روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ ما اخیراً در مورد اینکه چطور مهاجمین یاد گرفتهاند از زیرساخت رسانههای اجتماعی قانونی برای تحویل هشدارهای به ظاهر معقول در مورد مسدود کردن اکانتهای تجاری (که در نهایت به سرقت پسورد منجر میشود) استفاده کنند مقاله نوشتهایم. به نظر میآید چندین ماه شده که متود بسیار مشابهی دارد برای اکانتهای توسعهدهنده روی گیتهاب استفاده میشو که همین دلیلی شد برای نگرانی تیمهای امنیت اطلاعاتی سازمانی خصوصاً اگر توسعهدهندگان دسترسی ادمین به ذخایر و منابع مرتبط با شرکت را در GitHub داشته باشند. در ادامه ساز و کار کار این حمله را بررسی خواهیم کرد.
سرقت اکانت گیتهاب
قربانیان این حمله از آدرس ایمیل واقعی گیتهاب ایمیلهایی دریافت میکنند. این ایمیلها ادعا دارند تیم گیتهاب دنبال توسعهدهنده مجرب است و شرایط ویژهای را هم برای او در نظر گرفته: 180 هزار دلار در سال به اضافه مزایایی سخاوتمندانه. گیرنده نامه در صورت تمایل به این موقعیت شغلی دعوت میشود به اپلای کردن آن هم با کلیک بر روی یک لینک. این ایمیلها از notifications@github.com میآیند که واقعاً متعلق به این سرویس است. با این همه گیرنده هشیار ممکن است شک کنند چرا تیم منابع انسانی برای پیشنهاد کاری دارد از آدرس نوتیف استفاده میکند. همچنین اینکه موضوع ایمیل ربطی به پیشنهاد شغلی ندارد و در عوض با فهرستی از چندین نام کاربری گیتهابی پایان مییابد شکبرانگیز است. با این حال نویسندگان ایمیل آن را به صورت انبوه میفرستند بیآنکه این وسط نگران از دست دادن چندتایی کاربر هشیار باشند. مهاجمین با همان تعداد محدود کاربران که مبلغ دستمزد سرمستشان کرده کارشان انجام شده و به هدف خود میرسند. با کلیک بر روی لینک در ایمیل، گیرنده به صفحهای میرود که وانمود میکند سایت حرفهای GitHub است. به طور خاص، آدرسهای githubtalentcommunity[.]online و githubcareers[.]online در این کمپین استفاده شده است - اما این سایتهای فیشینگ دیگر در دسترس نیستند. در سایت، از توسعه دهندگان علاقهمند به این موقعیت خواسته می شود که به حساب GitHub خود وارد شوند و یک برنامه OAuth جدید را مجوز دهند. این برنامه مجوزهای متعددی را درخواست می کند - از جمله دسترسی به مخازن خصوصی، داده های شخصی و بحثها، و همچنین امکان حذف هر مخزن مدیریت شده توسط کاربر مورد نظر. علاوه بر پیشنهادات شغلی، نوع دیگری از ایمیل مشاهده شده است که ادعا میکند گیت هاب هک شده و تیم امنیتی گیتهاب برای از بین بردن عواقب هک به مجوز کاربر نیاز دارد.
مورد بعدی: پاک کردن منابع و درخواست باج
اگر توسعهدهنده فریبخورده همه مجوزهای درخواستی از سوی اپلیکیشن آلوده OAauth را بدهد، مهاجمین شروع میکنند به اکسپلویت آنها. آنها ذخایر و منابع قربانی را خالی کرده نامگذاری مجددشان میکند و در نهایت یک فایل README.me از خود به جای میگذارند. فایل حاوی پیامی است مبنی بر اینکه دادهها در معرض خطر قرار گرفته اند، اما یک نسخه پشتیبان تهیه شده است. برای بازیابی اطلاعات، به قربانی دستور داده می شود تا با کاربری به نام Gitloker در تلگرام تماس بگیرد. به نظر می رسد که این ایمیلها با استفاده از سیستم بحث گیتهابی ارسال میشوند. به این معنا که مهاجمین از حسابهای در معرض خطر استفاده میکنند تا پیامهایی با متن ایمیل تحت موضوعات مختلف ایجاد و چندین کاربر را برچسبگذاری کنند. در نتیجه، همه کاربران برچسبگذاری شده ایمیلهایی را از آدرس notifications@github.com دریافت میکنند. این پیام ها احتمالا بلافاصله پس از ارسال حذف میشوند.
راهکارهای امنیتی
کاربران و توسعهدهندگان با تجربه اغلب خود را در برابر حملات فیشینگ مصون میدانند. با این حال، همینطور که پیداست آنها نیز میتوانند غافلگیر شوند: اپراتورهای این کمپین فیشینگ قبلاً موفق شدهاند ده ها مخزن را به خطر انداخته و پاک کنند. برای اینکه توسعهدهندگان خود قربانی این حمله نشوند، موارد زیر را به آنها توصیه میکنیم:
- همیشه تمام جزئیات ایمیل را به دقت بررسی و موضوع، متن و آدرس فرستنده آن را با هم مقایسه کنید. هر گونه اختلاف تقریباً به طور قطع نشانه تلاش فیشینگ به جای خطاهای تصادفی است.
- اگر ایمیل مشابهی از گیتهاب دریافت کردید، روی هیچ لینکی در آن کلیک نکنید و ایمیل را به پشتیبانی GitHub گزارش دهید.
- هرگز برنامه های ناشناخته OAuth را مجاز نکنید – مقالهای که خواندید نشان میدهد که عواقب آن چقدر میتواند جدی باشد.
- فهرست برنامه های OAuth مجاز را در حساب گیتهاب خود به صورت دورهای مرور کنید و هر گونه مشکوک را حذف کنید.
- ما موارد زیر را به شرکتها توصیه میکنیم:
- از یک راهکار امنیتی قابل اعتماد با محافظت از فیشینگ در همه دستگاهها استفاده کنید که خطرات را هشدار داده و سایتهای مخرب را به موقع مسدود میکند.
- آموزش منظم امنیت اطلاعات را برای کارکنان، از جمله توسعهدهندگان، برگزار کنید. تجربه با سیستم های IT ایمنی را تضمین نمیکند. مهارتهای لازم باید به طور خاص توسعه یابد. برای مثال، میتوانید از پلتفرم آموزشی تعاملی ما، پلتفرم آگاهی امنیتی خودکار کسپرسکی استفاده کنید.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.