روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ برخی باور دارند اگر روی لینک‌های خطرناک کلیک نکنند، فایل‌های مشکوک را باز نکنند یا برنامه‌ها را از منابع نامطمئن نصب نکنند دیگر نیازی نیست نگران آلودگی‌های بدافزاری باشند. متأسفانه این همیشه هم حقیقت ندارد. یک سری اکسپلویت‌های روز صفر وجود دارند که به هیچ فعالیتی از جانب کاربر مورد هدف نیاز ندارند. ایجاد اکسپلویت‌های روز صفر هم به مهارت جدی نیاز دارند و هم منابع قابل‌توجه. آسیب‌پذیری‌های مورد نیاز برای عملکرد درست صفر کلیک‌ها –دست کم- به این زودی‌ها کشف نمی‌شوند. اطلاعات در مورد چنین مسائل امنیتی اگر نگوییم میلیون‌ها دلار دست کم صدها هزار دلار در بازار سیاه هزینه برمی‌دارد. با این حال، این بدان معنا نیست که حملاتی که از اکسپلویت‌های روز صفر استفاده می کنند نادر هستند. اطلاعات در مورد آسیب‌پذیری‌ها (شامل آن‌هایی که مناسب ایجاد اکسپلویت‌ها صفر کلیک هستند) اغلب توسط محققین در فضای اینترنت نشر داده می‌شوند و گاهی به همراه آن‌ها کد اثبات مفهوم هم هست.

این یعنی بعد از مدتی، هر مجرم سایبری که اخبار امنیت اطلاعات را دنبال می‌کند قادر خواهد بود از این آسیب‌پذیری برای بدافزارهای خود استفاده کند. بله، توسعه‌دهندگان نرم‌افزاری سعی دارند در کمترین زمان ممکن نسبت به رفع این آسیب‌پذیری‌ها اقدام کنند اما آنطور که ما در جریانیم هر کسی آپدیت‌ها را بلافاصله نصب نمی‌کند. همچنین، نباید از آسیب‌پذیری‌های داخل دستگاه‌های اینترنت اشیاء، سرورها و سایر سیستم‌های کانکتد مانند NAS غافل ماند. همه این تجهیات بدون کنترل مداوم انسانی عمل می‌کند و از این رو اکسپلویت‌هایی که برای حمله به آن‌ها طراحی شدند به هیچ عملی از سوی کاربر متکی نیستند. به هر روی، دست کم ارزش دارد در مورد حملات صفر کلیک بدانیم و حتی بهتر اینکه: برای محافظت از شرکت خود در برابر آن‌ها اقداماتی انجام دهیم. با ما همراه باشید.

نمونه‌هایی از حملات صفر کلیک

بیایید با استفاده از نمونه‌های واقعی حملات صفر کلیک در زندگی نگاهی داشته باشیم بر ساز و کار آن‌ها در عمل و اینکه با متودهایی آشنا شویم که سازندگان این اکسپلویت‌ها برای رسیدن به اهداف خود استفاده می‌کنند.

کمپین جاسوسی Operation Triangulation

چندی پیش کارمند شرکت ما توسط گروهی ناشناس مورد حمله قرار گرفت که در این حمله –از میان کلی موارد دیگر- از اکسپلویت صفر کلیک استفاده شده بود. ما بعد از کشف آن، نام آن را کمپین جاسوسی Operation Triangulation گذاشتیم. با استفاده از سرویس آی‌مسیج، مهاجمین پیامی را به همراه پیوستی حاوی اکسپلویت به آیفون قربانی ارسال کردند. به لطف آسیب‌پذیری‌ از پیش ناشناس در آی‌اواس، این اکسپلویت بدون ورودی کاربر، اجرای کد مخرب متصل به سرور C2 را منجر شد و نیز به تدریج پی‌لود مخرب اضافی را لود کرد. ابتدا با استفاده از اکسپلویت‌های اضافی و بعد لانچ پلت‌فرم APT کامل و جامع، مزیت‌ها ارتقا داده شد. برای دور زدن مکانیزم‌های داخلی آیفون، این پلت‌فرم به طور جامعی در رم دستگاه اجرا شد.

این به مهاجمین اجازه داد تا اطلاعاتی در مورد دارنده جمع کرده و پلاگین‌های اضافی دانلودشده از سرورهای C2 را لانچ کنند. آلودگی فقط به لطف رخداد شبکه‌ای ما که سیستم را نظارت و تحلیل می‌کند شناسایی شد. البته که اپل هم سریعاً این آسیب‌پذیری را رفع کرد اما این اولین باگ آی مسیج نبود که به مهاجمین اجازه داده بود با استفاده از بدافزاری نامرئی آیفون را آلوده کنند. از آنجایی که مهاجمین فعالانه دارند این سرویس را بررسی می‌کنند، هیچ تضمینی نیست که متود جایگزین پیدا کرده و از آن (حتی برای حملات انبوه) استفاده کنند.

جاسوس‌افزار Intellexa Predator و آسیب‌پذیری صفر کلیک در سافاری

این اواخر اپل آپدیت مهم جدیدی را برای آی‌اواس، مک او اس و برخی محصولات نرم‌افزاری دیگر منتشر کرد و چندین آسیب‌پذیری جدی را رفع نمود. آسیب‌پذیری در وب‌کیت (موتور وبگردی استفاده‌شده توسط مرورگر اپل سافاری) توسط اکسپلویت صفر کلیک –بخشی از جاسوس‌افزار Intellexa Predator- مورد اکسپلویت قرار گرفت. ابتدا اینکه مهاجمین منتظر آن لحظه بودند که قربانی به وبسایتی دسترسی پیدا می‌کند که کانکشن آن عاری از رمزگذاری است (منظور اینکه به جای HTTPS، HTTP) است. بعد از آن، آن‌ها حمله مرد میانی را با ریدایرکت کردن قربانی به سایت آلوده انجام دادند. سپس آسیب‌پذیری فوق الذکر در مرورگر سافاری اکسپلویت شد- و همین به مهاجمین اجازه داد تا کد دلخواه را بدون اقدامی از جانب کاربر روی آیفون اجرا کنند.

به تعاقب آن، مجرمان از آسیب‌پذیری‌های اضافی برای نصب جاسوس‌افزار روی آیفون دستکاری‌شده استفاده کردند. محققین همچنین زنجیر مشابه اکسپلویتی کشف کردند که سازندگان Predator از آن برای آلوده کردن اسمارت‌فون‌های اندرویدی استفاده می‌کردند. در این مورد، حمله صفر کلیک در مرورگر کروم اجرا شد. اوایل سال جاری سایر آسیب‌پذیری‌هایی از این جنس را هم در سافاری اپل و هم کرومِ گوگل گزارش کردیم. همه آن‌ها اجازه خلق صفحات وبی را که آلوده به بدافزار بودند می‌دادند. در واقع بدون اینکه قربانی کاری کند فقط چون اسمارت‌فون یا کامپیوتر آن‌ها از این صفحات دیدن کرده بود به این دام افتاده بودند.

راهکارهای امنیتی

از آنجایی که خطر اصلی صفر کلیک‌ها این است که سازندگان‌شان به هیچ عملی از سوی قربانی نیاز ندارند، اصول معمول بهداشت آنلاین اینجا کار نخواهد کرد. با این حال هنوز یک سری راهکارها برای مبارزه با آن‌ها وجود دارد:

•         نرم‌افزار را به روز نگه دارید – به خصوص سیستم‌عامل و تمام مرورگرهای نصب شده روی آن.
•         اگر دلیلی برای نگرانی در مورد حملات با استفاده از نرم‌افزارهای جاسوسی تجاری سطح بالا (مانند NSO Pegasus ) دارید، به پست اختصاصی ما با توصیه‌هایی در مورد نحوه دفاع در برابر آنها مراجعه کنید.
•         برای کاربران آیفون، استفاده از حالت قفلLockdown Mode)  ) خوب است. این حالت تا حدی به محافظت در برابر حملات جدی کمک می‌کند، اما به هیچ وجه نباید آن را یک نوشدارو در نظر گرفت.
•         همه دستگاه‌های شرکتی را با یک راهکار حفاظتی قابل اعتماد عرضه کنید که از امنیت در دوره‌هایی که آسیب‌پذیری‌های جدید در حال سوءاستفاده هستند اما پچ‌های مربوطه هنوز منتشر نشده‌اند مراقبت می‌کند،.

•         این در مورد iOS نیز صدق می‌کند. بله، با توجه به سیاست اپل، هیچ راهکار آنتی ویروس کاملی برای این سیستم عامل وجود ندارد. با این حال، Kaspersky Endpoint Security for Business شامل برنامه‌ای است که حداقل صفحات وب خطرناک را مسدود کرده و در نتیجه احتمال سوء استفاده از آسیب‌پذیری‌ها در مرورگر را کاهش می‌دهد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.