روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ ما اخیراً در مورد اینکه چطور مهاجمین یاد گرفته‌اند از زیرساخت رسانه‌های اجتماعی قانونی برای تحویل هشدارهای به ظاهر معقول در مورد مسدود کردن اکانت‌های تجاری (که در نهایت به سرقت پسورد منجر می‌شود) استفاده کنند مقاله نوشته‌ایم. به نظر می‌آید چندین ماه شده که متود بسیار مشابهی دارد برای اکانت‌های توسعه‌دهنده روی گیت‌هاب استفاده می‌شو که همین دلیلی شد برای نگرانی تیم‌های امنیت اطلاعاتی سازمانی خصوصاً اگر توسعه‌دهندگان دسترسی ادمین به ذخایر و منابع مرتبط با شرکت را در GitHub داشته باشند. در ادامه ساز و کار کار این حمله را بررسی خواهیم کرد.

سرقت اکانت گیت‌هاب

قربانیان این حمله از آدرس ایمیل واقعی گیت‌هاب ایمیل‌هایی دریافت می‌کنند. این ایمیل‌ها ادعا دارند تیم گیت‌هاب دنبال توسعه‌دهنده مجرب است و شرایط ویژه‌ای را هم برای او در نظر گرفته: 180 هزار دلار در سال به اضافه مزایایی سخاوتمندانه. گیرنده نامه در صورت تمایل به این موقعیت شغلی دعوت می‌شود به اپلای کردن آن هم با کلیک بر روی یک لینک. این ایمیل‌ها از notifications@github.com می‌آیند که واقعاً متعلق به این سرویس است. با این همه گیرنده هشیار ممکن است شک کنند چرا تیم منابع انسانی برای پیشنهاد کاری دارد از آدرس نوتیف استفاده می‌کند. همچنین اینکه موضوع ایمیل ربطی به پیشنهاد شغلی ندارد و در عوض با فهرستی از چندین نام کاربری گیت‌هابی پایان می‌یابد شک‌برانگیز است. با این حال نویسندگان ایمیل آن را به صورت انبوه می‌فرستند بی‌آنکه این وسط نگران از دست دادن چندتایی کاربر هشیار باشند. مهاجمین با همان تعداد محدود کاربران که مبلغ دستمزد سرمستشان کرده کارشان انجام شده و به هدف خود می‌رسند. با کلیک بر روی لینک در ایمیل، گیرنده به صفحه‌ای می‌رود که وانمود می‌کند سایت حرفه‌ای GitHub است. به طور خاص، آدرس‌های githubtalentcommunity[.]online و githubcareers[.]online در این کمپین استفاده شده است - اما این سایت‌های فیشینگ دیگر در دسترس نیستند. در سایت، از توسعه دهندگان علاقه‌مند به این موقعیت خواسته می شود که به حساب GitHub خود وارد شوند و یک برنامه OAuth جدید را مجوز دهند. این برنامه مجوزهای متعددی را درخواست می کند - از جمله دسترسی به مخازن خصوصی، داده های شخصی و بحث‌ها، و همچنین امکان حذف هر مخزن مدیریت شده توسط کاربر مورد نظر. علاوه بر پیشنهادات شغلی، نوع دیگری از ایمیل مشاهده شده است که ادعا می‌کند گیت هاب هک شده و تیم امنیتی گیت‌هاب برای از بین بردن عواقب هک به مجوز کاربر نیاز دارد.

مورد بعدی: پاک کردن منابع و درخواست باج

اگر توسعه‌دهنده فریب‌خورده همه مجوزهای درخواستی از سوی اپلیکیشن آلوده OAauth را بدهد، مهاجمین شروع می‌کنند به اکسپلویت آن‌ها. آن‌ها ذخایر و منابع قربانی را خالی کرده نامگذاری‌ مجددشان می‌کند و در نهایت یک فایل README.me از خود به جای می‌گذارند. فایل حاوی پیامی است مبنی بر اینکه داده‌ها در معرض خطر قرار گرفته اند، اما یک نسخه پشتیبان تهیه شده است. برای بازیابی اطلاعات، به قربانی دستور داده می شود تا با کاربری به نام Gitloker در تلگرام تماس بگیرد. به نظر می رسد که این ایمیل‌ها با استفاده از سیستم بحث گیت‌هابی ارسال می‌شوند. به این معنا که مهاجمین از حساب‌های در معرض خطر استفاده می‌کنند تا پیام‌هایی با متن ایمیل تحت موضوعات مختلف ایجاد و چندین کاربر را برچسب‌گذاری کنند. در نتیجه، همه کاربران برچسب‌گذاری شده ایمیل‌هایی را از آدرس notifications@github.com دریافت می‌کنند. این پیام ها احتمالا بلافاصله پس از ارسال حذف می‌شوند.

راهکارهای امنیتی

کاربران و توسعه‌دهندگان با تجربه اغلب خود را در برابر حملات فیشینگ مصون می‌دانند. با این حال، همینطور که پیداست آنها نیز می‌توانند غافلگیر شوند: اپراتورهای این کمپین فیشینگ قبلاً موفق شده‌اند ده ها مخزن را به خطر انداخته و پاک کنند. برای اینکه توسعه‌دهندگان خود قربانی این حمله نشوند، موارد زیر را به آن‌ها توصیه می‌کنیم:

•         همیشه تمام جزئیات ایمیل را به دقت بررسی و موضوع، متن و آدرس فرستنده آن را با هم مقایسه کنید. هر گونه اختلاف تقریباً به طور قطع نشانه تلاش فیشینگ به جای خطاهای تصادفی است.
•         اگر ایمیل مشابهی از گیت‌هاب دریافت کردید، روی هیچ لینکی در آن کلیک نکنید و ایمیل را به پشتیبانی GitHub گزارش دهید.
•         هرگز برنامه های ناشناخته OAuth را مجاز نکنید – مقاله‌ای که خواندید نشان می‌دهد که عواقب آن چقدر می‌تواند جدی باشد.
•         فهرست برنامه های OAuth مجاز را در حساب گیت‌هاب خود به صورت دوره‌ای مرور کنید و هر گونه مشکوک را حذف کنید.
•         ما موارد زیر را به شرکت‌ها توصیه می‌کنیم:

•         از یک راهکار امنیتی قابل اعتماد با محافظت از فیشینگ در همه دستگاه‌ها استفاده کنید که خطرات را هشدار داده و سایت‌های مخرب را به موقع مسدود می‌کند.
•         آموزش منظم امنیت اطلاعات را برای کارکنان، از جمله توسعه‌دهندگان، برگزار کنید. تجربه با سیستم های IT ایمنی را تضمین نمی‌کند. مهارت‌های لازم باید به طور خاص توسعه یابد. برای مثال، می‌توانید از پلت‌فرم آموزشی تعاملی ما، پلتفرم آگاهی امنیتی خودکار کسپرسکی استفاده کنید.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.