روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  متخصصین امنیت سایبری احتمالاً حمله‌ی باج‌افزار Akira برایشان درسی شد که در سال‌های آتی قطعاً از آن استفاده خواهند کرد و بر آن متکی خواهند بود. مهاجمین با هک دوربین‌های مداربسته اقدام به رمزگذاری کامپیوترهای سازمان کردند. گرچه در نگاه اول این غیرقابل‌تصور است اما توالی رخدادها سیر منطقی‌ای دارد که می‌توان براحتی آن را روی سازمان دیگر و دستگاه‌های مختلف داخل همان زیرساخت هم اعمال نمود.

آناتومی حمله

مهاجمین برای نفوذ به شبکه و اجرای فرمان‌ها روی میزبان آلوده در اپی عمومی یک آسیب‌پذیری را اکسپلویت کردند. در پی نقض اولیه، آن‌ها ابزار انی‌دسک را که ابزار دسترسی ریموت محبوبی است لانچ نموده و سشن RDP را با سرور فایل سازمان شروع کردند. آن‌ها با دسترسی به سرور سعی داشتند باج‌افزار را اجرا کنند اما سیستم EDR شرکت آن را شناسایی و قرنطینه کرد. افسوس که این جلوی کار مهاجمین را نگرفت. آن‌ها که نتوانستند روی سرورها یا ایستگاه‌های کاری که EDR ازشان محافظت می‌کرد، باج‌افزار را به کار ببندند، اسکن LAN اجرا کردند و دوربین ویدیویی شبکه را پیدا نمودند. علی‌رغم اشاره‌های مکرر به وب‌کم در گزارش بررسی رخداد، ما باور داریم این دوربین درو‌ن‌سازه‌ای لپ‌تاپ یا اسمارت‌فون نبود بلکه یک دستگاه تحت شبکه‌ی مستقل با هدف نظارت ویدیویی بود. دلایل مختلفی وجود دارد که چرا این دوربین تارگت ایده‌آل مهاجمین بوده است:

•         به دلیل سیستم‌افزار به شدت قدیمی‌اش، دستگاه در برابر بهره‌برداری از راه دور آسیب‌پذیر بود که به مهاجمان دسترسی پوسته و توانایی اجرای دستورات را می‌داد.
•         این دوربین یک ساخت لینوکس سبک وزن داشت که قادر به اجرای باینری‌های استاندارد برای این سیستم عامل بود. به طور تصادفی، زرادخانه آکیرا حاوی یک ابزار رمزگذاری مبتنی بر لینوکس بود.
•         این دستگاه تخصصی فاقد یک عامل EDR یا هر کنترل امنیتی دیگری برای شناسایی فعالیت‌های مخرب بود - و احتمالاً قادر به پشتیبانی نبود.
•         مهاجمین توانستند بدافزار خود را روی دوربین نصب کنند و از دستگاه به عنوان پایه‌ای برای رمزگذاری سرورهای سازمان استفاده کردند.

چطور قربانی بعدی، ما نباشیم؟

ماجرای دوربین IP یا تحت شبکه واضحاً نشانگر برخی اصول حملات سایبری هدف‌دار است و بینشی در مورد اقدامات متقابل مؤثر ارائه می‌دهد. در ادامه راهکارهای مقابله‌ای را از ساده‌ترین تا پیچیده‌ترین به ترتیب آورده‌ایم:

•         دسترسی به دستگاه‌های شبکه تخصصی و نیز مجوزهای آن‌ها را محدود کنید. عامل مهم این حمله دسترسی بیش از حد مجاز به سرورهای فایل دوربین تحت شبکه بود. این دستگاه‌ها باید در زیرشبکه‌ی ایزوله قرار گیرند و اگر این مقدور نیست باید کمترین حد مجوز برای ارتباط با سایر کامپیوترها بدان‌ها داده شود. برای مثال، دسترسی نوشتار باید به فولدر واحد روی یک سرور واحد و مخصوص که در آن‌، ضبط‌های ویدیویی ذخیره می‌شوند محدود شود. و دسترسی به دوربین و این فولدر باید به ایستگاه‌های کاری که فقط پرسنل امنیتی و سایر کارکنان مجاز استفاده‌‌شان می‌کنند محدود شود. گرچه اعمال این محدودیت‌ها ممکن است برای سایر دستگاه‌های تخصصی چالش برانگیز باشند (مانند پرینترها) اما در مورد دوربین‌ها کاملاً امکان‌پذیر است.
•         خدمات غیر ضروری و حساب‌های پیش فرض را در دستگاه های هوشمند غیرفعال کنید و رمزهای عبور پیش فرض را تغییر دهید.
•         از یک راه‌حل EDR در همه سرورها، ایستگاه های کاری و سایر دستگاه‌های سازگار استفاده کنید.

راه‌حل انتخاب شده باید قادر به تشخیص فعالیت های غیرعادی سرور، مانند تلاش های رمزگذاری از راه دور از طریق SMB باشد.

•         برنامه‌های مدیریت آسیب‌پذیری و پچ را گسترش دهید تا همه دستگاه‌های هوشمند و نرم‌افزارهای سرور را شامل شود. با انجام یک فهرست دقیق از این دستگاه ها شروع کنید.
•         در صورت امکان، نظارت را اجرا کنید، مانند ارسال تله متری به یک سیستم SIEM، حتی در دستگاه های تخصصی که در آن استقرار EDR امکان پذیر نیست: روترها، فایروال ها، چاپگرها، دوربین های نظارت تصویری و دستگاه های مشابه.
•         انتقال به راه‌حل کلاس XDR را در نظر بگیرید که نظارت بر شبکه و میزبان را با فناوری‌های تشخیص ناهنجاری و ابزارهایی برای پاسخ‌دهی دستی و خودکار به رخداد ترکیب می‌کند.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.