به مهاجمین اجازه میدهد تا مسیرهای مختلفی را دنبال کنند. آنها ممکن است یک سبک باتنتی را انتخاب کنند و در آینده آن شبکه را برای مقاصد مختلفی به کار ببنند. شاید هم برای پیش بردن حملاتی بسیار سرّی، به سمت تارگتهایی دستچینشده سوق داده شوند. در مورد دوم، حملات " بدون بدافزار" قرار میگیرد؛ جایی که باز کردن یک تونل ویپیان برای ریدایکرت کردن ترافیک ممکن است تمام اطلاعات لازم را در اختیار مهاجم قرار دهد. تمام این المانهای شبکهسازی ممکن است بخشی از پدیدهی اینترنت اشیاء باشد؛ جایی که در آن باتنتها بیمحا و بدون توقف در حال رشدند. وقتی صحبت از مختل کردن (به عنوان مثال) زیرساختهای اساسی به میان میآید، اگر این باتنتها دست مجرمین بیافتند میتوانند کاری کنند کارستان. عاملینی که منابع خوبی در دست دارند میتوانند حسابی از آنها سوءاستفاده کنند (شاید با استفاده از یک گروه پوشش و یا چیزی مثل حملهی تروریستی).
باتنتهای چندمنظوره میتوانند جدا از بحث حملات اختلالگر در موارد دیگر هم به کار گرفته شوند. برای مثال در ارتباطات مخرب با فرکانس دامنه کوتاه که در حقیقت با دور زدن کانالهای قراردادیِ فیلتر، ابزارها نمیتوانند روی امور نظارت داشته باشند. گرچه فقط شبیه به هشداری باشد که هر سال داده میشود اما نباید هرگز قدرت باتنتهای اینترنت اشیاء را دست کم گرفت- آنها دارند از هر زمان دیگری قدرتمندتر میشوند.
حملهی متقابل
یکی از بزرگترین سوالها در خصوص دیپلماسی و ژئوپولیتیک این بود که چطور میشود از پسِ یک حملهی سایبری برآمد؟ پاسخ، ساده نیست و تا حد زیادی به این بستگی دارد که حمله تا چه اندازه بد و آشکار است (البته این به عوامل دیگری هم وابسته است). با این حال، به نظر میرسد بعد از هکهایی مانند آنی که در کمیته ملی دموکرات[3] شاهدش بودیم، اوضاع کمی جدیتر شد.
برخی حملات مانند هکهای Sony Entertainment Network یا حمله به DNC پیامدهایی سیاسی دارند. بدینمعنا که عملیاتها توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی طوری اجرای میشوند که باعث شود فکر کنیم گروهها یا کشورهای دیگری این عملیاتها را انجام دادهاند. روسیه خود کشوریست که از این پیامدهای سیاسی زخم خورده است. همین شاید باعث شود در مورد عملیاتهایی از این دست در آینده تجدید نظر شود. با این حال، ترس از اتفاق افتادن چنین چیزی در آینده یا فکر اینکه شاید چنین عملیاتهایی همین الانش هم اتفاق افتاده باشند بزرگترین دستاورد مهاجمین است. آنها میتوانند به روشهای مختلف و دقیقتری از این شک، ترس و حس عدم اطمینان به بهترین شکل ممکن بهره ببرند؛ چیزی که بیشتر در عملیاتهای بزرگ و قابلتوجه شاهدش بودهایم: برای مثال Shadowbrokers. تازه باید منتظر نمونههای بیشتری هم بود.
در آینده شاهد چه چیزهایی خواهیم بود؟ شاید نمونههایی از این قبیل در گذشته اتفاق افتاده باشد اما گمان داریم تنها فاز آزمایشی بودهاند. حدس میزنیم این موج تازه به راه افتاده باشد و احتمالاً در آینده شاهد ظهور آن به روشهای گوناگون خواهیم بود. برای مثال در رویدادهای پرچم دروغین[4] مانند Olympic Destroyer که هنوز هم مشخص نیست هدف نهایی چه بود و برنامه چطور پیش رفت.
ظهور تازه واردها
خلاصه بگوییم ظاهراً APT به دو گروه تقسیم میشود: عاملین پیشرفته و بسیار مجهز (که پیشبینی میشود همه ناپدید شوند) و گروهی از تازه واردهای پرانرژی که میخواهند تمامقد در میدان کارزار خودنمایی کنند. این نکته را هم در نظر داشته باشید که موانع ورود به بازار تا به حال به این اندازه کم نبوده است: امروزه صدها ابزار بسیار کارامد، اکسپلویتهای بازمهندسیشدهی لو رفته و فریمورکهایی از همه نوع که دسترسی به آنها برای همگان ممکن است وجود دارد. چنین ابزارهایی تقریباً تخصیص را محال میکنند و در صورت لزوم میتوانند براحتی سفارشیسازی شوند. دو جای این دنیا هست که این گروهها در آنها بیشتر دیده میشوند: جنوب شرق آسیا و خاورمیانه. گفته میشود در این نواحی موارد زیادی از این گروهها گزارش شدهاند؛ گروههایی که با سوءاستفاده از مهندسی اجتماعی به سمت هدفهای داخلی خود حرکت میکنند و از قربانیان آسیبپذیر و نبود فرهنگ امنیتی نهایت استفاده را میبرند. با این حال، همینطور که تارگتها لایهی دفاعی خود را بیشتر میکنند، مهاجمین نیز قابلیتهای خود را روز به روز بیشتر افزایش میدهند.
یکی از جنبههای جالبی که میشود از زاویه فنی بدان نگاه کرد این است که چطور ابزارهای پسا-اکسپلویت[5] JavaScript ممکن است (با توجه به فقدان لاگهای سیستم آن، تواناییاش در اجرای سیستمعاملهای قدیمیتر و اینکه محدود کردن کارکرد آن توسط ادمین کار سختیست) در کوتاه مدت دستخوش تغییراتی جدید شوند.
حلقههای منفی
با مشاهدهی Meltdown، Spectre ، AMDFlaws و تمام آسیبپذیریهای مربوطه (و البته آنهایی که در راهند) با ما کاری کردند که دیگر نظرمان نسبت به خطرهایی که بدافزارها میتوانند داشته باشند عوض شده است. هرچند آسیبپذیریها زیر حلقه 0 نبودند اما احتمال بروز چنین حملاتی بسیار زیاد است (زیرا تقریباً هیچ مکانیزم امنیتی نمیتواند آنها را شناسایی کند). برای مثال، در مورد SMM دست کم از سال 2015 یک PoC وجود دارد که دسترسی به آن برای همگان آزاد است. SMM یک ویژگی CPU است که به طور کارامدی دسترسی کامل و ریموتی را به کامپیوتر ممکن میسازد؛ آن هم بدون اینکه بگذارد فرآیندهای حلقه 0 به فضای مموری آن دسترسی پیدا کنند. برای همین ماندهایم آیا اینکه هنوز بدافزاری که بتواند از این قابلیت سوءاستفاده کند تنها بخاطر این است که شناساییاش سخت است یا دلیلی دیگری دارد. این قابلیت آنقدر فرصت خوبی است که نمیشود کسی از آن سوءاستفاده نکند پس چیزی که از آن مطمئنیم این است که برخی گروهها سالهاست تلاش دارند از این ساز و کارها سوءاستفاده کنند (و شاید هم در این امر بسیار موفق بودهاند).
روش تخریب مورد علاقهتان
شاید در این مقاله انتظار پیشبینی فیشینگ را نداشتید اما در این بخش میخواهیم بدان بپردازیم. ما بر این باوریم که موفقترین عامل/روش مخرب در آیندهای نه چندان دور از همیشه اهمیت بیشتری پیدا خواهد کرد. کلید موفقیتش هم در کنجکاو نگه داشتن قربانی است. با استفاده از دادههای لو رفته از پلتفرمهای شبکههای اجتماعی مختلف، مهاجمین میتوانند این رویکرد را ارتقا بخشند. دادههای بدستآمده از حملات روی شبکههای اجتماعی مانند فیسبوک و اینستاگرام و همچنین لینکدین و توییتر در بازار برای همه موجود نیست. در برخی موارد هنوز مشخص نشده چه نوع دادههایی مد نظر مهاجمین بوده است اما شاید این اطلاعات شامل پیامهای شخصی و یا حتی جزئیات محرمانه باشند. این برای مهندسان اجتماعی حکم گنج را دارد و میتواند باعث شود مهاجم اطلاعات محرمانه را از بدزد و آن را روی شبکههای اجتماعی به اشتراک بگذارد. این را میتوان با تکنیکهای قدیمی جمعآوری اطلاعات نیز ترکیب کرد؛ جایی که مهاجمین هدف خود را حسابی چک میکنند تا مطمئن شوند قربانی، مورد مناسبی است و بدینترتیب توزیع بدافزار کم شده و شناسایی سختتر میشود. به طور حتم با استفاده از فناوری یادگیری ماشین هم میشود کارایی فیشینگ را بالا برد. هنوز معلوم نیست در واقعیت این کار چه نتایجی به همراه خواهد داشت اما آنچه مشخص است این است که ترکیب همهی این عاملها میتواند فیشینگ را به روش تخریبی حرفهای و مؤثر بدل کند خصوصاً اگر از طریق رسانههای اجتماعی صورت گیرد.
نابودگر مخرب
نابودگر Olympic یکی از مشهورترین موارد بدافزارهای بسیار مخرب در طول سال گذشته بود؛ خیلی از مهاجمین همچنان دارند مرتباً در کمپینهای خود از آن استفاده میکنند. حملات نابودگر برای مهاجمین مزایای بسیاری دارند خصوصاً از لحاظ ایجاد انحراف و پاک کردن هر نوع لاگ یا شواهد بعد از حمله. در حقیقت حکم یک غافلگیری کثیف را برای قربانی دارد. به طور کلی کلید همه ی این حملات در این است که آنها بسیار وسوسهانگیز به نظر میرسند جوری که نمیشد به سمتشان نرفت. جوامع مدنی بین المللی و زیرساختهای اساسی از همه بیشتر در برابر چنین حملاتی آسیبپذیرند و گرچه صنایع و دولتها در طول ای چند سال برای بهبود این وضع بسیار تلاش کردند اما هنوز خیلی راه مانده تا شرایط سامان یابد. برای همین است که باور داریم گرچه این حملات هیچگاه به طور همگانی شیوع نمییابند اما در سال آینده شاهد موارد بیشتری از این دست خواهیم بود.
زنجیره تأمین پیشرفته
این عامل حمله از همه بیشتر نگرانکننده است و در طول 2 سال اخیر خیلی از آن سوءاستفاده شده است. برای این نوع حمله هیچ پاسخ راحتی پیدا نمیشود. گرچه این عامل حمله برای به دام انداختن کل صنعت (چیزی شبیه به حملاتwatering hole ) و یا حتی کل کشور (همانطور که در NotPetya شاهد بودیم) بینظیر است؛ اما وقتی صحبت از حملات هدفدار بیشتری میشود این نوع حمله هیچ گزینهی خوبی نیست زیرا احتمال شناسایی آن زیاد است. شاید با خود بپرسید آیا این نوع حمله میتواند به صورت هدفمندتری مرود استفاده قرار گیرد؟ به نظر میرسد در مورد نرمافزارها این قضیه سخت باشد زیرا هر جایی باشد از خود اثری باقی میگذارد و بدافزار به چندین مشتری توزیع میشود. به طور کلی حملات زنجیره تأمین، عاملهای مخرب بسیار کارامدی هستند که در آینده قرار است شاهد موارد بیشتری از آنها باشیم. در مورد ایمپلنتهای سختافزاری نیز فکر میکنیم احتمال اتفاق افتادنشان خیلی کم است و اگر هم اتفاق بیافتند هیچیک باخبر نخواهیم شد.
و موبایل
این بخش، پایه ثابت پیشبینیهای هر سال است. چیز جدیدی در این بخش انتظار نداریم اما باید این را هم بگوییم که این موج، دو مسیر آلودگی را طی میکند. یکی موبایل و دیگری پیسی. واقعیت این است که در بخش اندروید حملات بیشترند تا آیاو اس. اتفاق غیرمنتظرهای را برای این حوزه پیشبینی نمیکنیم اما احتمال میدهیم مهاجمین پیشرفته همچنان بخواهند به روشهای مختلف وارد دستگاههای قربانیان شوند.
سایر موارد
مهاجمین چه برنامههایی برای حملات آتی خود دارند؟ یکی از ایدهها در حوزه نظامی این است که شاید دیگر از نیروهای انسانی ضعیف استفاده نکنند و به جای آنها بیشتر از ماشینها کمک بگیرند. شاید به جای عوامل انسانی برای هکهای دامنه کوتاه از پهپادها استفاده کنند، یا شاید برای جمعآوری دادهها در برخی از پروژههای رمزارز خود از بکدر کمک بگیرند. این احتمال هم میرود که در پولشویی های خود از ارزها دیجیتالی استفاده کنند. نظرتان راجع به استفاده از خریدهای درونبازیای و بعد فروختن چنین اکانتهایی در بازار چیست؟ خیلی وقتها هم ممکن است همهچیز آنطور که پیشبینی میشده پیش نرود. پیچیدگیای که در این فضا وجود دارد باعث میشود تا قطعیت و حتی احتمال هم از بین برود. حتی خود متخصصان حمله هم در حوزههای مختلف برایشان نقاط کوری بوجود میآورد که سوالبرانگیز است. هیچگاه نمیتوان فهمید قدم بعدی مهاجمین سایبری در کدام مسیر است. تنها کاری که از دست ما بر میآید این است که سعی کنیم حدسهای معقول بزنیم، حملات را درک کنیم و کاری کنیم در آینده دیگر تکرار نشوند.
[1]Advanced persistent threat: تهدیدهای پیشرفته و مستمر
[2] IOT
[3] Democratic National Committee
[4] false flag: به عملیاتهایی گفته میشود که توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی به گونهای انجام میشود که این تصور به وجود آید که گروهها یا کشورهای دیگری این عملیاتها را انجام دادهاند.
[5] post-exploitation
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.