روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ تهدیدهای پایدار پیشرفته (APTها) خطرناک‌ترین تهدیدها هستند زیرا آن‌ها از ابزارها و تکنیک‌های پیچیده استفاده می‌کنند و اغلب هدف‌های بالا داشته و سخت می‌توان شناسایی‌شان کرد. میان بحران‌های جهانی و تشدید تقابل‌های ژئوپولیتیکی، این حملات سایبری پیچیده حتی خطرناک‌تر هم می‌شوند زیرا اغلب طعمه‌ها بیشتر است. ما در تیم GReAT شماری از گروه‌های APT را نظارت کردیم و با تحلیل ترندها سعی داشته‌ایم برای جلو افتادن از چشم‌انداز همیشه رو به تکامل تهدید و همچنین امن نگه داشتن مشتریان‌مان، پیشرفت‌های آتی‌شان را پیش‌بینی کنیم. در این مقاله نگاهی داریم به پیش‌بینی‌های سال 2023‌مان و اینکه ببینیم کدامشان درست از آب درآمدند و همچنین پیش‌بینی‌های خود را در مورد سال 2024 نیز ارائه خواهیم داد. با ما همراه بمانید.

بازنگری پیش‌بینی‌های 2023

1. افزایش حملات مخرب

در دسامبر سال گذشته، اندکی پس از انتشار پیش‌بینی‌های خود برای سال 2023، گزارش شد که سازمان‌های دولتی روسیه توسط یک پاک‌کننده داده به نام CryWiper مورد هدف قرار گرفته‌اند. این بدافزار به عنوان باج‌افزار ظاهر شد و از قربانیان برای «رمزگشایی» داده‌هایشان پول خواست. با این حال، به جای رمزگذاری داده ها، آنها را به طور هدفمند در سیستم های آسیب دیده از بین برد.

در ژانویه، ESET وایپر جدیدی کشف شدکه در حمله ای در اوکراین از طریق Active Directory GPO مستقر شده بود. آنها وایپری  به نام SwiftSlicer را به کرم شنی[1] (معروف به هادس[2]) نسبت می‌دهند.

در ماه ژوئن، مایکروسافت گزارشی درباره یک عامل تهدید به نام Cadet Blizzard منتشر کرد که مسئول WhisperGate و سایر برف وایپرها بود که سازمان‌های دولتی اوکراین را در اوایل سال 2022 هدف قرار می‌دادند. همچنین سازمان هایی را در اروپا، آسیای مرکزی و آمریکای لاتین هدف قرار دادند.

به طور خلاصه، اگرچه ما حجم مشابهی را که در سال 2022 داشتیم مشاهده نکردیم، به وضوح حملات قابل توجهی وجود داشت.

حکم: تا حدی محقق شد

2. میل‌سرورها تارگت‌های اولویت‌دار می‌شوند

در ماه ژوئن، Recorded Future هشدار داد که BlueDelta  (همان Sofacy، APT28، Fancy Bear و Sednit)از آسیب‌پذیری‌های موجود در Roundcube Webmail برای هک چندین سازمان از جمله مؤسسات دولتی و نهادهای نظامی درگیر در زیرساخت‌های هوانوردی استفاده می‌کند. بازیگر تهدید از اخبار مربوط به درگیری روسیه و اوکراین برای فریب دادن اهداف برای باز کردن ایمیل‌های مضر استفاده کرد که آسیب‌پذیری‌های CVE-2020-35730، CVE-2020-12641 و CVE-2021-44026  را اکسپلویت می‌کرده. مهاجمین با استفاده از یک اسکریپت مخرب، ایمیل دریافتی اهداف خود را به آدرس ایمیلی که توسط مهاجمین کنترل می‌شود هدایت کرده و داده‌ها را از حساب‌های در معرض خطر جمع‌آوری می‌کنند.

در ماه جولای، یک نوع به روز شده Owowa را گزارش کردیم که علیه اهداف در روسیه استفاده می‌شد. ما توانستیم استقرار Owowa را با یک زنجیره نفوذی مبتنی بر نامه مرتبط کنیم که شبیه فعالیت‌های شناخته شده CloudAtlas در کمپینی به نام GOFFEE بود.

در ماه آگست، TeamT5 و Mandiant، با پیگیری تحقیقات قبلی در مورد اکسپلویت آسیب‌پذیری تزریق فرمان از راه دور که بر دستگاه Email Security Gateway (ESG) Barracuda (CVE-2023-2868) توسط UNC4841 تأثیر می‌گذارد، جزئیات بیشتری در مورد TTP‌های مورد استفاده توسط عامل تهدید ارائه کردند . UNC4841 بدافزار جدیدی را مستقر کرد که برای حفظ حضور در زیرمجموعه کوچکی از اهداف با اولویت بالا طراحی شده بود که قبل از انتشار پچ یا مدت کوتاهی پس از آن به خطر افتاده بودند. این شامل استفاده از بک‌درهای SKIPJACK و DEPTHCHARGE و پرتابگر FOXTROT/FOXGLOVE است. عامل تهدید طیف گسترده ای از عمودها را هدف قرار داد. آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) IoC های اضافی مرتبط با اکسپلویت CVE-2023-2868 ارائه کرد.

حکم: پیش بینی محقق شد

3. واناکرایی دیگر

خوشبختانه این اپیدمی سایبری جدید رخ نداد.

حکم: پیش‌بینی محقق نشد

4. حمله APT به سمت فناوری‌های ماهواره‌ای، تولیدکنندگان و اپراتورها می‌رود

تنها مورد شناخته‌شده حمله با استفاده از فناوری‌های ماهواره‌ای که در سال‌های اخیر اتفاق افتاد، هک شبکه KA-SAT در سال 2022 بود. ما در سال 2023 چیزی مشابه آن را ندیده‌ایم.

حکم: پیش بینی محقق نشد

5. هک و نشت

در ماه آوریل، KelvinSecurity، یک گروه هکتیویست و کلاه سیاه اسپانیایی‌زبان را گزارش کردیم. انگیزه این گروه، اجتماعی-سیاسی و پولی است اما ناپایداری‌هایی وجود دارد. حملات به سازمان های دولتی یا خصوصی در سراسر جهان انجام می شود. نشت‌ها اغلب در دارک‌وب، گروه‌های پیام یا پلت‌فرم‌های خود گروه فروخته می‌شوند و برخی به صورت رایگان ارائه می‌شوند.

در ماه مه، Ars Technica گزارش داد که کلیدهای خصوصی BootGuard به دنبال حمله باج‌افزاری به Micro-Star International (MSI) در ماه مارس سال جاری به سرقت رفته است (سیستم‌افزار روی رایانه‌های شخصی با تراشه‌های اینتل و BootGuard فعال فقط در صورتی اجرا می‌شود که با استفاده از کلدهای مناسب، به طور دیجیتالی امضا شود). اگر مهاجم بتواند این کلیدهای خصوصی را به دست آورد، می‌تواند بدافزار خود را امضا کند تا کد مورد اعتماد و توسط رایانه‌های MSI اجرا شود.

در ماه آگست، گروه Insikt، بخش تحقیقاتی تهدیدات آینده ثبت‌شده، BlueCharlie  (همچنین معروف به نام‌هایی از قبیل بلو کالیستو، کالیستو، کولدرایور و استار بلیزارد) گزارش کرد که توسط محققین به دامنه‌های جدید 94 که از مارس سال جاری آغاز می‌شود، نشان می‌دهد که این گروه به طور فعال زیرساخت‌های خود را در پاسخ به افشای عمومی درباره فعالیت‌های خود اصلاح می‌کند. عامل تهدید بر جمع‌آوری اطلاعات برای عملیات‌های جاسوسی و هک و نشت، هدف قرار دادن سازمان‌ها در صنایع مختلف مانند دولت، آموزش عالی، دفاع و بخش‌های سیاسی، سازمان‌های غیردولتی NGO))، فعالان، روزنامه‌نگاران و لابراتورهای ملی فکر می‌کند.

حکم: پیش بینی محقق شد

6. گروه‌های APT بیشتری از  Cobalt Strike به سایر جایگزین‌ها روی می‌آورند

ما از نزدیک ابزارهای مشابهی را زیر نظر داریم که یکی از آنها BruteRatel است، اما Cobalt Strike همچنان به عنوان چارچوبی برای حملات استفاده می شود.

 

حکم: پیش بینی محقق نشد

7. بدافزار حامل SIGINT

در ماه سپتامبر، سیتیزن لب گزارشی درباره احمد الطنطاوی، چهره برجسته مخالف مصری منتشر کرد. این سیاستمدار هدف یک حمله «روز صفر» که قبلاً کشف نشده بود، با هدف آلوده کردن تلفنش به نرم افزارهای جاسوسی شد. در طول ماه‌های آگست و سپتامبر، سیتیزن لب گزارش داد که التانتاوی شکل خطرناک‌تری از حملات تزریق شبکه را تجربه کرده است، که نیازی به هیچ اقدامی از سوی او، مانند کلیک کردن بر روی هر چیزی، نداشت.

گزارش Citizen Lab برای تعیین محل دقیق تزریق در شبکه تحقیقاتی انجام داد. مشخص شد که نقطه تزریق در ارتباط بین دو شرکت مخابراتی مصری قرار دارد. تنها با تکیه بر داده های فنی، آزمایشگاه نمی توانست تشخیص دهد که جعبه میانی در کدام سمت اتصال قرار گرفته است. با این وجود، محققین این آزمایشگاه گمان می‌کردند این حمله احتمالاً شامل ادغام با یکی از پایگاه‌های داده مشترکین ارائه‌دهندگان است.

به گفته Citizen Lab، اجرای حمله به Eltantawy مستلزم نصب سیستم PacketLogic در شبکه ارائه‌دهنده خدمات ارتباطی Eltantawy در مصر بود، اگرچه محققین ISP را به همدستی در حمله متهم نکردند.

 

حکم: پیش بینی محقق شد

8. هک پهپاد!

اگرچه گزارشی عمومی از پهپادهای مورد استفاده برای هک شبکه Wi-Fi در سال 2022 وجود داشت، هیچ گزارشی از رویدادهای مشابه در سال 2023 وجود ندارد.

 

حکم: پیش بینی محقق نشد

 

پیش‌بینی‌های APT برای سال 2024

حال بیایید نگاهی داشته باشیم بر آینده احتمالی چشم‌انداز تهدیدهای مداوم پیشرفته.

 

افزایش اکسپلویت‌های خلاقانه برای موبایل، پوشیدنی‌ها و دستگاه‌های هوشمند

سال گذشته کشف مهمی رقم خورد: «عملیات مثلث‌سازی» یا همان Operation Triangulation، یک کمپین جاسوسی جدید و فوق‌العاده مخفیانه که دستگاه‌های iOS، از جمله همکاران ما را هدف قرار می‌دهد. در طول بررسی، تیم ما پنج آسیب‌پذیری را در iOS شناسایی کرد، از جمله چهار روز صفر. این آسیب‌پذیری‌ها نه تنها بر تلفن‌های هوشمند و تبلت‌ها تأثیر می‌گذارد، بلکه به لپ‌تاپ‌ها، دستگاه‌های پوشیدنی و گجت‌های خانه هوشمند از جمله Apple TV و Apple Watch نیز گسترش یافته است. با نیم‌نگاهی بر آینده احتمال می‌دهیم حملات پیشرفته بیشتری برای استفاده از دستگاه‌های مصرف‌کننده و فناوری خانه‌های هوشمند پیش بینی رخ دهد. دستگاه‌های iOS ممکن است تنها هدف نباشند: دستگاه‌ها و سیستم‌عامل‌های دیگر نیز ممکن است با خطراتی مواجه شوند.

یک راه خلاقانه برای بازیگران تهدید این است که تلاش‌های نظارتی خود را گسترش دهند تا دستگاه‌هایی مانند دوربین‌های خانه هوشمند، سیستم‌های ماشین متصل و فراتر از آن را شامل شود. بسیاری از این گجت‌ها، چه جدید و چه قدیمی، به دلیل آسیب‌پذیری‌ها، پیکربندی‌های نادرست یا نرم‌افزار قدیمی مستعد هستند و آنها را به اهدافی جذاب و آسان برای مهاجمین تبدیل می‌کند.

یکی دیگر از جنبه‌های قابل توجه این روند در حال ظهور، روش تحویل اکسپلویت "بی صدا" است. در «عملیات مثلث‌سازی»، اکسپلویت‌ها به‌طور محتاطانه از طریق iMessage تحویل داده و بدون تعامل کاربر فعال می‌شوند. در سال آینده، ممکن است شاهد روش‌های تحویل جایگزین برای اکسپلویت باشیم، مانند:

•         صفر کلیک از طریق پیام رسان‌های متقابل پلت‌فرم محبوب، امکان حملات بدون تعامل با قربانی احتمالی را فراهم می کند.
•         یک کلیک با تحویل لینک مخرب از طریق پیامک یا برنامه های پیام رسانی، که در آن قربانیان ممکن است ناآگاهانه با باز کردن این لینک‌ها حملاتی را آغاز کنند.
•         عوامل مخربی که ترافیک شبکه را رهگیری می‌کنند، به عنوان مثال، سوء استفاده از شبکه‌های -Wi-Fi  روشی کمتر رایج اما بالقوه موثر.

برای محافظت در برابر حملات پیچیده و تهدیدات هدفمند، محافظت از دستگاه‌های شخصی و شرکتی حیاتی است. راهکارهایی مانند پلت‌فرم‌های XDR، SIEM، و MDM، جدای از محصولات آنتی ویروس سنتی، جمع‌آوری داده‌های متمرکز، تسریع تجزیه و تحلیل و مرتبط کردن رویدادهای امنیتی را از منابع مختلف امکان‌پذیر و واکنش سریع به حوادث پیچیده را تسهیل می‌کنند.

ساخت بات‌نت‌های جدید با نرم‌افزارها و لوازم خانگی سازمانی و مصرفی

این یک واقعیت شناخته شده است: آسیب‌پذیری‌ها در نرم‌افزارها و دستگاه‌های پرکاربرد، چه برای استفاده شرکتی یا شخصی، وجود دارند. هرازگاهی آسیب‌پذیری‌های جدید با شدت بالا و بحرانی کشف می‌شوند. طبق آمار Statista، در سال 2022، تعداد آسیب‌پذیری‌های بی‌سابقه - بیش از 25000 - کشف شد. اغلب، منابع محدودی به تحقیق درباره آسیب‌پذیری‌ها اختصاص داده می‌شود و همیشه به موقع رفع نمی‌شوند. این نگرانی‌ها را در مورد ظهور احتمالی بات‌نت‌های جدید، در مقیاس بزرگ و مخفیانه ایجاد می‌کند که قادر به انجام حملات هدفمند هستند.

ایجاد  بات‌نت مستلزم نصب مخفیانه بدافزار بر روی تعداد زیادی از دستگاه ها بدون اطلاع صاحبان دستگاه است. گروه‌های APT ممکن است این تاکتیک را به دلایل مختلفی جذاب بدانند. برای شروع، به بازیگران تهدید اجازه می‌دهد تا ماهیت هدفمند حملات خود را در پشت حملات به ظاهر گسترده پنهان کنند و شناسایی هویت و انگیزه مهاجمین را برای مدافعین چالش برانگیز می‌کند. علاوه بر این، بات‌نت‌هایی که ریشه در دستگاه‌ها یا نرم‌افزارهای مصرف‌کننده دارند، یا آن‌هایی که متعلق به سازمان‌های قانونی هستند،  براحتی زیرساخت واقعی مهاجمین را پنهان می‌کنند. آنها می توانند به عنوان سرورهای پروکسی، هاب‌های C2 میانی (فرماندهی و کنترل) و در موارد پیکربندی اشتباه شبکه، نقاط ورود بالقوه به سازمان‌ها عمل کنند.

خود بات‌نت‌ها ابزار حمله جدیدی نیستند. به عنوان مثال، چند سال پیش، یک بات نت با بیش از 65000 روتر خانگی برای پروکسی ترافیک مخرب برای سایر بات نت ها و APT ها استفاده شد. مثال دیگری که در پی فراگیر شدن کار از راه دور افزایش یافته است، مربوط به کمپین های APT است که کارمندان راه دور را از طریق روترهای کوچک اداری/خانگی آلوده به یک تروجان دسترسی از راه دور شبیه بات نت RAT)  )هدف قرار می دهد. با توجه به تعداد قابل توجهی از آسیب پذیری‌های اخیراً فاش شده، انتظار داریم در سال آینده شاهد حملات جدیدی از این نوع باشیم.

حملات مبتنی بر بات‌نت به گروه‌های APT محدود نمی‌شوند و ممکن است توسط مجرمان سایبری نیز مورد پذیرش قرار گیرند. ماهیت پنهان این حملات چالش‌های شناسایی را به همراه دارد و در عین حال فرصت‌های فراوانی را برای نفوذ و ایجاد حضور در زیرساخت‌های سازمان به مهاجمان ارائه می‌دهد.

موانع اجرای کد سطح کرنل به شدت دور زده می‌شود (روت‌کیت‌های کرنلی دوباره بر سر زبان‌ها می‌افتند)

مایکروسافت با معرفی اقدامات امنیتی مدرن مانند KMCS  (امضای کد حالت هسته)، PatchGuard، HVCI  و معماری Secure Kernel در نسخه‌های اخیر ویندوز، هدف مایکروسافت کاهش شیوع روت‌کیت‌ها و حملات سطح پایین مشابه است. این روش‌های حمله کلاسیک در دوره‌های قبلی که با انواع مختلفی از روت‌کیت مشخص می‌شد، رایج بودند.

در طول چند سال گذشته، شاهد بودیم که بسیاری از بازیگران APT و گروه‌های جرایم سایبری با وجود این مکانیسم‌های حفاظتی جدید، کد خود را در حالت هسته سیستم‌های هدفمند با موفقیت اجرا کردند. چندین اکسپلویت برنامه سازگاری سخت افزار ویندوز WHCP)  ) گزارش شده در سال جاری منجر به به خطر افتادن مدل اعتماد هسته ویندوز شد. در ژوئن 2021، روت کیت Netfilter گزارش شد، پس از آن، مایکروسافت جزئیات مشاوره ای را منتشر کرد که در آن به عنوان وسیله ای برای تقلب موقعیت جغرافیایی در جامعه گیمینگ در چین استفاده می شد. سپس بیت دیفندر FiveSys را در اکتبر 2021 فاش کرد، یک روت‌کیت که عمدتاً برای هدف قرار دادن گیمرهای آنلاین با هدف اصلی سرقت اعتبار و ربودن خرید درون بازی استفاده می‌شد. و در نهایت Mandiant آخرین اکسپلویت شناخته‌شده را گزارش کرد که نشان می‌داد بدافزار Poortry در تعدادی از حملات سایبری از جمله حوادث مبتنی بر باج افزار استفاده شده بود. در ژوئیه 2023، انواع جدید امضا شده FiveSys را به صورت خصوصی گزارش کردیم.

 

ما پیش‌بینی می‌کنیم که سه بردار کلیدی افزایش پیدا کند که بازیگران تهدید را با این قابلیت بیشتر توانمند می‌کند:

•         افزایش بازار زیرزمینی برای گواهینامه‌های EV و لایسنس‌های سرقت شده امضای کد.
•         سوء استفاده بیشتر از حساب‌های توسعه دهنده برای دریافت کد مخرب از طریق سرویس‌های امضای کد مایکروسافت مانند WHCP.
•         افزایش مداوم BYOVD  (راننده آسیب پذیر خود را بیاورید) در زرادخانه TTP بازیگران فعلی تهدید.

رشد حملات سایبری با عاملینی که از سوی دولت حمایت می‌شوند

طبق برآورد سازمان ملل متحد سال گذشته، جهان شاهد بیش از 50 درگیری در دنیای واقعی - بالاترین سطح درگیری‌های خشونت‌آمیز از زمان جنگ جهانی دوم- بود. هر رویارویی سیاسی در حال حاضر ذاتاً شامل عناصر سایبری می‌شود، زیرا آنها به بخشی پیش فرض هر درگیری تبدیل شده اند و این روند در حال توسعه بیشتر است. حملات BlackEnergy APT در اوکراین نمونه بارز دهه گذشته است که به دلیل اقدامات مخرب علیه شرکت‌های رسانه ای، به خطر انداختن سیستم های کنترل صنعتی و درگیر شدن در جاسوسی سایبری شناخته شده است.

چشم انداز فعلی بازیگران بالقوه درگیر در جنگ سایبری گسترده است، از فعالیت های کمپین CloudWizard APT در منطقه درگیری روسیه و اوکراین گرفته تا مجموعه ای از حملات سایبری که جرقه های حملات اخیر در درگیری اسرائیل و حماس را برانگیخته است. برای مثال، حملات سایبری به سازمان‌های انرژی، دفاع و مخابرات اسرائیل توسط عامل تهدید به نام «طوفان-1133» (گزارش‌شده توسط مایکروسافت) و هدف قرار دادن کاربران اندروید در اسرائیل با نسخه مخرب برنامه RedAlert – Rocket Alerts، از جمله این موارد است. بر اساس گزارش های CyberScoop، یک گروه هکری به نام Predatory Sparrow پس از یک وقفه تقریباً یک ساله در میان درگیری‌های جاری دوباره ظهور کرده است.

با تقویت تنش‌های ژئوپلیتیکی، افزایش حملات سایبری تحت حمایت دولت را پیش بینی می‌کنیم. این به زیرساخت های حیاتی، بخش های دولتی یا شرکت های دفاعی در سراسر جهان محدود نخواهد شد. سازمان های رسانه ای نیز به طور فزاینده‌ای در معرض خطر خواهند بود. در فضای کنونی تشدید تنش‌های ژئوپلیتیکی، سازمان‌های رسانه‌ای ممکن است به‌عنوان هدف توسط کسانی انتخاب شوند که به دنبال استفاده از آنها برای اهداف ضد تبلیغاتی یا اطلاعات نادرست هستند.

هکرها در درجه اول بر سرقت داده‌ها، تخریب زیرساخت های فناوری اطلاعات و جاسوسی طولانی مدت تمرکز خواهند کرد. کمپین های خرابکاری سایبری نیز احتمالا در حال افزایش خواهند بود. مهاجمان فقط داده ها را رمزگذاری نمی کنند. آنها آن را نابود خواهند کرد و تهدیدی قابل توجه برای سازمان های آسیب‌پذیر در برابر حملات سیاسی است. این همچنین شامل حملات هدفمند خاص علیه افراد یا گروه ها می شود. این حملات ممکن است شامل به خطر انداختن دستگاه‌های افراد برای دسترسی به سازمانی شوند که در آن کار می‌کنند، استفاده از هواپیماهای بدون سرنشین برای تعیین مکان اهداف خاص، استفاده از بدافزار برای استراق سمع و فراتر از آن.

هکتیویسم در جنگ سایبری: عرف جدید در درگیری‌های ژئوپولیتیکی

یکی دیگر از نمونه‌های یکپارچه سازی دیجیتال در درگیری‌ها، هکتیویسم است. تصور هرگونه درگیری در آینده بدون دخالت هکتیویست دشوار است. راه های مختلفی وجود دارد که هکرها بتوانند بر امنیت سایبری تأثیر بگذارند. اول اینکه، آنها می‌توانند حملات سایبری واقعی، از جمله حملات DDoS، سرقت یا تخریب داده ها، تخریب وب سایت و غیره را انجام دهند. دوم اینکه، هکریست‌ها می‌توانند ادعاهای هک نادرستی داشته باشند که منجر به تحقیقات غیرضروری و متعاقباً خستگی هشدار برای تحلیلگران SOC و محققین امنیت سایبری شود.

 به عنوان مثال، در درگیری‌های جاری اسرائیل و حماس، یک گروه هکریست ادعا کرد که در اوایل اکتبر به نیروگاه خصوصی دوراد اسرائیل حمله کردند. اگرچه تحقیقات بعدی نشان داد داده‌هایی که آنها به صورت آنلاین ارسال کرده‌اند توسط گروه دیگری در ژوئن 2022 فاش شده است اما کلی زمان و انرژی برد تا متوجه شویم هیچ افشای جدیدی رخ نداده است. دیپ‌فیک‌ها نیز در حال استفاده هستند، ابزارهایی که به راحتی قابل دسترسند و برای جعل هویت و ارائه اطلاعات نادرست، و همچنین سایر موارد پرمخاطب استفاده می‌شوند. در مجموع، با افزایش تنش‌های ژئوپلیتیکی بدون چشم‌انداز کاهش به این زودی، انتظار می‌رود که شاهد افزایش فعالیت‌های هکتیویستی باشیم، هم مخرب و هم با هدف انتشار اطلاعات نادرست.

حملات زنجیره تأمین به عنوان سرویس: دسترسی بالای اپراتورها

روند رو به رشدی وجود دارد که در آن مهاجمین از طریق تامین کنندگان، ادغام کنندگان یا توسعه دهندگان به اهداف خود دست می یابند. این بدان معناست که شرکت‌های کوچک و متوسط، که اغلب فاقد حفاظت قوی در برابر حملات APT هستند، در حال تبدیل شدن به دروازه‌ای برای هکرها برای دسترسی به داده‌ها و زیرساخت‌های بازیکنان اصلی، اهداف نهایی آنها می‌باشند. برای نشان دادن وسعت حملات زنجیره تامین، همانطور که اکنون شاهد آنها هستیم، می‌توان موارد نقض گسترده مورد بحث از طریق Okta در سال‌های 2022 و 2023 را به یاد آورد. این شرکت مدیریت هویت به بیش از 18000 مشتری در سراسر جهان خدمات ارائه می‌دهد و هر یک از این موارد به طور بالقوه ممکن است در معرض خطر قرار گیرند.

 

انگیزه پشت این حملات ممکن است متفاوت باشد، از سود مالی گرفته تا جاسوسی سایبری، که ماهیت نگران کننده این تهدید را تشدید می کند. به عنوان مثال، گروه بدنام APT Lazarus در حال تقویت قابلیت های حمله زنجیره تامین خود است. نکته قابل توجه‌تر این است که کشف شد که درب پشتی بدنام Gopuram که از طریق هک بدنام 3CX بر قربانیان در سراسر جهان مستقر شده بود، در کنار AppleJeus، یک بک‌در منتسب به لازاروس، در ماشین‌های قربانی وجود داشت. این حمله بسیار هدفمند بود و علاقه خاصی به شرکت‌های ارزهای دیجیتال نشان داد، که ممکن است دال بر این باشد که هدف نهایی مهاجمین منفعت مالی بوده است.

با رشد محبوبیت حملات زنجیره تامین میان بازیگران سال 2024 ممکن است مرحله جدیدی را در فعالیت های مرتبط آغاز کند. روند ممکن است به طرق مختلف تغییر کند. اول، نرم افزار منبع باز محبوب می تواند برای هدف قرار دادن توسعه دهندگان سازمانی خاص استفاده شود. علاوه بر این، بازار سایه می تواند پیشنهادات جدیدی از جمله بسته های دسترسی با هدف قرار دادن فروشندگان مختلف نرم افزار و تامین کنندگان خدمات فناوری اطلاعات ارائه کند. در نتیجه، کسانی که علاقه‌مند به سازماندهی حملات زنجیره تامین هستند، با دسترسی به مجموعه گسترده ای از قربانیان احتمالی، می‌توانند اهداف مورد نظر خود را برای حملات در مقیاس بزرگ با دقت انتخاب کنند. با انجام این کار، عوامل تهدید به طور بالقوه کارایی حملات زنجیره تامین را به سطح جدیدی می برند.

فیشینگ هدف‌دار برای گسترش با هوش مصنوعیِ مولد و قابل دسترسی

چت‌بات‌ها و ابزارهای مولد هوش مصنوعی اکنون گسترده و به راحتی قابل دسترسی هستند. بازیگران تهدید که در حال توسعه چت‌بات‌های کلاه سیاه خود بر اساس راهکارهای قانونی هستند این ترند را هرگز نادیده نخواهند گرفت. به عنوان مثال، WormGPT، یک مدل زبان که به صراحت برای استفاده مخرب طراحی شده است، ادعا می کند بر اساس مدل زبان منبع باز GPTJ است. مدل‌های دیگر، مانند xxxGPT، WolfGPT، FraudGPT، DarkBERT، و غیره، فاقد محدودیت‌های محتوایی موجود در راه‌حل‌های قانونی هستند و برای مهاجمانی که از این مدل‌ها برای اهداف مخرب سوء استفاده می‌کنند، جذاب می‌شوند.

ظهور این ابزارها احتمالاً تولید انبوه پیام های فیشینگ نیزه‌ای یا هدف‌دار را تسهیل می کند که اغلب به عنوان گام اولیه در APT و سایر حملات عمل می کند. اهمیت فراتر از توانایی ایجاد سریع پیام‌های متقاعدکننده و خوب نوشته شده است. همچنین شامل قابلیت تولید اسناد برای جعل هویت و تقلید از سبک افراد خاص، مانند شریک تجاری یا همکار قربانی است. انتظار می رود در سال آینده، مهاجمین روش‌های جدیدی را برای خودکارسازی جاسوسی روی اهداف خود توسعه دهند. این ممکن است شامل جمع‌آوری خودکار داده‌ها از حضور آنلاین قربانی، مانند پست‌های رسانه‌های اجتماعی، نظرات رسانه‌ها، یا ستون‌های نوشته شده باشد: هر محتوای مرتبط با هویت قربانی. این اطلاعات با استفاده از ابزارهای مولد برای ایجاد پیام های متنی یا صوتی مختلف به سبک و صدای فرد خاص پردازش می‌شود.

در همین حال، اهمیت آگاهی از امنیت سایبری و اقدامات پیشگیرانه، از جمله اطلاعات تهدید و نظارت و شناسایی فعال، همچنان رو به افزایش خواهد بود.

ظهور گروه‌های بیشتر که سرویس‌های «هک برای استخدام» را ارائه می‌دهند

گروه‌های هکر برای استخدام (یا هک برای استخدام) در نفوذ به سیستم ها و ارائه خدمات سرقت اطلاعات تخصص دارند. مشتریان آنها شامل بازرسین خصوصی، شرکت های حقوقی، رقبای تجاری و کسانی است که فاقد مهارت های فنی برای چنین حملاتی هستند. این مزدوران سایبری آشکارا خدمات خود و نهادهای مورد علاقه خود را تبلیغ می کنند. یکی از این گروه‌ها که توسط تیم تحقیق و تحلیل جهانی ما GReAT)  ) پیگیری می‌شود، DeathStalker است. تمرکز آن بر شرکت‌های حقوقی و شرکت‌های مالی است که خدمات هک ارائه نموده و به‌عنوان یک کارگزار اطلاعات عمل کرده تا اینکه به عنوان یک APT سنتی عمل کند. آنها از ایمیل‌های فیشینگ نیزه‌ای با لینک فایل‌های مخرب برای کنترل دستگاه‌های قربانیان و سرقت داده‌های حساس استفاده می‌کنند.

این گروه ها متشکل از هکرهای ماهر هستند که به صورت سلسله مراتبی سازماندهی شده اند و رهبران آن تیم هایی را مدیریت می‌کنند. آنها بر روی پلتفرم‌های دارک‌وب تبلیغ و از تکنیک‌های مختلفی از جمله بدافزار، فیشینگ و سایر روش‌های مهندسی اجتماعی استفاده می‌کنند. آنها برای جلوگیری از شناسایی با استفاده از ارتباطات ناشناس و VPN و ایجاد تأثیرات مختلف، از نقض داده‌ها تا خدشه‌دار کردن شهرت، سازگار می‌شوند. خدمات گروه های هکر برای استخدام به طور کلی فراتر از جاسوسی سایبری است و به جاسوسی تجاری گسترش می یابد. آنها ممکن است داده‌هایی را در مورد رقبا جمع آوری کنند، به عنوان مثال، معاملات M&A، برنامه های توسعه، مالی و اطلاعات مشتری.

این رویکرد در حال شتاب جهانی است و ما انتظار داریم که در سال آینده تکامل یابد. این امکان وجود دارد که برخی از گروه‌های APT ممکن است به دلیل تقاضا برای چنین خدماتی، فعالیت‌های خود را گسترش دهند، زیرا برای حفظ فعالیت‌های خود و جبران خسارت به عوامل خود نیاز به کسب درآمد دارند.

سیستم‌های MFT در خط مقدم تهدیدهای سایبری

همانطور که چشم انداز دیجیتال به تکامل خود ادامه می‌دهد، پیچیدگی تهدیدات سایبری نیز افزایش می‌یابد. در قلب این سناریوی در حال تحول، سیستم‌های انتقال فایل مدیریت شده MFT) ) قرار دارند که برای انتقال ایمن داده‌های حساس بین سازمان‌ها طراحی شده‌اند. راه‌حل‌های MFT با گنجاندن انبوهی از اطلاعات محرمانه از جمله مالکیت معنوی، سوابق مالی و داده‌های مشتری، در عملیات تجاری مدرن ضروری شده‌اند.

آنها به اشتراک گذاری یکپارچه داده ها در داخل و خارج را تسهیل می کنند و در نتیجه به سنگ بنای کارایی سازمان تبدیل می شوند. با این حال، این نقش محوری همچنین آنها را در تیررس دشمنان سایبری، به‌ویژه بازیگران باج‌افزار، قرار می‌دهد که در تلاشی بی‌وقفه برای اکسپلویت آسیب‌پذیری‌های دیجیتال برای اخاذی مالی هستند. حوادث مربوط به سیستم‌های MFT، مانند MOVEit و GoAnywhere، در سال 2023، آسیب‌پذیری‌های بالقوه در این کانال‌های انتقال داده حیاتی را روشن کرد. نقض MOVEit که توسط باج‌افزار Cl0p سازماندهی شده بود، و اکسپلویت پلتفرم GoAnywhere MFT Fortra نشان داد چگونه می‌توان از یک آسیب‌پذیری واحد برای استخراج داده‌های حساس، اختلال در عملیات و درخواست باج استفاده کرد.

با نگاهی به آینده، چشم انداز تهدیدی که بر سیستم های MFT تأثیر می گذارد، برای تشدید آماده است. جذابیت سود مالی و پتانسیل ایجاد اختلالات عملیاتی قابل توجه به احتمال زیاد باعث افزایش حملات هدفمند علیه سیستم‌های MFT می‌شود. معماری پیچیده سیستم‌های MFT، همراه با ادغام آنها در شبکه‌های تجاری گسترده تر، به طور بالقوه دارای ضعف‌های امنیتی است که برای بهره برداری آماده هستند. همانطور که دشمنان سایبری به تقویت مهارت‌های خود ادامه می دهند، پیش بینی می شود که اکسپلویت آسیب پذیری‌های داخل سیستم های MFT تبدیل به یک بُردار تهدید بارزتر شود.

خط سیر تهدیدات سایبری که سیستم‌های MFT را هدف قرار می‌دهند، بر یک واقعیت آشکار تأکید می‌کند: پتانسیل نقض قابل‌توجه داده‌ها و اخاذی مالی همچنان در حال افزایش است. حوادث سال 2023 یادآور آسیب پذیری‌های ذاتی سیستم های MFT و نیاز شدید به اقدامات امنیتی سایبری قوی برای محافظت از این کانال های انتقال داده حیاتی است. با توجه به این موضوع، به سازمان‌ها اکیداً توصیه می‌شود که بررسی‌های جامع راه‌حل‌های MFT خود را برای شناسایی و کاهش ضعف‌های امنیتی احتمالی انجام دهند. پیاده‌سازی راهکارهای قوی پیشگیری از از دست دادن داده DLP))، رمزگذاری داده‌های حساس، و پرورش فرهنگ آگاهی از امنیت سایبری، گام‌های محتاطانه‌ای برای تقویت سیستم‌های MFT در برابر تهدیدات سایبری در حال ظهور هستند. همانطور که افق تهدید سایبری همچنان در حال گسترش است، اقدامات پیشگیرانه امنیت سایبری شامل سیستم های MFT در حفاظت از دارایی‌های داده‌های سازمانی و اطمینان از انعطاف‌پذیری عملیاتی در مواجهه با تهدیدات سایبری در حال تکامل بسیار مهم خواهد بود.

روایت سال 2023 یک فراخوان واضح برای سازمان‌ها است تا دستگاه امنیت سایبری خود را در مورد سیستم‌های MFT تقویت کنند. با ورود به آینده‌ای که در آن تهدیدات سایبری پیچیده‌تر می‌شوند، وظیفه سازمان‌ها این است که از منحنی جلوتر بمانند و از یکپارچگی و امنیت سیستم‌های MFT خود برای خنثی کردن طرح‌های شرورانه دشمنان سایبری اطمینان حاصل کنند.

 

 

[1] SANDWORM

[2] HADES

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.