خلاقانه ترین و خطرناک ترین هک های ۲۰۱۵

/
/
/

خلاقانه ترین و خطرناک ترین هک های ۲۰۱۵

مهمترین هک های سال نشان می دهند که هکرها چگونه تاکتیک خود را تغییر داده اند – و امنیت آی تی چگونه باید در سال جدید بهبود یابد

هفته ای در سال ۲۰۱۵ نبود که بدون یک data breach بزرگ، کمپین حمله یا گزارش یک خرابی جدی گذشته باشد. بسیاری از این حوادث در نتیجه کنترل های امنیتی غیرفعال، خطاهای پیاده سازی یا سایر اشتباهات امنیتی جدی رخ دادند.
ولی نگاهی به آن سوی حملات متنوع و آسیب پذیری ها به ما کمک می کند دید خوبی نسبت به فعالیت های مخرب آتی و نحوه دفاع در برابر آنها به دست آوریم. در ۲۰۱۵ تهاجماتی دیده شد که هریک به فرم جدیدی از نفوذها یا مناطق دقیقی که به دفاعی جدید نیاز داشتند، اشاره می کرد. در سال گذشته مجرمین سایبری را دیدیم که از رویکردهای خلاقانه استفاده می کردند و عاملان تحت حمایت دولت ها که جسورتر شده بودند. انگیزه های ایجاد شده با مزایای مالی، دیگر تنها دلیل راه اندازی یک حمله نبودند. ۲۰۱۵ سالی بود که در آن فعالیت های مخرب پایانی نداشت: آسیب های فیزیکی، سرقت اسرار تجاری، هک های اعتراض آمیز و .. .
دنیای به طور فزاینده پیوسته کنونی به این معنی است که آدم بدها می توانند آسیب های زیادی به بار آورند؛ مهم تر اینکه خرابکاران بسیاری اکنون توانایی و ابزارهای لازم برای انجام حملات سرد را دارند.

در ادامه خلاصه ای از برخی از مهم ترین حوادث سال گذشته آورده شده که هریک گفتگوهای امنیتی را بیشتر به پیش میراند و مسیرهای جدید و نیازهای دفاعی را نشان می دهد.
بیت کوین

بیت کوین و به طور کلی ایده رمزنگاری ارز، امسال توجهات زیادی را به خود جلب کرد، بعضا به دلیل حقه بازانی که از این پلتفرم برای پوشش پرداخت ها استفاده می کردند.
باندهای باج افزار قبل از، از قفل خارج کردن فایل ها و فولدرهای قربانی تقاضای پرداخت با بیت کوین می کردند و اخاذان نیز در ازای راه اندازی نکردن حملات DDoS در وبسایت ها تقاضای بیت کوین داشتند. ولی در سال ۲۰۱۵ بیت کوین به دلیل متفاوتی بارها تبدیل به سرفصل امنیتی شد: دزدها اقدام به سرقت بیت کوین می کردند.

صرافی اروپایی Bitstamp ، پس از اینکه در اوایل ژانویه متوجه شد یکی از مخازن بیت کوین عملیاتیش در معرض خطر قرار گرفته، معاملات را متوقف کرد. این طور که گفته می شود این صرافی سومین صرافی پرمشغله دنیاست که تقریبا ۶ درصد همه تراکنش های بیت کوین را کنترل می کند.
در حدود ۱۹۰۰۰ بیت کوین یا تقریبا ۵ میلیون دلار در آن زمان دزدیده شد. این تنها حمله بیت کوین نبود، چرا که صرافی چینی BTER در فوریه گزارش کرد که ۷۱۷۰ بیت کوین یا تقریبا ۱٫۷۵ میلیون دلار از سیستم کیف پول آن دزدیده شده است. سارقان ۱۰٫۲۳۵ BTC یا تقریبا ۲۵۰۰ دلار را در ماه اکتبر از کیف پول راه اندازی بیت کوین به سرقت بردند.
این موضوع را پیچ و تابی در عرصه دزدی سنتی از بانک ها در نظر بگیرید: به جای غارت حساب های بانکی، صرافی ها مورد حمله قرار می گیرند. علاوه بر نشان دادن ارزش واقعی مرتبط با ارز مجازی، سارقان اهمیت نیاز به وجود یک استاندارد بین المللی شناخته شده برای بیت کوین را نشان دادند. در ماه فوریه کنسرسیوم گواهینامه Cryptocurrency (C4)، ۱۰ قانون استاندارد برای ایجاد، ذخیره سازی، بازرسی و استفاده از بیت کوین را به عنوان بخشی از استاندارد امنیتی Cryptocurrency (CCSS) ارائه کرد.
اگرچه مقادیر به سرقت رفته ناچیز نیست ولی در مقایسه با ۸۵۰۰۰۰ بیت کوین که حدود ۴۵۰ میلیون دلار ارزش دارد و در سال ۲۰۱۴ از صرافی Mt. Gox ژاپن به سرقت رفت، رنگ می بازد. این طور گفته شده که ۷۰ درصد بیت کوین های این صرافی به سرقت رفته که موجب ورشکستگی آن شده است. پلیس ژاپن اعتقاد داشت که سرقت یک کار داخلی بوده است.
بدین ترتیب سازمان های صرافی تمرکز بیشتری بر عملکرد و کارایی همراه با امنیت و آینده نگری اعمال کردند. بسیاری از حملات به منظور ورود به شبکه مبادلات، بر مهندسی اجتماعی تکیه داشتند. صرافی ها باید فعالیت هایی برای توسعه کدهای امن و همچنین آنالیز مد استاتیک و دینامیک را در پیش بگیرند تا از اپلیکیشن های خود پشتیبانی کنند. صرافی های بیت کوین باید به شدت به دنبال ارتقای امنیت باشند زیرا ممکن است این موضوع قبل از اینکه این ارز جدید کاربرد وسیع تری پیدا کند، تبدیل به یک ضرورت شود.
سایبر به دنیای واقعی می رود
حملات سایبری که منجر به خساراتی در دنیای فیزیکی می شوند در نمایشات تلوزیونی خیلی بیشتر از دنیای خارج از تلوزیون رخ می دهند. بسیار ترسناک بود که حمله بد افزاری شمعون در سال ۲۰۱۲ به طور کامل هارد درایوهای ۳۵۰۰۰ کامپیوتر شرکت نفتی صعودی، Aramco را مورد حمله قرار داد. زمانی که در یک کارخانه ذوب آهن گمنام آلمانی، مهاجمان سیستم های کنترلی را دست کاری و خراب کردند، دوباره مرز بین فضای سایبری و فضای فیزیکی محو شد — البته این حمله در سال ۲۰۱۴ رخ داد و گزارشی که جزئیات حادثه را شرح می داد کمی قبل از پایان سال منتشر شد. طبق گزارش، کوره ذوب آهن را نمی شد به طور کامل خاموش کرد که منجر به خرابی های هنگفتی شد.
اغلب این گونه تصور می شود که حملات سایبری مربوط به سرقت داده یا خراب کردن آفلاین سیستم هاست. ولی در دنیای واقعی نیز می تواند خرابی به وجود بیاورد.
یک مهاجم می تواند به طور بالقوه فرایند تولید یک شرکت دارویی یا سیستم های کنترل کیفیت را دستکاری کند یا دستور تهیه یک داروی خاص را تغییر دهد. سیستم های بیمارستانی نیز نسبت به حمله آسیب پذیر هستند به خصوص به این دلیل که بسیاری از سیستم های قدیمی هنوز در حال استفاده هستند و نمی توان در آنها امنیت را برقرار کرد. تقریبا ۲۰ درصد بیمارستان ها نسبت به حملات آسیب پذیر هستند که می تواند سیستم های مراقبت های ویژه را غیر فعال کند.
پس افراد ممکن است بصورت فیزیکی از حملات سایبری آسیب ببیند.
امنیت سیستم های کنترلی صنعتی نیز بسیار مورد بحث قرار می گیرد ولی حادثه کارخانه ذوب آهن آلمانی این حقیقت را نشان می دهد که این تهدیدات دیگر تئوری نیستند. یکی از چالش هایی که امنیت سیستم های کنترلی صنعتی با آن روبرو است این حقیقت ساده است که سیستم ها نوعا توسط دپارتمان های مهندسی و عملیاتی کنترل و مدیریت می شوند نه دپارتمان آی تی. تیم های عملیاتی و مهندسی بر قابلیت اطمینان تمرکز دارند و تصمیماتی را اتخاذمی کنند که به قیمت امنیت و به منظور حفظ آپ تایم است.
بهبود دفاع نیازمند ترکیبی از اصول اولیه و دفاع هم زمان است مانند تضمین بخش بندی مناسب و کنترل دسترسی میان شبکه های مختلف.
جرایم مالی بزرگ می شوند

در سال ۲۰۱۵ تعدادی حمله در برابر موسسات مالی وجود داشت ولی هیچ یک متهورانه تر از حلقه جرم و جنایت Carbanak نبود که بیش از ۱۰۰ بانک و دیگر موسسات مالی در ۳۰ کشور را مورد حمله قرار داد. Kaspersky Lab تخمین زده است که این باند از اواخر سال ۲۰۱۳ نزدیک به ۱ میلیارد دلار سرقت کرده و توانسته به مدت دوسال ناشناس باقی بماند زیرا هر تراکنش را بین ۲٫۵ میلیون دلار تا ۱۰ میلیون دلار نگه داشته است.
مقیاس حملات در برابر موسسات مالی نشان می دهد که مجرمین از حملات کم ارزش مرتبط با مشتریان، مانند سرقت هویت و سرقت کارت اعتباری به سمت حملات با ارزش تری تغییر جهت داده اند.
FBI نیز نسبت به افزایش کمپین های مهندسین اجتماعی که در آن مهاجمان ایمیل هایی با مضمون اینکه از طرف CEO یا یکی دیگر از مدیران اجرایی ارشد است به CFO یا یکی دیگر از مقامات اجرایی و درخواست انتقال وجه ارسال می کنند، هشدار داده است. اگر گیرنده ایمیل فریب خورد و صحت ایمیل را قبل از انتقال وجه چک نکرد این پول برای همیشه از دست رفته است.
اگرچه مهاجمان خارجی هنوز بزرگترین تهدید سازمان های مالی به حساب می آیند سال ۲۰۱۵ نشان می دهد که مهاجمان داخلی نیز می توانند منجر به خسارت شوند.
در اوایل امسال یکی از کارمندان سابق Morgan Stanley به اتهام سرقت اطلاعات محرمانه بیش از ۷۰۰۰۰۰ حساب مشتریان در حالی که برای کار جدید با دو شرکت رقیب مصاحبه کرده بود، مجرم شناخته شد. مهاجمان خارجی از داخل افرادی را هدف می گیرند که به اطلاعات محرمانه دسترسی دارند. رمز نگاری، سیاست های امنیتی پویا که همراه داده ها ارسال می شوند و کنترل های سفت و سخت احراز هویت چند عاملی برخی از مراقبت هایی هستند که موسسات مالی باید برای تضمین اینکه اشخاص غیر مجاز آنچه را که نباید، نببینند اعمال کنند.
بهداشت و درمان
برخی از بزرگ ترین نفوذهای سال ۲۰۱۵ ، سازمان های بهداشت و درمان از جمله Anthem، Excellus BlueCross BlueShield، Premera Blue Cross و CareFirst را در برداشت. طبق گزارش سازمان خدمات انسان و سلامت در ایالات متحده، ۸ مورد از ۱۰ حمله عمده به سازمان های بهداشت و درمان در سال ۲۰۱۵ رخ داد.
تعجبی ندارد که مهاجمان به سراغ بخش مراقبت های بهداشتی رفته اند زیرا این سازمان ها داده های با ارزشی از جمله نام،آدرس، شماره های امنیت ملی، رکوردهای پزشکی و اطلاعات مالی را در اختیار دارند. تغییر این داده ها دشوار است به این معنی که عمر طولانی تری دارند و از آنها می توان برای حملات متعدد بعدی نیز استفاده کرد. در سال ۲۰۱۵ مهاجمان به بیش از ۱۰۰ میلیون رکورد اطلاعاتی در بخش بهداشت و درمان دست یافتند.
بخش عمده ای از موفقیت آمیز بودن این حملات به این دلیل بود که سازمان های بهداشت و درمان علی رغم سازمان های مالی، از قدیم توجه چندانی به امنیت نداشتند.
به طور خاص نفوذ به Anthem نشان می دهد که سازمان های بهداشتی تا چه حد در زمینه اعمال نکات امنیتی اولیه ضعیف هستند. Anthem باعث شد صنعت بهداشت و درمان بیدار شده و متوجه خطر بزرگی که با آن روبرو است بشود.
رمز نگاری در داده های حساس تاثیری ندارد. در بسیاری از حملاتی که به ارگان های بهداشت و درمان انجام شده کاربران با مهارت های مهندسین اجتماعی اطلاعات محرمانه خود را فاش کرده اند و به مهاجمان اجازه داده اند به آسانی از کنترل های رمز نگاری عبور کنند. مهاجمان ۸۰ میلیون رکورد اطلاعات شخصی را از یک شرکت بیمه خدمات درمانی تنها با استفاده از ۵ حساب کاربری به سرقت بردند. هر شرکتی باید این سوال را بپرسد که اگر حساب کاربری یک کاربر فاش شود چه میزان داده در معرض خطر قرار خواهد گرفت و سپس برای محدود کردن این فاش سازی تلاش کند.
مهم نیست که پلترفم امنیتی شما چقدر قدرتمند است، اگر کارمندان به درستی و با بهترین فعالیت های امنیتی آموزش ندیده باشند همه تدبیرات اندیشیده شده بی فایده خواهد بود.
حملات به عنوان بخشی از یک بازی طولانی
شاید مهم ترین و عجیب ترین حادثه امنیتی ۲۰۱۵ حمله به دفتر مدیریت پرسنل ایالات متحده باشد. داده های شخصی میلیون ها کارمند دولتی، پرسنل نظامی ایالات متحده و پیمانکاران دولتی که سوابقشان بررسی شده بود و گواهی عدم سوء پیشینه امنیتی دریافت کرده بود به سرقت رفت. در یک data breach نوعی، مهاجمان یک سازمان را هدف می گیرند زیرا به اطلاعاتی که دارد، نیاز دارند. در زمینه OPM ، مهاجمان رکوردهای اطلاعاتی را تنها برای اینکه آن را داشته باشند نمی خواستند بلکه برای بدست آوردن سوابق اطلاعاتی افراد هدف، به آنها نیاز داشتند.
OPM breach در بهترین حالت نشان دهنده هدف قرار دادن انسان ها بود ، با درک اینکه افراد بزرگترین خطر امنیتی و ضعیف ترین لینک در زنجیره هستند.
روش حمله از یک فرمول پیروی می کند:
در یک حمله مهندسی اجتماعی یک مقاطعه کار فرعی را هدف قرار بده و اطلاعات محررمانه رابرای دستیابی به شبکه سرقت کن. روی یک سیستم یک بدافزار نصب کن و یک backdoor ایجاد کن. به مدت چند ماه بدون اینکه متوجه حضورت شوند اطلاعات را استخراج کن.
OPM breach به آسیب پذیری سازمان ها در برابر مهندسی اجتماعی نیز اشاره می کند. کارمندان دولت و پیمانکاران اکنون یکی از موضوعات برنامه های آموزش آگاهی امنیتی برای یادگیری درباره خطرات فیشینگ و سایر خطرات رسانه های اجتماعی هستند.
آسیب پذیری های خارج از کنترل
حمله در مقابل Hacking Team (یک شرکت میلانی کار توسعه و فروش نرم افزارهای نظارتی را به آژانس های دولتی در سراسر دنیا بر عهده دارد) در تابستان گذشته باعث شد همه چشمهایشان را باز کنند. این شرکت بر آسیب پذیریهای zero-day برای توسعه نرم افزارهایی که تشخیص آنها دشوار است و می توانند ارتباطات را سد کنند تکیه دارد. زمانی که یک شخص ناشناس ۴۰۰GB داده مسروقه از Hacking Team شامل ارتباطات ایمیلی، اسناد کاری و کدهای برنامه نویسی را منتشر کرد، محققان امنیتی اسناد مخفی سه آسیب پذیری zero-day در Adobe Flash Player را آشکار کردند. زمانی که ادوب با زحمت در تلاش برای برطرف کردن این مشکلات در سریع ترین زمان ممکن بود، مجرمین سایبری قادر به سوء استفاده و به کارگیری آنها در حملات مقیاس بزرگ بودند.
گزارش نکردن آسیب پذیری ها به تولید کنندگان برای اصلاح آنها به این معنی است که ممکن است شخص دیگری نیز با همین باگ روبرو شود. اگر این باگ در وهله اول شناسایی شود به این معنی است که شخص دیگری نیز در نهایت با آن روبرو خواهد شد. و زمانی که این آسیب پذیری عمومی شود همه به خطر می افتند. سوء استفاده های Zero-day مانند اسلحه های فیزیکی نیستند که مالک اصلی بر روی آنها کنترل در زمان و مکان استفاده داشته باشد.
سرویس های دولتی بیش از اندازه نشت اطلاعات دارند
نفوذ به IRS Transcript Service کوچک بود. تنها اطلاعات ۱۰۰۰۰۰ نفر در طی این نفوذ افشا شد که به طور قابل ملاحظه ای کمتر از ۲۱٫۵ میلیون نفری بود که در نفوذ OPM تحت تاثیر قرار گرفتند. مهاجمان نام، آدرس و شماره شناسایی ملی قربانیان را برای به دست آوردن اطلاعات جزئی مانند درامد، نام کارفرما و بستگان وی در سرویس IRS Get Transcript وارد کردند.

مهاجمان سرویس های قانونی را برای تبدیل اطلاعات شناسایی شخصی برای تعیین داده های جزئی که برای جعل اظهارنامه مالیاتی و سایر اشکال کلاه براداری های مالی می توان استفاده کرد، به کار می برند.
سایت های بسیاری مانند وبسایت Get IRS Transcript در همه جای اینترنت برای دولت های ایالتی، محلی و فدرال وجود دارند. IRS هدف ساده ای بود بقیه هم به همین صورت هستند.

اتومبیل ها را فراموش کنید، چه خبر از هواپیماها؟
هک وسایط نقلیه در سال ۲۰۱۵ با شدت به صحنه آمد و بسیاری از خبرهای امنیتی مهم را به خود اختصاص داد، ولی درباره همه آنچه راجع به حمله به هواپیماها نمی دانیم باید نگران باشیم.

درباره زمانی که محققان Charlie Miller و Chris Valasek در حال بهره برداری از سیستم سرگرمی اطلاعاتی Chrysler’s UConnect بودند تا از راه دور یک Chrysler Jeep Cherokee 2014 را کنترل کنند، گزارش هایی بود مبنی بر اینکه گروه پشت حمله OPM توانسته رکوردهایی درباره سوابق مبدا و مقصد مسافران خطوط هوایی ایالات متحده به دست آورد.
گروه دیگری از مهاجمان نیز سیستم های آی تی LOT Polish Airways را مختل کردند که منجر به کنسل شدن ۲۰ پرواز این خط هوایی شد.
آیا این حملات باید ما را نگران کند؟ آیا هواپیماها در خطرند؟ United و LOT هردو از ارائه اطلاعاتی در این زمینه سر باز زدند.

دو نوع حمله مختلف وجود دارد که باید نگران آنها بود. یکی سیستم های آی تی را مورد هدف قرار می دهد مانند وب سایت های هواپیمایی و کیوسک های بازرسی فرودگاه ها. دیگری سیستم های آنبوردی را هدف قرار می دهد که در واقع هواپیما را کنترل می کنند. سیستم های آنبورد معمولا به شدت تحت مراقبت و قفل شده هستند. سیستم های آی تی بیشتر در خطرند. و طبق گزارش آماری WhiteHat درباره آسیب پذیری، هر اپلیکیشن آنلاینی حداقل یک آسیب پذیری جدی دارد.
پرسه زدن در اطراف باغ محصور محصولات اپل
امسال Palo Alto Networks از XcodeGhost پرده برداشت، حمله بدافزاری که اپلیکیشن های iOS را آلوده کرده و قبل از اینکه کشف شود در App Store برای ماه ها وجود داشته است. این حمله به دانلود یک نسخه Xcode (کیت توسعه iOS) توسط دولپر تکیه داشته است. آلوده کردن یک ابزار روش حمله جدیدی نیست و XcodeGhost در آلوده کردن دولپرها در مقیاس وسیع کاملا موفق عمل کرد. خطر اصلی در درسی است که تیم XcodeGhost از موفقیت آمیز بودن حمله خود آموختند و اینکه چگونه مجددا تلاش خواهند کرد.
روشی که در این بدافزار اپلیکیشن های iOS را قبل از اینکه به App Store وراد شوند آلوده کرد کاملا جدید بود. دولپرها آسیب پذیر هستند و مهاجمان می توانند روی محصولات آنها سوار شده وارد App Store شوند و از معیارهای امنیتی اپل عبور کنند.
اگرچه XcodeGhost به خودی خود خطرناک نبود ولی روش آن در دسترسی پیدا کردن به میلیون ها دستگاه جدید بود.
XcodeGhost به مردم نشان داد که باغ محصور اپل را نیز می توان شکست داد و در مقیاس بزرگی به آن نفوذ کرد.

این بدافزار دولپرها را مجبور کرد که سیستم هایشان را پاک سازی کنند، اپلیکیشن ها را مجددا بررسی کنند و ابزارهای توسعه را از مکان های بهتری دریافت کنند. به منظور مقابله با حملات مشابه، توسعه دهندگان iOS باید متوجه باشند که سیستم های توسعه و اپلیکیشن های آنها برای مهاجمانی که به دنبال راهی برای هدف قرار دادن کاربران iOSهستند با ارزش است.
XcodeGhost اولین بدافزار گسترده ای بود که گوشی های jailbreak نشده را مورد حمله قرار داد، این موضوع یک هشدار جدی به کاربران iOS است که قبلا فکر می کردند در برابر حمله ایمن هستند.

درس های ۲۰۱۵
با نگاه به حملات و نفوذهای سال ۲۰۱۵ واضح است که صنعت امنیت آی تی به خوبی برای دفاع از خود آماده نیست. دانش نصف راه است ولی راه درازی پیش روی سازمان هایی وجود دارد که از اصول اولیه امنیتی پیروی نمی کنند. امنیت ارزان نیست و زمانی که از قبل بر روی امنیت کم سرمایه گذاری کرده باشید هزینه ای که برای به روز شدن در زمینه تکنولوژی و نیروی انسانی باید صرف کنید بسیار گزاف است.

نظر بدهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

It is main inner container footer text