روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ دستگاه‌هایی که مرز بین اینترنت و شبکه سازمانی داخلی هستند –خصوصاً آن‌هایی که وظیفه‌شان امنیت و مدیریت ترافیک شبکه است- اغلب اولویتِ مجرمان سایبری هستند. آن‌ها موقع ارسال حجم بالایی از ترافیک خارجی شک‌ها را برنمی انگیزند و در عین حال به منابع سازمان و نیز بخش قابل‌توجهی از ترافیک داخلی دسترسی دارند. برای همین است که دستکاری روتر به طعمه چرب و نرمی برای aptهای سرشناسی چون Slingshot، APT28 و Camaro Dragon تبدیل شده است. اما این روزها عاملین کمتر پیچیده هم می‌توانند از آن استفاده کنند؛ خصوصاً اگر شرکت مورد هدف از مدل‌های رده خارج روترهای کوچک/خانگی/اداری استفاده کنند که به طور غیررسمی پشتیبانی می‌شوند. حملات به این روترها و فایروال‌ها معمولاً آسیب‌پذیری‌هایی را اکسپلویت می‌کند که صد افسوس با ترتیب و نظم ثابتی کشف می‌شوند.

گاهی چنین آسیب‌پذیری‌هایی بسیار جدی هستند و در عین حال برای مهاجمین ساده به نظر می‌رسند. تا جایی که متخصصین می‌مانند آیا بک‌درها به طور خودخواسته در سفت‌افزارها قرار گرفته‌اند. اما حتی اگر همه آسیب‌پذیری‌های شناخته‌شده فیکس شوند، برخی خطاهای پیکربندی یا صرفاً برخی ویژگی‌های غیرقابل درمان روترهای مدل پایین می‌توانند به چنین آلودگی منتج شوند. آژانس‌های امنیت سایبری آمریکا و ژاپن اخیراً توصیه‌ای مفصل منتشر کردند در مورد یک حمله پیشرفته از این نوع که محوریت فعالیت‌هایش گروه aptBlackTech بوده است (منظور T-APT-03، Circuit Panda و Palmerworm است). این تحلیل ttp گروه را در شبکه آلوده پوشش می‌دهد اما تمرکز ما روی جذاب‌ترین وجه این گزارش توصیه‌محور است: سفت‌افزار آلوده.

حمله BlackTech به لینک ضعیف در لایه‌های دفاعی سازمانی

حمله با هجوم به شرکت تارگت با نفوذ به یکی از شعبات منطقه‌ای‌اش آغاز می‌شود. عاملین BlackTech تاکتیک‌های سنتی را برای این امر انتخاب می‌کنند –از فیشینگ گرفته تا اکسپلویت آسیب‌پذیری‌ها- و اینها درحالیست که هنوز حمله به روتر صورت نگرفته. آن‌ها از این حقیقت که دفاتر شعبه اغلب از سخت‌افزار استفاده می‌کنند و خط‌مشی امنیت اطلاعات و آی‌تی سفت و سختی را دنبال نمی‌کنند بهره می‌برند. BlackTech سپس حضورش را در شبکه شعبه پررنگ‌تر کرده و امتیازات ادمین را برای روتر و فایروال بدست می‌آورد. مهاجمین که حالا چنین تجهیز شدند سفت‌افزار را آلوده کرده و از آن بعنوان وضعیتی قابل اعتماد برای شروع حمله‌ به مقرهای اصلی شرکت استفاده می‌نمایند.

ساز و کار دستکاری روتر

سفت‌افزار قانونی اما از رده خارج در دستگاه لود می‌شوند. درست بعد از ریبوت، هکرها برنامه لودشده در رم دستگاه را دستکاری کرده (با پچ نکردن) تا قابلیت‌های امنیتی را که در حالت نرمال جلوی لود اجزای دستکاری‌شده (ROMmon) می‌گرفتند غیرفعال کنند. برای پیاده‌سازی این ترفند است که نسخه قدیمی سفت‌افزار باید ابتدا اجرا گردد. بعد از غیرفعال کردن ROMmon سفت‌افزار دستکاری‌شده (و در برخی موارد بوت‌لودر دستکاری‌شده دستگاه) در روتر آپلود می‌شود. بعد از یک ریبوت دیگر، روتر تماماً در اختیار مهاجمین قرار می‌گیرد. سفت‌افزار دستکاری‌شده به ترافیک داخل بسته جادویی که بک‌در را بیدار می‌کند گوش می‌دهد. به محض دریافت بسته، دستگاه به مهاجمین دسترسی کامل به قابلیت‌هایش را می‌دهد؛‌ علی‌رغم اینکه این قابلیت‌ها در فهرست Access Control نیستند. این اتصال به سشن ssh را با نام کاربری خاص اما بدون نیاز به پسورد ممکن می‌سازد.

چطور مهاجمین روتر را اکسپلویت می‌کنند؟

سفت‌افزار روترهای مخرب نه تنها بستر امنی را در شبکه هدف برای متجاوزان فراهم می‌کند، بلکه به حل طیف وسیعی از مشکلات تاکتیکی نیز کمک می‌کند:

•         پنهان کردن تغییرات پیکربندی؛
•         عدم ثبت دستورات و اقدامات مهاجم؛
•         مسدود کردن اجرای برخی از دستورات قانونی در کنسول روتر، مانع از بررسی رخداد.

این گزارش بر روی سیستم‌افزار مخرب روترهای سیسکو در پلتفرم IOS تمرکز دارد، اما اشاره می‌کند که BlackTech سایر مدل‌های تجهیزات شبکه را به روشی مشابه به خطر می‌اندازد. باید اضافه کنیم که رخدادهای قبلی دستکاری، Fortinet، SonicWall، TP-Link و Zyxel را تحت‌الشعاع قرار داد.  

مقابله با حملات به روترها و فایروال‌ها

واضحاً سازمان اگر از مدل‌های رده خارج دستگاه‌های شبکه‌ای، سفت‌افزار مدل پایین یا غیررسمی (این فقط مختص تجهیزات Cisco نیست) استفاده کند در خطر است. اما حتی اگر روتر جدید با سفت‌افزار نو هم استفاده شود باز می‌تواند ابزاری کارا برای مهاجم باشد پس توصیه‌های مختلف نویسندگان توصیه‌نامه ارزش این را دارد که در هر شبکه‌ای اجرایی شوند.

•         سیستم‌های ادین را روی VLAN (شبکه مجازی منطقه لوکال) جداگانه بگذارید.
•         همه ترافیک‌های غیرقانونی دستگاه‌های شبکه که مقصودشان VLAN غیرادمینی است بلاک کنید.
•         دسترسی به خدمات ادمین را در آدرس‌های آی‌پی ادمین‌های قانونی محدود سازید.
•         به فهرست‌هایی که می‌توانند روی همه خطوط تله‌تایپ مجازی (VTY)  و خدمات خاص ادمین پیاده‌سازی شوند دسترسی داشته باشید. برای روترهای Cisco توصیه می‌شود ارتباط با سیستم‌های خارجی برای VTYها را با استفاده از فرمان transport output none محدود کنید.
•         هر دو اقدام موفق و ناموفق به دسترسی ادمین روتر را تحت نظارت قرار دهید.
•         به طور منظم گزارش‌های دستگاه شبکه را برای رویدادهایی مانند راه‌اندازی مجدد غیرمنتظره، تغییرات نسخه سیستم عامل، تغییرات پیکربندی یا تلاش‌های به‌روزرسانی میان‌افزار بررسی کنید. برنامه‌های به‌روزرسانی نرم‌افزار بخش فناوری اطلاعات را بررسی کنید تا مطمئن شوید که هر رویداد مجاز است.
•         اتصالات شبکه ورودی و خروجی "عجیب" را از دستگاه‌ها نظارت کنید. به طور معمول، دستگاه‌های شبکه اطلاعات مسیریابی و توپولوژی شبکه را فقط با دستگاه‌های نزدیک به اشتراک می‌گذارند و مدیریت، نظارت، احراز هویت و همگام‌سازی زمانی تنها با تعداد کمی از رایانه‌های اداری انجام می‌شود.
•         همه پسوردها و کلیدهایی که ذره‌ای مشکوک هستند تغییر دهید.
•         سخت‌افزار را آپگرید کنید. شاید این از همه توصیه‌های دیگر سخت‌تر و مأیوس‌کننده‌تر باشد.
•         به سازمان‌هایی که از مدل‌های رده پایین استفاده می‌کنند و فناوری‌های بوت امن را پشتیبانی نمی‌دهند توصیه می‌شود برای آپگرید سخت‌افزار در کوتاه‌ترین زمان ممکنه برنامه طرح کرده و بودجه تخصیص دهند.
•         موقع انتخاب تجهیزات جدید، باید اولویت با فروشندگانی باشد که متودولوژی‌های امن را پیاده‌سازی کرده و رویکردشان «امنیت در همان لحظه طراحی» است.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.