روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مردم اصولاً همانطور که ما به معنای عام جاسوسی فکر میکنیمدر مورد APTها فکر میکنند: شاید چیز مهم و بزرگی باشد اما ما در امانیم. اینطور نیست؟ بیشتر ما رمز و رازهای دولتی یا صنعتی را در گوشیمان نگه نمیداریم و روی کامپیوترمان هم با دادههای دستهبندیشده سر و کار نداریم؛ پس اصلاً چرا باید طعمهای برای این نوع حملات باشیم؟
بسیارخوب دوستان، شاید تا حد زیادی راست بگویید. خیلی نامعمول است یک فرد عادی بخواهد هدف عاملی باشد که از سوی دولت حمایت میشود اما چنین فردی هنوز هم میتواند هدف ثانویه باشد. دنیل کریئوس در GReAT (تیم تحلیل و تحقیق جهانی کسپرسکی) اخیراً در بارسلونا این به این مبحث پرداخته است. در ادامه با ما همراه شوید تا به نقل از وی توضیح دهیم چطور ترکش حملات APT به سه روش میتواند به افراد معمولی هم بخورد.
سناریوی شماره یک: وبسایت اشتباه در زمانی اشتباه
APT ها در مقایسه با عاملین کوچکتر به حد کافی برای اکسپلویتهای روز صفر پول دارند؛ منجمله آنهایی که موجبات حملات ریموت گودال آب را فراهم میکنند. تحقیقات پروژه صفر گوگل در سال 2019 نشان داد که یک عامل برای آلوده کردن هدفهای خود با جاسوسافزار از 14 آسیبپذیری در 5 زنجیره اکسپلویت مختلف استفاده کرده است. برخی از این آسیبپذیریها برای آلودهسازیِ ریموتِ کاربران آیاواس که به طور خاص از وبسایتهای مربوط به مسائل سیاسی بازدید میکردند مورد استفاده قرار گرفتند. در نهایت روی گوشیهایشان جاسوسافزار نصب شد. نکته اینجاست که این عامل برای کاربران تفاوتی قائل نشد و در واقع دامن همهی کاربران آیاواسی را که از این سایت دیدن کرده بودند گرفت.
این اولین و آخرین حمله APT نبود که به گودال آب مجهز بود. برای نمونه، یکی از بخشهای حملهی NotPetya بدنام یا همان ExPetr با آلوده کردن وبسایت دولتی کارش را آغاز کرد. وقتی کاربران از این وبسایت دیدن کردند، بدافزاری روی کامپیوترهایشان دانلود و اجرا شد. بنابراین یکی از چالشهای حملات APT این است که عاملین تهدید شاید به طور خاص علاقهای به هدف قرار دادن شما نداشته باشند اما اگر از قضا در زمانی اشتباه به وبسایتی اشتباه سر بزنید یا اپی اشتباه را دانلود کنید ممکن است ناخواسته به دام بیافتید. حملات APT عادت دارد تر و خشک را با هم میسوزاند.
سناریو شماره دو: اسباببازیهایی جدی در دستان مجرمان سایبری
به عنوان مثال APTها اغلب به دنبال رموز و امور محرمانهی سایر APTها میگردند. آنها دوست دارند همدیگر را هک کنند و به هم رکب بزنند. برخیاوقات هم ابزارهایی که دشمن استفاده میکند را افشا میکنند. عاملین کمتر پیشرفته و کوچکتر هم از خدا خواسته آنها را برداشته و شروع میکنند به ساختن بدافزار؛ این کار خیلی وقتها غیر قابل مهار کردن میشود. یادتان باشد که واناکرایِ بدنام با استفاده از EternalBlue–یکی از اکسپلویتهای نشتشده توسط شادوبروکرها و قتی تصمیم گرفتند تسلیحات سایبری Equation Group- بریزند روی داریه- ساخته شد.
تهدیدهای دیگر از جمله NotPetya/ExPetr، Bad Rabbit، EternalRocks و ... نیز به همین اکسپلویت وابسته بودند. یک اکسپلویت نشتشده مساویست با مجموعهای از اپیدمیهای بزرگ و متعدد و کلی رویداد ثانویه که میتواند صدها هزار دستگاه را آلوده نموده و کلی کسب و کار و آژانس دولتی در سراسر دنیا را فلج کند.
خلاصه بگوییم که آسیب ثانویهی حملات APT برای افراد معمولی این است که عاملین تهدید ابزارهای بسیار خطرناکی درست میکنند و برخیاوقات نمیتوانند آنها را مهار کنند؛ از این رو خیلی از این ابزارها به دست مجرمان سایبری با میزان مختلف مهارت و خلاقیت میافتد که لحظهای برای شر درست کردن تردید ندارند.
سناریو شماره سه: نشت دادههای جمعآوریشده
همانطور که پیشتر عرض کردیم، عاملین پشت حملات APT قابلیت هک کردن همدیگر را دارند. برخیاوقات نه تنها ابزارهای همدیگر را به نمایش میگذارند که حتی هر اطلاعاتی از دشمن خود بدست میآوردند نیز رو میکنند. اطلاعات جمعآوریشده توسط ابزار جاسوسی ZooPark به همین شکل افشا شد. در طول دو سال گذشته، 13 فروشنده تعقیبافزار یا هک شدند و یا اطلاعات جمعآوریشدهشان به طور عمومی در معرض نمایش برای همگان قرار گرفت. بنابراین، سناریوی سوم از این قرار است: حتی اگر یک APT با کاربران معمولی کاری نداشته باشد، حتی اگر اطلاعات کاربران را برای هیچ مقصد شری جمع نکند باز هم این امکان وجود دارد که اطلاعات هک شده و به طور عمومی در معرض نمایش گذاشته شود. بدینترتیب مردم معمولی نیز حریم خصوصیشان بر باد خواهد رفت.
چطور ایمن بمانیم
- نگذارید اپها از سوی منابع طرفسوم در گوشیهای اندرویدی نصب شوند (آنها را غیرفعال کنید). اگر واقعاً میخواهید اپی مطمئن از جایی غیر از گوگلپلی دانلود کنید این کار را یکبار انجام داده و بعد فراموش نکنید تنظیمات را دوباره به حالت غیرفعال درآورید.
- مرتباً مجوز اپهایی را که روی گوشی خود نصب کردهاید بررسی نمایید و از هر گونه صدور مجوز غیرضروری به اپ خودداری فرمایید. همچنین خوب است پیش از نصب، فهرست مجوزهایی را که اپ استفاده میکند بررسی کنید. این فهرست در گوگلپلی موجود است.
- از وبسایتهای مشکوک دیدن نکرده و روی لینکهایی که به منبعشان شک دارید کلیک نکنید. افرادی ناشناس با نیت خیر برای شما چیزی ارسال نخواهند کرد. برخی حملات APT قابلیت آلوده کردن وبسایتهای قانونی را هم دارند اما بسیاری از آنها بیشتر در بخش فیشینگ وارد هستند.
- از راهکار امنیتی مطمئنی استفاده کنید که هر چیزی را که قرار است روی دستگاه نصب یا دانلود شود اسکن نموده و هر لینک و بستهای را بررسی میکند. آن را خط دفاعی آخر خود تلقی کنید: حتی اگر عاملی بد سراغتان آمد و از طریق اکسپلویتی خواست وارد دستگاهتان شود این راهکار از شما حفاظت خواهد کرد.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.