روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ استفاده روزافزون از احراز هویت چند عاملی (MFA)  و سرویس‌های کلود در سازمان‌ها، مجرمان سایبری را مجبور کرده تا ابزارها و تاکتیک‌های خود را به روز کنند. از یک طرف، آنها دیگر نیازی به نفوذ به شبکه داخلی یک شرکت یا استفاده از بدافزار برای سرقت اطلاعات و اجرای طرح های تقلبی ندارند. کافی است از طریق حساب‌های قانونی به سرویس‌های کلود - مانند ایمیل Microsoft 365 یا ذخیره‌سازی فایل -MOVEit  دسترسی پیدا کنید. از سوی دیگر، اعتبارنامه‌های دزدیده شده یا اجباری دیگر کافی نیستند - وزارت امور خارجه باید به نحوی دور زده شود. مجموعه‌ای از حملات سایبری در مقیاس بزرگ اخیر به سازمان‌های بزرگ، که بیش از 40000 قربانی را تحت تأثیر قرار داد، نشان می‌دهد که مهاجمین با واقعیت جدید سازگار شده‌اند. آنها از تکنیک‌های فیشینگ هدفمند و ابزارهای خصمانه در مقیاس وسیع برای هدف قرار دادن شرکت‌ها استفاده می‌کنند.

حمله‌ی AitM[1] چیست؟

حمله دشمن میانی (AitM) گونه‌ای از حمله معروف مرد میانی[2] است: مهاجم به ارتباطات بین طرف‌های قانونی (مشتری و سرور) دسترسی پیدا کرده درخواست‌های مشتری را رهگیری و آنها را ارسال می‌کند. آنها را به سرور، و سپس پاسخ‌های سرور را رهگیری و آنها را به مشتری ارسال می‌کند. چیزی که AitM را خاص می‌کند این است که مهاجم نه تنها ارتباطات را استراق سمع می‌کند، بلکه فعالانه در آنها دخل و تصرف نیز ایجاد می‌کند – پیام‌ها را به نفع خود تغییر می‌دهد. حملات AitM پیشرفته ممکن است شامل به خطر انداختن ISP یا شبکه Wi-Fi سازمان شود.. سپس مهاجمین پروتکل‌های شبکه (مسمومیت ARP، جعل DNS)را دستکاری و زمانی که کاربر به منابع قانونی دسترسی پیدا می‌کند، صفحات یا فایل‌های وب جعلی را نمایش می‌دهند. اما در مورد فیشینگ نیزه‌ای یا هدف‌دار، چنین ترفندهایی غیر ضروری هستند. کافی است کاربر را به سمت یک وب سرور مخرب فریب دهید تا به طور همزمان با قربانی و سرورهای سرویس کلود قانونی با استفاده از یک پروکسی معکوس ارتباط برقرار کند. حمله به طور کلی چنین روندی دارد:

کاربر یک پیام فیشینگ دریافت و روی لینک کلیک می‌کند.

از طریق زنجیره‌ای از تغییر مسیرهای پوشاننده، مرورگر کاربر صفحه‌ای از یک سایت مخرب را باز می‌کند که شبیه پورتال ورود سرویس کلود است. برای نمایش این صفحه، پروکسی معکوس مهاجمین با سرور قانونی تماس گرفته و کل محتوای صفحه ورود به سیستم را به مرورگر کاربر منتقل  و هر گونه تغییر لازم را برای مهاجمین ایجاد می‌کند.

•         کاربر رابط آشنا را می‌بیند و نام کاربری و رمز عبور خود را وارد می‌کند.
•         سرور مخرب با تقلید از ورود کاربر، نام کاربری و رمز عبور را به سرور قانونی ارسال می‌کند. نام کاربری و رمز عبور نیز در پایگاه داده مهاجمین ذخیره می‌شود.
•         سرور قانونی رمز عبور را تأیید و در صورت صحیح بودن، یک کد یک بار مصرف درخواست می‌کند که طبق روال معمول MFA برای کاربر ارسال یا در برنامه او ایجاد می‌شود.
•         سرور مخرب صفحه ای را نمایش می‌دهد که از کاربر می‌خواهد کد یک بار مصرف را وارد کند.
•         کاربر کد یکبار مصرف را از برنامه احراز هویت یا پیام متنی وارد می‌کند.
•         سرور مخرب کد را به سرور قانونی می فرستد، سرور آن را تأیید می‌کند و در صورت درست بودن، کاربر را به سیستم اجازه می‌دهد.
•         سرور قانونی، کوکی‌های سشن مورد نیاز برای عملکرد عادی سیستم را به «مرورگر» (که در واقع سرور مخرب است) ارسال می‌کند.
•         سرور مخرب کوکی ها را به مهاجمین ارسال می‌کند، آنها می‌توانند از آنها برای تقلید از مرورگر کاربری که قبلاً وارد سیستم شده است استفاده کنند. مهاجمین دیگر نیازی به وارد کردن رمزهای عبور یا کدهای MFA ندارند - همه چیز قبلاً انجام شده است!
•         سرور مخرب کاربر را به سایت دیگری یا به صفحه ورود به سیستم معمولی سرویس قانونی هدایت می‌کند.

قابلیت‌های مضاعف حملات مدرن دشمن میانی

مهاجمین سناریوی اصلی حمله فوق‌الذکر را ساده کرده‌اند. کیت‌های فیشینگ آماده‌ای در دسترس هستند - معمولاً شامل پراکسی‌های معکوس مانند Evilginx یا Muraena، که حملات «خارج از جعبه» را با الگوهایی برای تغییر صفحات ورود به سرویس‌های کلود محبوب و اسکریپت‌های سرقت کد MFA فعال می‌کنند. با این حال، برای به خطر انداختن موفقیت آمیز سازمان‌های بزرگ، حملات "خارج از قفسه" باید طراحی شوند. مهاجمین با منابع خوب می‌توانند سازمان های زیادی را به طور همزمان هدف قرار دهند. در حمله‌ای که در بالا ذکر شد، حدود 500 شرکت بزرگ - همه شرکت‌های حقوقی - در عرض سه ماه هدف قرار گرفتند. هر کدام یک دامنه سفارشی در زیرساخت مهاجمین دریافت کردند، بنابراین قربانیان (مدیران این سازمان‌ها) به دامنه‌هایی با نام‌های آشنا و صحیح در قسمت اولیه URL هدایت شدند.

این رقابت ادامه دارد. برای مثال، بسیاری از شرکت‌ها و سرویس‌های کلود به روش‌های MFA مقاوم در برابر فیشینگ مانند توکن‌های سخت‌افزار USB و لاگین‌های بدون رمز عبور (کلیدهای عبور) روی می‌آورند. این روش‌های احراز هویت عموماً در برابر حملات AitM مقاوم هستند، اما اکثر سیستم‌های کلود با استفاده از روش‌های تأیید قدیمی‌تر مانند کدهای یکبار مصرف «پاکت کاغذی» یا کدهای یک‌بار ارسال در پیام‌های متنی، اجازه ورود به سیستم پشتیبان را می‌دهند. این برای مواردی در نظر گرفته شده است که کاربر دستگاه فیزیکی فاکتور دوم را گم کرده یا می‌شکند. مهاجمین می‌توانند از این ویژگی سوء استفاده کنند: سرور مخرب صفحات احراز هویت اصلاح شده سرور قانونی را به قربانی نشان می‌دهد و روش های احراز هویت قابل اطمینان تر را پاک می‌کند. این نوع حمله را Passkey Redaction نامیده اند.

راهکارهای امنیتی

محافظت در برابر حملات فیشینگ هدف‌دار با هدف دسترسی به حساب‌های کلود نیازمند اقدامات هماهنگی از سوی سرویس‌های امنیتی شرکت، ارائه‌دهندگان کلود و خود کاربران است:

•         از ابزارهای MFA مقاوم در برابر فیشینگ مانند توکن های USB سخت افزاری استفاده کنید. در حالت ایده‌آل، اینها باید توسط همه کارکنان، اما حداقل توسط مدیریت و کسانی که مسئول عملیات حیاتی کسب و کار و فناوری اطلاعات هستند، استفاده شوند.
•         با ارائه‌دهندگان راه‌حل SSO و سرویس‌های کلود کار کنید تا روش‌های احراز هویت طرح پشتیبان را غیرفعال نموده و اقدامات فنی را انجام دهید تا سرقت کوکی‌های رمز احراز هویت دشوار شود.
•         به کارمندان آموزش دهید تا به تغییرات در صفحات ورود توجه و در صورت ناپدید شدن غیرمنتظره «احراز هویت» یا نامشخص بودن نام سایت، از وارد کردن اعتبارنامه خودداری کنند. به طور منظم آموزش امنیت سایبری را متناسب با مسئولیت‌ها و تجربه کارمندان انجام دهید.
•         ابزارهای امنیتی ارائه‌دهنده کلود را کاوش و به درستی پیکربندی کنید. اطمینان حاصل کنید که گزارش فعالیت کارکنان به اندازه کافی دقیق است و تیم امنیتی این گزارش ها را به سرعت دریافت می‌کند. در حالت ایده آل، آنها باید مستقیماً به سیستم SIEM بروند.
•         اطمینان حاصل کنید همه رایانه‌ها و تلفن‌های هوشمندی که برای دسترسی به حساب‌های شرکتی استفاده می‌شوند دارای یک عامل EDR هستند.

[1] adversary-in-the-middle

[2] man-in-the-middle

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.