روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ مجرمان سایبری میتوانند با اکسپلویت کارمندان طمعکار یا غافل، پول کل شرکتها را اصطلاحاً بالا بکشند. این دقیقاً اتفاقی است که برای سیستم بلاکچین Ronin Networks ساخت شرکت Sky Mavis (برای بازی درآمدزای[1] Axie Infinity) افتاد. یک کارمند شرکت Sky Mavis فایل پیدیافی را با جاسوسافزاری که در آن مخفی شده بود دانلود کرد و همین باعث شد بزرگترین سرقت ارز دیجیتال رخ دهد. این شرکت مبلغ 173 اتریوم و 25.5 میلیون USDC (حدود 540 میلیون دلار در زمان بروز این رخداد) از دست داد. در ادامه با ما همراه شوید تا این رخداد سایبری را مورد بررسی قرار دهیم.
مقدمهای برای Axie Infinity و Ronin Networks
Axie Infinity در واقع گیم ویدیویی آنلاین است که در آن، بازیکنان با کمک موجودات خیالی به نام axis ارز دیجیتال دریافت میکنند. این ارزها را میتوان در رقابتها استفاده کرد و به سایر بازیکنان فروخت. Axis برای بازیکنان حکم حیواناتی بغلکردنی و دوستداشتنی دارند اما آنها در اصل توکنهای غیرقابلتعویضند (NFTها). Axie Infinity که در سال 2018 منتشر شد خیلی زود مخاطبین خود را پیدا کرد. بازیکنان در اوج فعالیت این بازی توانستند آنقدری پول درآورند که در برخی کشورها مانند کشورهای آسیای جنوب شرقی به شغلی تمام وقت تبدیل شد. این گیم در رکوردشکنیاش در نوامبر 2021 روزانه 2.7 میلیون بازیکن داشت و سال گذشته هفتهای 215 میلیون دلار به دست آورد (تابستان 2022 اما به هفتهای 1 میلیون دلار در هفته کاهش یافت). پرداختها در اکوسیستم Axie Infinity با استفاده از ارز درون بازیِ Smooth Love Potion (SLP) مبتنی بر بلاکچین اتریوم صورت میگیرند. توسعهدهندگان برای اینکه به کاربران اجازه دهند خرید و فروش SLP راحتی با ارزهای دیجیتال معمول داشته باشند (و نیز بدون کارمزدهای بالا) پلتفرم Ronin را ساختند. همین پلتفرم بود که توجه مجرمان سایبری را به خود جلب کرد.
پیشنهادی چرب و نرم: چطور اسکمرها توسعهدهندگان را فریب دادند؟
مهاجمین برای رسیدن به این پلتفرم حمله هدفدار را روی کارمندان Sky Mavis انجام دادند. آنها اطلاعاتی را در مورد این شرکت جمع کرده و اسکمی را حول محور یک پیشنهاد کاری با دستمزد بسیار بالا دست و پا کردند. این نقشه شامل ارسال پیشنهاد کاری وسوسهانگیز (به احتمال زیاد در لینکدین) برای یک مهندس ارشد کمدقت میشد. کارمند که همه مراحل گزینش را با موفقیت پشت سر گذاشته بود –آنطور که مهاجمین حدس میزدند-پیشنهاد کاری چرب و نرمی را در قالب فایل پیدیاف دریافت کرد. وقتی این فایل دانلود شد، جاسوسافزار داخل آن در شبکه شرکت پخش شد.
جاسوسافزارِ فعال: برداشت وجوه!
مجرمان سایبری از این بدافزار برای دسترسی به رمزهای خصوصی اعتبارسنجی شبکه یعنی نودهایی که تراکنشهای رمزارز را اعتبارسنجی و تأیید میکنند استفاده کردند. در Ronin Networks (در زمان حمله) تعداد نُه اعتبارسنج وجود داشت و برای انجام انتقال وجه دست کم باید پنج اعتبارسنج آن را تأیید میکردند. در نهایت مهاجمین تصمیم گرفتند چهار اعتبارسنج را در داخل خود شرکت و پنجمی را از سازمان غیرمتمرکز مستقل Axie DAO دستکاری کنند. کاشف بعمل آمد که نوامبر 2021 به دلیل حجم بالای تراکنشها و لود اعتبارسنجها، شرکت به Axie DAO اجازه تأیید تراکنشها و انتقال وجوه را داده بوده است. بعد از یک ماه این حجم کمتر شد و دیگر نیازی به کمک Axie DAO نبود- اما هنوز حق تأیید تراکنشها در آن غیرقعال نشده بود و همین راهی باز کرد برای مانور مجرمان سایبری. هکرها با نفوذ به سیستم Sky Mavis همچنین به Axie DAO (که پنجمین اعتبارسنج لازم را برای برداشت وجوه را از سایر اکانتها به اکانت خود ارائه میداد) دسترسی پیدا کردند.
واکنش Sky Mavis
Sky Mavis وقتی از این رخداد باخبر شد مسئولانه اقدامات امنیتی را انجام داد. این شرکت مسئله را به دست متخصصین امنیت برون سازمانی سپرد –از Verichains گرفته تا CertiK – و ممیزی کامل روی Ronin Networks انجام داد. Sky Mavis همچنین تعداد اعتبارسنجهای لازم را به 11 عدد رساند و تضمین داد به تدریج این تعداد را به دست کم 100 اعتبارسنج خواهد رساند. هرقدر تعداد کل اعتبارسنجها بیشتر باشد تعداد بیشتری از آن ها باید از سوی مهاجمین دستکاری شود تا تراکنشهای غیرمجاز صورت گیرد. پس افزایش این تعداد به لحاظ تئوریک پیش بردن چنین حملاتی را به مراتب پیچیدهتر میکند. از آنجایی که وجوه سرقتی در واقع به بازیکنان Axie Infinity تعلق دارد، شرکت Sky Mavis در تاریخ 28 ژوئن پرداخت خسارت را آغاز کرد. برای پرداخت این خسارت شرکت مجبور شد از منابع خود استفاده کرده و همچنین 150 میلیون دلار پول Binance که اوایل آوریل بدست آورده بود خرج کند.
راهکارهای امنیتی
مجرمان سایبری موقع برنامهریزی حملات هدفدار، به دقت قربانی را بررسی میکنند تا نقاط ضعشفش دستشان بیاید. اینها میتوانند هم حفرههای امنیتی در دستگاهها و نرمافزارها باشند هم خود عامل انسانی. حتی متخصص آیتی باتجربه هم در چنین مواردی میتواند فریب بخورد. از این رو توصیه میکنیم راهکارهای امنیتی زیر را انجام دهید:
- به پیشنهادات غیرمنتظره و سخاوتمندانه اعتماد نکنید: خواه شغل رویاییتان باشد با حقوقی بالا، خواه یک جایزه و خواه ارثی از آشنایی دور یا هر پیشنهاد چرب و نرم دیگر.
- از دانلود فایلها یا دنبال کردن لینکها در ایمیلها و پیامهایی از سوی فرستندههای ناشناس خودداری کنید. اگر در شبکه اداری هستید و فایلها و لینکها به کار ارتباطی ندارند حتی بیش از قبل حواستان را جمع کنید.
- از راهکار امنیتی مطمئنی استفاده کنید که نمیگذارد بدافزار روی دستگاهتان اجرا شود.
[1] play-to-earn game
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
