روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ درست بعد از کریسمس، اخباری شنیدیم از حملهی چند مرحلهای که توسعهدهندگان افزونههای محبوب کروم را هدف قرار داده بود. بزرگترینِ این توسعهدهندگان یک افزونه امنیت سایبری بود ساخت Cyberhaven که پیش از تعطیلات دستکاری شده بود. وقتی این رخداد برملاشد، دیدیم فهرست شامل 35 افزونه محبوب میشود با جمع کلیِ 2.5 میلیون نصب. هدف مهاجمین سرقت داده از مرورگرهای کاربرانی بود که آپدیتهای تروجانزدهی این افزونهها را نصب کرده بودند. تمرکز این کمپین سرقت اطلاعات لاگین سرویسهای متا بود تا بتوانند اکانتهای تجاری را دستکاری کرده و هزینه نمایش آگهیها هم گردن قربانی بیافتد. با این وجود، این تنها دادهای نیست که افزونههای مخرب میتوانند از مرورگرها بدزدند. ما در ادامه توضیح دادهایم این حمله چطور کار میکند و برای محافظت از خود در برابر آن در مراحل مختلف باید اقداماتی انجام داد.
حمله به توسعهدهندگان: سوءاستفاده OAuth
برای تزریق عملکرد تروجان به افزونههای محبوب کروم، مجرمان سایبری نقشه فیشینگ اورجینالی توسعه دادهاند. آنها ایمیلهایی با پوشش هشدارهای استاندارد گوگل که ادعا میکنند افزونهشان خطمشیهای کروم وب استور را نقض کرده و نیاز به شرح دارد برای توسعهدهندگان میفرستند. متن و طرحبندی پیام از ایمیلهای معمول گوگل تقلید میکند پس قربانی اغلب در چنین مواقعی قانع میشود. افزون بر این، ایمیل اغلب از دامنهای ارسال میگردد که برای حمله به افزونهای خاص راهاندازی شده و حاوی نام افزونه در بخش نام دامنهاش است. کلیک روی لینک داخل ایمیل، کاربر را به صفحه قانونی احراز هویت گوگل میبرد. بعد از آن توسعهدهنده یک صفحه پیام استاندارد دیگری از گوگل را مشاهده میکند تا در آن از طریق OAuth به اپی موسوم به Privacy Policy Extension وارد شود و به عنوان بخشی از پروسه احراز، به یک سری مجوزها دسترسی پیدا کند. این رویه استاندارد روی صفحات قانونی گوگل اتفاق میافتد به استثنای اینکه اپ Privacy Policy Extension درخواست میکند سایر افزونهها را نیز در کروم وب استور منتشر کند. اگر این مجوز داده شود، سازندگان Privacy Policy Extension میتوانند آپدیتهای کروم وب استور را به جای قربانی منتشر کنند. در این سناریو، نیازی نیست مهاجمین دست به سرقت پسورد و سایر اطلاعات توسعهدهنده بزنند یا احراز هویت چندعاملی را دور بزنند. فقط برای دسترسی به مجوزها برای فریب توسعهدهندگان و مجاب کردنشان در احراز نشر آپدیتها در افزونههای خود از سیستم گوگل سوءاستفاده میکنند. با قضاوت بر اساس فهرست بلند بالای دامنههای ثبتشده توسط مهاجمین، آنها تلاش داشتند به بیش از 35 افزونه حمله کنند. در مواردی که حمله موفقیتآمیز بوده، نسخه آپدیتشده افزونه را منتشر کردند و دو فایل برای سرقت کوکیهای فیسبوک و سایر دادهها (worker.js و content.js) افزودند.
حمله به کاربران
افزونههای کروم معمولاً به صورت خودکار آپدیت دریافت میکنند؛ پس کاربرانی که بین تاریخ 25 تا 31 دسامبر دستگاهها را سوئیچ کردند و کروم را باز نمودند ممکن است آپدیت آلودهی افزونهی از قبل نصبشده را دریافت کرده باشند. در این رخداد، اسکریپت مخرب مرورگر قربانی را اجرا نموده دادههای لازم برای دستکاری اکانتهای تجاری فیسبوک را در سرور مهاجمین ارسال میکند. افزون بر شناساگرهای فیسبوک و کوکیها، این بدافزار اطلاعات لازم برای لاگین به اکانت تبلیغاتی تارگت را مانند دادههای کاربر-عامل برای شناسایی مرورگر کاربر سرقت میکند. در سایت فیسوک حتی دادههای کلیک روی موس هم رهگیری شده تا عاملین تهدید بتوانند CAPTCHA و احراز هویت دوعاملی را دور بزنند. اگر قربانی برای شرکت یا تجارت خصوصیاش روی متا تبلیغات را مدیریت کرده باشد، مجرمان سایبری باید بودجه تبلیغاتی خود را روی آگهیهای خود خرج کنند- معمولاً تبلیغ اسکم و سایتهای مخرب. ورای همه این خسارات مستقیم مالی، سازمان مورد هدف با خطرات قانونی و خدشهدار شدن اعتبارش هم مواجه میشود زیرا آگهیهای تقلبی با نام آن، منتشر شدهاند. این بدافزار میتواند به طور متقاعدکنندهای دادهها را از سایر سایتها نیز بدزدد. پس ارزش دارد که حتی اگر تبلیغات فیسبوکی را برای یک شرکت مدیریت نمیکنید هم باز مرورگرتان را بررسی نمایید.
اگر آپدیت افزونه آلوده نصب کردیم چه کنیم؟
برای متوقف کردن سرقت اطلاعات از مرورگرتان، اولین کار آناینستال کردن افزونه دستکاریشده یا آپدیت ان به نسخه پچشده است. متأسفانه صرف آناینستال کردن یا آپدیت افزونه آلوده کفایت نمیکند. باید همچنین هر پسورد یا کلید API را که در مرورگر ذخیره شده بوده یا از آن در طول دوره رخداد استفاده میشده ریست کنید. سپس لاگهای موجود را برای علائم ارتباطی با سرورهای مهاجم بررسی کنید. IoCها همهجا هستند. اگر ارتباط با سرورهای آلوده شکل گرفته بود، دنبال رد و اثری از دسترسی غیرقانونی در همه سرویسهایی باشید که در مرورگر آلوده باز شده بودند. بعد از آن اگر متا یا هر اکانت تبلیغاتی دیگری از مرورگر آلوده مورد دسترسی قرار گرفته بود به طور دستی همه تبلیغات در حال اجرا را بررسی نموده و هر فعالیت غیرقانونی تبلیغاتی را که پیدا کردید متوقف کنید. در آخر، هر سشن دستکاریشده اکانت فیسبوک را روی همه دستگاهها (از سایر دستگاهها لاگاوت کنید) دیاکتیویت کنید، کش مرورگر و کوکیها را پاک، از نو به فیسبوک وارد شده و پسورد اکانت را تغییر دهید.
آنچه از این رخداد آموختیم
این رخداد نمونه دیگری است از حملات زنجیره تأمین. در مورد کروم، این حقیقت که آپدیتها خودکار نصب میشود بیآنکه کاربر اطلاعی داشته باشد کار را بدتر میکند. گرچه آپدیتها معمولاً چیز خوبی هستند اما مکانیزم آپدیت خودکار به افزونههای مخرب اجازه میدهد تا بسیار سریع بخش شوند. برای کاهش ریسکهای چنین سناریویی، به شرکتها توصیه میشود اقدامات زیر را انجام دهند:
- از خطمشیهای گروه یا کنسول گوگل ادمین برای محدود کردن نصب افزونههای مرورگر در فهرستی قابلاعتماد استفاده کنید.
- لیستی از افزونههای مورد اعتماد را بر اساس نیازهای تجاری و اقدامات آیتی از سوی توسعهدهندگان افزونههای مذکور تهیه کنید. پین نسخه را برای غیرفعال کردن آپدیتهای خودکار افزونه به کار ببرید. در عین حال نیاز خواهد بود که رویهای را برای نظارت آپدیت و بروزرسانی متمرکز افزونههای تأییدشده توسط ادمینها در نظر بگیرد.
- راهکار EDR را روی همه دستگاههای سازمانتان نصب کنید تا با بدافزاها مبارزه کرده و رخدادهای مشکوک را نظارت کند.
شرکتهایی که نرمافزار منتشر میکنند (از جمله افزونههای وبی) باید تضمین دهند مجوز نشر به تعداد کمی از کارمندان داده میشود- ایدهآلش این است که این مجوز از ایستگاه کاری ممتاز باشد با لایههای اضافی از محافظت شامل احراز هویت چندعاملی و کنترل کنترل راهاندازی برنامه با پیکربندی دقیق و دسترسی به وبسایت. کارمندان مجاز به نشر باید آموزش امنیت اطلاعات ببینند و با جدیدترین تاکتیکهای مهاجمین مانند فیشینگ هدفدار یا نیزهای آشنا باشند.
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.