ITanalyze

علیرغم تایید وقوع دسترسی غیرمجاز به یکی از زیرسیستم‌های وب‌سایت کافه‌بازار، افشاکنندگان موضوع وعده داده‌اند ادعای این شرکت درباره دسترسی غیرمجاز در زیرسیستم، میزان لو رفتن اطلاعات و رفع آسیب پذیری را بررسی و منتشر کنند.

به گزارش  فارس، انتشار خبر دسترسی غیرمجاز به سورس و دیتابیس کاربران کافه بازار توسط گروهی از هکرها که بخش‌هایی از آن در اینترنت منتشر شد، با توجه به جامعه ۴۰ میلیون کاربری این برنامه، بازتاب نسبتا گسترده‌ای داشت.

برخی با انتشار سورس‌کدهایی در مقام افشای اطلاعات برآمدند و منتظر پاسخ‌گویی کافه بازار یا مسئولان مربوطه ماندند.

*کافه بازار در نخستین بررسی نشت اطلاعات را تایید نکرد

کافه بازار پس از چند ساعت با صدور اطلاعیه‌ای به این موضوع واکنش نشان داد؛ اما وقوع دسترسی غیرمجاز را تایید نکرد.

این شرکت اعلام کرد: «روز شنبه ۷ اردیبهشت گزارش‌هایی در خصوص وجود یک مشکل امنیتی در بازار در شبکه‌های اجتماعی منتشر شده است که همچون هشدارهای امنیتی مشابه در گذشته، تیم فنی بازار در حال بررسی همه‌جانبه‌ موضوع است. تاکنون شواهدی در زمینه نشت اطلاعات حساب‌های کاربری به دست نیامده است. چنان‌چه در ادامه‌ بررسی‌ها نتایج تازه‌ای به دست آید، به طور شفاف به اطلاع کاربران خواهد رسید.

علاوه بر اقدام‌های پیوسته‌ای که در راستای حفظ امنیت سیستم‌ها صورت می‌گیرد، استفاده از دانش کارشناسان امنیتی که به صورت مسئولانه و قانونی، موارد امنیتی را متذکر می شوند از سالها پیش در اولویت کافه‌بازار بوده است. تخصیص صفحه افشای مسئولانه و طرح اعطای پاداش در ازای کشف باگ‌های امنیتی (Bug Bounty Program) نیز با همین هدف انجام شده است و کافه‌بازار همواره از دریافت گزارش‌های مسئولانه‌ی امنیتی استقبال می‌کند. چرا که امنیت در دنیای دیجیتال مطلق نیست و همه شرکت‌های نرم‌افزاری، اعم از کوچک و بزرگ، ممکن است در معرض آسیب‌پذیری‌هایی در این حوزه باشند و کافه‌بازار نیز خود را از این قاعده مستثنی نمی‌داند.»

*تایید دسترسی غیرمجاز به برخی اطلاعات کافه‌بازار

با تایید نشدن این موضوع از سوی کافه بازار، ماجرا ادامه یافت و مدعیان افشای اطلاعات بخشی از سورس‌کدهای اصلی را برای بررسی کارشناسان منتشر کردند.

کافه بازار در دومین اطلاعیه خود بخشی از دسترسی غیرمجاز به اطلاعات را پذیرفت.

در این اطلاعیه اعلام شد: «طبق بررسی‌های تیم فنی کافه‌بازار مشخص شده است که  سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار به دست افرادی خارج از مجموعه رسیده است؛‌ در عین حال، همچنان هیچ گونه شواهدی در زمینه نشت اطلاعات حساب‌های کاربری به دست نیامده است. تیم فنی این مسئله را از ساعات ابتدایی روز شنبه با جدیت پیگیری کرد و اشکال امنیتی را شناسایی و برطرف کرد.

در عین حال، برای اطمینان خاطر کاربران، ضروری است کافه‌بازار بر نکات زیر تاکید کند:

- این دسترسی تنها به بخشی از زیرسیستم وب‌سایت کافه‌بازار صورت گرفته که تاثیری در امنیت اپلیکیشن بازار و تلفن همراه کاربران ندارد.

- رمز عبور کاربران بازار یا یک‌بارمصرف (OTP) بوده و امکان ورود شخص ثالث به حساب‌های کاربری وجود ندارد، یا به صورت salted، با شیوه‌ی ایمن SHA256، رمزگذاری شده و قابل بازیابی نیست.»

*بررسی ادعای کافه‌بازار به زودی

علیرغم پذیرش بخش زیادی از موضوع دسترسی غیرمجاز توسط کافه بازار اما گویا این ماجرا هنوز تمام نشده است؛ افرادی که طرح موضوع کرده‌اند وعده داده‌اند ادعای کافه بازار مبنی بر دسترسی غیرمجاز در زیر سیستم، میزان لو رفتن اطلاعات و رفع آسیب پذیری را بررسی و منتشر کنند.

کافه بازار: هکرها نتوانستند وارد سرور شوند

یک مدیر کافه‌بازار با تشریح جزئیات آسیب‌پذیری امنیتی اخیر و اقدامات فنی مقابله با آن، اطمینان داد که این موضوع پایان یافته و نگرانی دیگری دراین باره وجود ندارد.

به گزارش فارس، تایید خبر دسترسی غیرمجاز به سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه بازار درست چند روز پس از نفوذ به بخشی از اطلاعات تاکسی اینترنتی تپ‌سی، بازتاب گسترده‌ای داشت.

اگرچه کافه بازار درباره ابعاد آسیب‌پذیری امنیتی کشف شده شفا‌ف‌سازی کرده اما برخی متخصصان علاقمند نیز وعده داده‌اند که ادعای کافه بازار را راستی آزمایی کنند. خبرنگار فارس درباره مسیر آسیب‌پذیری، میزان آسیب و مقابله با علی وحدانی مدیر محصول کافه‌بازار گفت‌وگو کرده‌ است.

*سورس‌کد یکی از زیرسیستم‌های وب‌سایت کافه‌بازار از مجموعه خارج شد

وحدانی در گفت‌وگو با خبرنگار فناوری اطلاعات خبرگزاری فارس در پاسخ به این سوال که کافه بازار وقوع دسترسی غیرمجاز به  سورس‌کد یکی از زیرسیستم‌های وب‌سایت را تایید و نشست اطلاعات از این سایت را رد کرده، چه توضیحی برای اینکه اطلاعات نشت نکرده وجود دارد؟ اظهارداشت: در اطلاعیه رسمی به صراحت نوشتیم که بخش‌هایی از سورس کد دست یکسری افراد افتاده و این را تأیید کرده‌ایم؛ اما افرادی بودند که ادعا می‌کردند نفوذ کرده و به اطلاعات کاربران دسترسی پیدا کرده‌اند؛ برای بررسی این ادعا مسیری که از طریق آن توانسته بودند به سورس کد دسترسی پیدا کنند را پیدا کردیم و بستیم؛ سپس بررسی کردیم که آیا از این طریق توانسته‌اند نفوذ دیگری انجام دهند یا خیر که در نتیجه بررسی مطمئن شدیم تمام ادعاهای دیگر کاملاً غلط است و آنها اگر یک رکورد دیتا داشتند تاکنون منتشر کرده بودند و مطمئن شدیم که دیتایی نداشته‌اند.

وی توضیح داد:‌ تمام ردپاهای آنها را جست‌وجو کردیم و مشخص شد آنچه به دست آورده‌اند دیتای کاربران نبوده؛ بلکه از روی وب‌سرور توانسته بودند یک آسیب‌پذیری پیدا کرده و سورس کد را دانلود کنند؛ آنها وارد سرور نشدند که بتوانند به دیتایی دسترسی داشته باشند؛ از این‌رو در بیانیه به صراحت اعلام کردیم که توانسته‌اند به سورس کدی دسترسی پیدا کنند اما هیچ دسترسی دیگری نداشتند و همه راه‌ها را بسته‌ و چک کرده‌ایم که مطمئن شویم هیچ دیتایی نشت نکرده است.

*چه بخشی از اخبار و مستندات نفوذ به دیتابیس اطلاعات کاربران صحت دارد؟

وحدانی در پاسخ به این سؤال که اخبار متعددی از ابعاد این آسیب‌پذیری امنیتی منتشر شده است، کدام یک از این اخبار صحت دارد؟ گفت: معتقد بودیم اگر آسیب‌پذیری وجود دارد به آن حساس هستیم، باید جلوی آن را بگیریم و درباره اینکه چه خطری وجود دارد اطلاع‌رسانی کنیم؛ اما مسئله این بود که آنها می‌خواستند از حداقل چیزی که به دست آورده‌اند خبرسازی کنند و اخبار جعلی تا جایی پیش رفت که در رسانه‌های غیررسمی و حتی کانال‌های برانداز از ردپاهایی غیرواقعی در سورس‌کدهای کافه بازار صحبت کردند. رسانه‌های بی‌نام و نشان که امروز زیاد شده‌اند علاقه دارند سروصدا به راه بیندازند و با برداشت شخصی خود، ولو دروغ خبر جنجالی بزنند؛ در این مسیر از رسانه‌ها انتظار داریم با انتشار اخبار صحیح ما را کمک کنند.

مدیر محصول کافه‌بازار ادامه داد: نفوذگران توانستند به سورس‌کد وب سایت دسترسی داشته باشند و به سورس کد اپلیکیشن و سرورها دسترسی نداشته‌اند؛ تنها یک عدد از سرور‌های غیراصلی وب سایت مورد دسترسی قرار گرفته که سورس کد وب سایت را نگه می‌دارد و حتی نتوانستند سورس کد سیستم‌های اصلی را بدزدند. بخش زیادی از سرورهای ما در حال سرویس‌دهی به ۴۰ میلیون کاربر کافه بازار هستند که به آنها دسترسی نیافته‌اند.

وی ادامه داد: این سورس کد چیزی نیست غیر از سایت کافه‌بازار که با وارد کردن آدرس سایت یک سری اپلیکیشن نمایش داده می‌شود. تمام آنچه که به عنوان مصداق نفوذ گذاشته شده بود کد و تنظیمات این سایت بود و هیچ چیزی دیگری نبود که دیتای کاربر یا دیتای اپلیکیشن باشد. با دنبال کردن رد پای جایی که توانسته سورس کد را از آنجا بگیرد، لاگ تمام فایل‌هایی که موفق شده بود دانلود کند را از سرور نگاه کردیم و اکنون دقیقاً می‌دانیم که چه چیزی به دست آورده و چه چیزی به دست نیاورده است؛ دیتایی که به دست آورده را تحلیل و تمام ادعاهای مطرح شده در توئیت‌ها و مطالب کانال‌ها را مانیتور کرده‌ایم و با قطعیت می‌گوییم که صحت نداشته اند. برای مثال یکی ادعا کرده بود که دیتا بیس از کافه بازار دارد و نمونه ارائه کرده بود که فایل ارایه شده خنده‌‌دار بود؛ همان سورس کدها را داخل یک فایل ریخته بود و گفته بود دیتابیس است. اصلاً چنین چیزی نبوده و هیچ دیتایی ندارند که بخواهند منتشر کنند که اگر یک رکورد داشتند منتشر می‌کردند.

*چرا جایزه کشف باگ‌های امنیتی به کار نیامد؟

وحدانی در واکنش به اینکه طبق اعلام کافه‌بازار، طرح اعطای پاداش در ازای کشف باگ‌های امنیتی (Bug Bounty Program) را دارد که این رویه در بسیاری از شرکت‌های بزرگ که به خود اطمینان دارند دیده می‌شود، اما این امکان کافه‌بازار برای نفوذگران جذاب نبود که کارآمد واقع شود، چرا؟ گفت: اگرچه تمام تلاش‌مان را می‌کنیم اما می‌دانیم مسیرهایی ممکن است باز باشد؛ تمام شرکت‌ها برای شناسایی باگ  و راه نفوذ مشوق می‌گذارند و هکرهایی در این شغل وجود دارند که باگ‌ها را به آنها گزارش می‌کنند؛ ما نیز این کار را کرده‌ایم و به هکری که ادعا کرده بود اعلام کردیم که جایزه گزارش باگ داریم، گزارش کن و جایزه بگیر. اولین برای که خبر منتشر شد در اطلاعیه اول به این موضوع اشاره کردیم که اگر آنها تاکنون نمی‌دانستند که چنین امکانی داریم مطلع شوند؛ اما مسئله آنها تنها ضربه‌ زدن بود. اگر قصد گزارش و جایزه گرفتن داشتند موافق بودیم. 

مدیر محصول کافه‌بازار اضافه کرد:‌ فارغ از مسئولیتم در کافه بازار حتی از شرکت‌های بزرگ در اندازه جهانی نیز انتظار نفوذ و حتی نشت اطلاعات می‌رود؛ در این زمینه نه تنها از استاندارد جهانی خیلی دور نیستیم بلکه شرایط خوبی در ایران داریم؛ در ایران اطلاعات ۲۰ میلیون مشترک یکی از اپراتورهای تلفن همراه نشت کرد چه اتفاقی افتاد؟ در نتیجه اصلا خود را با شرایط داخل مقایسه نمی‌کنیم اما در استاندارد جهانی نیز اتفاق اخیر یک حمله در حد نفوذ به سورس‌کد یکی از زیرسیستم‌ها بود که با سورس کد استخراجی نمی‌توانستند کاری کنند.

وی تاکید کرد: جزئیات فنی آسیب‌پذیری را در بلاگ فنی توضیح می‌دهیم و تلاش می‌کنیم در اختیار سایر شرکت‌ها بگذاریم تا در موارد مشابه تجربه داشته باشند.

* نگرانی از انتشار اخبار جدید از نفوذ در روزهای آینده وجود دارد؟

وحدانی در پاسخ به این سوال که علیرغم شفاف‌سازی کافه بازار درباره آسیب‌پذیری امنیتی، برخی برای راستی آزمایی ادعای کافه بازار و روشن شدن ابهامات درباره میزان نفوذ و رفع آسیب اعلام آمادگی کرده‌اند، نگرانی بابت اینکه در روزهای آینده اخبار جدیدی از این نفوذ منتشر شود وجود ندارد؟ گفت: تنها نگرانی از خروج این سورس کد که می‌توانست وجود داشته باشد و روی آن تمرکز کردیم این احتمال بود که آنها از طریق این سورس کد بتوانند دیتایی پیدا کنند و سپس از طریق آن بتوانند به سرورهای دیگر حمله کنند تا دیتای کاربران را بدزدند که در همان زمان دو کار را برای مقابله انجام دادیم؛ نخست اینکه تمام مسیرهای احتمالی نفوذ را بررسی کردیم و ردپاهایی که حدس زدیم شاید با این دیتا، دیتایی دیگری را بدست آورند را گشتیم؛ دوم اینکه تمام کلیدها و پسوردهای لازم و تنظیمات را از ابتدا انجام دادیم انگار که این تنظیمات لو رفته تا مطمئن شویم خطر امنیتی جدیدی ما را تهدید نمی‌کند.

وی تأکید کرد: بنابراین تنها کارکرد این سورس‌کد این احتمال بود که از این دیتا قصد حمله دیگری را داشته که جلوی آن را گرفته‌ایم. 

*افشاکنندگان جدی نبودند بیانیه دوم که تاییدگر نفوذ بود ارایه می‌شد؟

وی در پاسخ به سؤال فارس که بیانیه اول کافه‌بازار خیلی زود منتشر شد که البته حاوی اطلاعات مهمی نبود و در واقع گزارش آسیب را رد کرده بود، برخی تصور می‌کنند اگر ادعا با جدیت مطرح نمی‌شد شاید کافه‌بازار بیانیه دیگری ارایه نمی‌داد که بخواهد در آن آسیب‌پذیری را بپذیرد، پس از اطلاع از موضوع روند پیگیری توسط تیم امنیتی مجموعه که منجر به صدور بیانیه‌ها می‌شد، چه بود؟ گفت: همواره شبکه‌های اجتماعی را مانیتور می‌کنیم که به محض انتشار خبر در شبکه‌های اجتماعی بررسی موضوع شروع شد و چند ساعت بعد بیانیه اول منتشر شد؛ پس از انتشار بیانیه اول بررسی را ادامه دادیم و متوجه شدیم قضیه چه بوده و سورس‌کد از کجا به دست‌شان رسیده و مقداری طول کشید که بفهمیم آیا با سورس‌کدی که به دست‌ دارند کار دیگری می‌توانند انجام دهند. سپس بیانیه دوم را ارایه دادیم که مجموع اقدامات در حدود 18 ساعت طول کشید.

وحدانی اضافه کرد: در بیانیه اول هنوز با قطعیت نمی‌دانستیم که چه اتفاقی افتاده است؛ فقط اعلام کردیم که متوجه موضوع هستیم و موضوع در حال بررسی است و در آخر بیانیه اعلام کرده بودیم که اگر کسی دیتایی دارد و به دنبال جایزه است پول را پرداخت می‌کنیم و آسیب‌پذیری را اعلام کند؛ البته کار به اینجا نکشید و مشاور امنیتی گرفتیم و همکاران امنیتی مجموعه تحلیل کردند و متوجه شدیم. وقتی شخصی عکس از سورس‌کد می‌گذارد حتی ممکن است این عکس از صفحه برنامه‌نویسی در حال انجام گرفته باشد. در بیانیه اول مسائل از صفر (بهترین حالت) تا 100 (بدترین حالت) پیش رویمان بود؛ از اینکه فقط یک عکس است یا اینکه همه چیز لو رفته است؛ در نهایت تصور می‌کنم روال معقولی را طی کرده‌ایم. 

*چه نظارت بالادستی بر امنیت اطلاعات کاربران در کسب‌وکارها است؟

مدیر محصول کافه‌بازار در پاسخ به سؤال دیگر فارس درباره اینکه با رشد کسب‌وکارهایی که با اطلاعات کاربران سروکار دارند جذابیت این تجارت‌ها برای هکرها بیشتر شده، آیا از سوی حاکمیت دستورالعمل یا گواهی امنیتی برای مشخص کردن چارچوب و الزامات ملاحظات امنیتی در این شرکت‌ها وجود دارد؟ گفت: شرکت خصوصی به دلیل ذات تجارت و درآمد به هر آنچه که به کسب‌وکار لطمه وارد کند حساس‌ است، حتی حسا‌س‌تر از بخشی غیر خصوصی که ملاحظات امنیتی‌ بیشتری را پشت سر گذاشته‌اند. همچنان که در چند روز گذشته در نتیجه نفوذ به سایتی دولتی حداقل تا ۲۴ ساعت پس از انتشار خبر اطلاعات همه کاربران قابل دسترس بود.

وی در واکنش به اینکه شرکت‌های بزرگ شاید بتوانند از خود مطمئن باشند اما با رشد بازار کسب‌وکارهای سرویس‌ و کاربر محور، هر روز برنامه‌های جدیدی برای ارایه خدمات به مردم ارایه می‌شوند که در نتیجه نگه‌داشت اطلاعات کاربران در مجموعه‌های جدا بیشتر می‌شود، در این صورت تضمین امنیت اطلاعات کاربران در شرکت‌های کوچک‌تر یا در حال رشد که برای رفع تمامی نیازهای خود به بلوغ نرسیده‌اند چیست؟ گفت: البته شرکت‌های کوچکتر اطلاعات کمتری دارند و به همین میزان درصد ریسک در آنها در مقایسه با شرکت‌‌هایی با چند میلیون کاربر کمتر است؛ مرکز ماهر (در زیرمجموعه وزارت ارتباطات و فناوری اطلاعات) در برخی موضوعات مانند اپلیکیشن‌ها دستورالعمل‌های ابلاغ کرده که عمل کرده‌ایم اما در حالت کلی اگر دستورالعمل یا گواهی امنیتی برای این موضوع وجود دارد بحث حقوقی است و اطلاع ندارم. 

*به کمک مرکز ماهر نیاز پیدا نکردیم

وحدانی در پاسخ به این سوال که آیا در این رخداد به کمک مرکز ماهر نیاز پیدا کردید، گفت:‌ در این مورد و در موقع بحران نیاز به کمک نبود اما در حال مذاکراتی هستیم که بتوانیم از مشاوران امنیتی آنها کمک بگیریم.

مدیر محصول کافه‌بازار خاطر نشان کرد: البته در حال حاضر با برخی مراکز امنیتی زیرمجموعه ماهر از جمله مرکز آپا شریف همکاری داریم و با مرکز آپای امیرکبیر نیز به زودی همکاری خواهیم داشت.

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ این روزها، اخبار مربوط به Carbanak شده تیتر خبرهای داغ حوزه‌های امنیت سایبری. محققین امنیتی موفق شدند منبع کد این بدافزار بدنام را روی پورتالِ باز VirusTotal پیدا کنند. Carbanak در حقیقت موفق‌ترین تهدید امنیتی مالی تا به امروز بوده است، کرمِ مخربی که خسارات مالی‌اش بیش از 1 میلیارد دلار تخمین زده شده است.

نگاهی به تاریخ  Carbanak

متخصصین ما ابتدا در سال 2014 Carbanak را کشف نموده و آن را تحلیل کردند. ابتدا متوجه شدند وجوه نقدی از دستگاه‌های خودپرداز دزدیده می‌شوند اما بعداً پی بردند این حوادث تصادفی نبوده و به هم ربط دارند: کمپینِ بزرگ بین‌المللی با هدف سرقت مقایر زیادی پول از بانک‌های سراسر دنیا.

متخصصین ما داشتند تنها موارد اروپای شرقی را مورد بررسی قرار می‌دادند اما زمان زیادی طول نکشید که سر و کله‌ی قربانیان بیشتری پیدا شد- در آمریکا، آلمان و چین. درست مانند سایر حملات، این کمپین هم کارش را با فیشینگ شروع کرد. آن روزها خود را در قالب ایمیلی جا می‌زد که البته به طور پنهانی در خود پیوست‌هایی آلوده داشت که این پیوست‌ها بر اساس بدافزار Carberp بَک‌در نصب می‌کردند. بدین‌ترتیب مجرمان سایبری می‌توانستند به کل شبکه‌‌ی سازمان مورد نظر دسترسی پیدا کنند (در این مورد منظورمان شبکه‌های بانکی است). آن‌ها با دستکاری کردن کامپیوتر بانک‌ها می‌توانستند پول به جیب بزنند. البته مجرمین برای پول به جیب زدن راه‌های مختلفی بلدند. در برخی موارد آن‌ها از راه دور به دستگاه‌های خودپرداز فرمان می‌دادند تا به آن‌ها پول دهد. در برخی موارد دیگر نیز برای انتقال مستقیم پول به اکانت‌هایشان از شبکه‌ی SWIFT استفاده می‌کردند. این متودها در سال 2014 چندان هم به طورگسترده‌ای بکار گرفته نمی‌شدند؛ بنابراین مقیاس و فناوری‌هایی که  Carbanak به کار برد هم صنعت بانکداری و هم حوزه امنیت سایبری را شدیداً تحت‌الشعاع قرار داد.

آینده چه در چنته دارد؟

از زمانی که Carbanak کشف شد، متخصصین ما شاهد چنیدن حملاتی بوده‌اند (برای مثال Silence) که همه‌شان هم تاکتیک‌های مشابهی داشتند. سر نخ‌هایی که ازشان پیدا شد نیز نشان از همان گروه جرایم سایبری داشته است. این حملات هنوز هم فعالند اما از وقتی کد منبع Carbanak همگانی شده است دیگر این اقدامات نیز تعداد دفعات بیشتری رخ می‌دهند؛ به حدی که حتی مهاجمینی که مهارت کدگذاری هم ندارند می‌توانند چنین بدافزار پیچیده‌ای را برای خود بسازند. محقق لابراتوار کسپرسکی سرجری گولووانو که از همان اول پیگیری این مورد خاص را بر عهده داشت در این خصوص چنین می‌گوید:

«اینکه کد منبع بدافزار بدنام Carbanak روی وبسایت منبع باز موجود است نشانه‌ی خوبی نیست. به طور حتم بدافزار Carbanak خود ابتدا بر پایه‌ی کد منبع بدافزار  Carberp (بعد از اینکه به صورت آنلاین منتشر شد) ساخته شده بود. همه‌ی دلایل و شواهد ما را بر این باور مصمم می‌کند که این سناریو دوباره خودش را تکرار خواهد کرد و اینکه در آینده شاهد تغییرات خطرناکی در ساختار Carbanak خواهیم بود. خبر خوب اینکه از وقتی کد منبع Carberp لو رفته است، صنعت امنیت سایبری به طور چشمگیری پیشرفت کرده و اکنون می‌تواند براحتی کد دستکاری‌شده را شناسایی کند. ما از شرکت‌ها و افراد خواستاریم تا با داشتن راه‌حل امنیتیِ قوی‌ خود را در برابر تهدیدهای آتی محافظت کنند».

چطور ایمن بمانیم

توصیه‌ی ما به شما برای مصون ماندن از تهدیدهایی همچون Carbanak:

فیدهای هوش تهدیدی را در فناوری مدیریت امنیت اطلاعات و وقایع (SIEM) و نیز سایر هدایتگرهای امنیتی یکپارچه‌سازی کنید تا بتوانید به اطلاعات به روزترین و مرتبط‌ترین تهدیدها دسترسی داشته باشید؛ بدین‌ترتیب می‌توانید خود را در برابر حملات آینده آماده سازید. به منظور جلوگیری از چنین تهدیدهای پیشرفته‌ای می‌بایست آن‌ها را بشناسید (که البته این خیلی آرمان‌گرایانه است) و بدانید هدفشان چیست و به دنال چه می‌گردند. سرویس هوش تهدیدی می تواند با فیدهای خود چنین اطلاعات ضروری را به شما ارائه دهد.
راه‌حل‌های EDR همچون Kaspersky Endpoint Detection and Response را برای شناسایی در سطح اندپوینت، بررسی به موقع و رفع حوادث به کار ببندید. شناسایی نمونه‌ای از فعالیت شِبه  Carbanak در سطح اندپوینت نیازمند واکنشی سریع است و این درست همانجاییست که راه‌حل‌های EDR می‌توانند کمک کنند.
راه‌حل امنیتی در سطح سازمانی به کار ببندید که بتواند تهدیدهای پیشرفته‌ی سطح شبکه را در هر مرحله‌ای شناسایی کند. چیزی مانند Kaspersky Anti Targeted Attack Platform.

منبع: کسپرسکی آنلاین

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ هیچ‌چیز سخت‌تر از پیش‌بینی کردن نیست. بنابراین به جای زل زدن به گوی جهان‌بین بهتر است بر پایه‌ی آنچه اخیراً اتفاق افتاده است حدس‌هایی سنجیده زد. همچنین باید نگاهی داشت به رویه‌هایی که ممکن است در ماه‌های آتی اتخاذ شود. سعی کردیم با کمک از باهوش‌ترین افراد و قرار دادن مبنای سناریوی خود روی حملات APT[1] پیش‌بینی‌هایی در خصوص وقایعی که ممکن است در چند ماه آینده رخ دهد ارائه دهیم. پس با ما همراه شوید:

نه به APTهای بزرگ

آیا این امکان وجود دارد در دنیایی که مدام داریم عاملین بیشتری را شناسایی می‌کنیم، تیر اولین پیش‌بینی به خطا رود؟ شاید دلیل این باشد که صنعت امنیت، پیوسته دارد عملیات‌های فوق پیشرفته‌ای را (که از سوی دولت حمایت می‌شوند) کشف می‌کند. اگر بخواهیم چنین وضعیتی را از منظرِ مهاجم نگاه کنیم می‌بینیم که واکنش منطقی‌اش به این ماجرا دنبال کردن تکنیک‌های پیچیده‌تر خواهد بود؛ تکنیک‌هایی که براحتی لو نمی‌روند و تنها مخصوص برخی از عاملین خیلی خاص است. به طور حتم راه‌های مختلفی برای انجام این کار وجود دارد. تنها لازمه‌ی این کار، درکِ روش‌هایی است که این صنعت برای تخصیص و شناسایی شباهت‌های بین حملات مختلف و ترفندهای بکار رفته در آن‌ها استفاده می‌کند؛ چیزی که چندان راز بزرگی هم نیست. با در اختیار داشتن منابع کافی، راه‌حلی ساده برای یک مهاجم ممکن است مجموعه فعالیت‌های پیوسته‌ای را به همراه داشته باشد که سخت بتوان آن‌ها را به همان مهاجم یا همان عملیات ربط داد. مهاجمینی که دستشان در بخش منابع حسابی باز است می‌توانند عملیات‌های نوآورانه‌ی جدیدی را آغاز کنند؛ این درحالیست که می‌توانند همچنان عملیات‌های قدیمی خود را نیز در چنته نگه دارند. البته که این احتمال هم وجود دارد عملیات‌های قدیمی‌تر شناسایی شوند اما کشف عملیات‌های جدید بسی چالش بزرگ‌تری است.

ظاهراً در برخی موارد برای عاملین بسیار خاص که می‌توانند کمپین‌های پیچیده‌تری بسازند، خیلی بهتر است که به جای انجام این کار مستقیماً زیرساخت‌ها و شرکت‌هایی را مورد هدف قرار دهند که در آن‌ها، قربانیان را می‌شود براحتی پیدا کرد مانند  ISPها. برخی اوقات این کار را می‌شود با رگولاسیون و بدون نیاز به بدافزار انجام داد. برخی عملیات‌ها به گروه‌ها و شرکت‌های مختلف که از ابزارها و تکنیک‌های مختلف استفاده می‌کنند اختصاص داده می‌شود و همین کارِ تخصیص را بسی دشوار می‌کند. شایان ذکر است که در بخش عملیات‌هایی که از سوی دولت حمایت می‌شوند چنین جداسازیِ منابع و استعدادی ممکن است آینده‌ی چنین کمپین‌هایی را تحت‌الشعاع قرار دهد.

در چنین سناریویی، صنعت خصوصی دارنده‌ی اصلیِ این قابلیت‌ها و ابزارهای فنی است. در بسیاری از موارد این قابلیت‌ها و ابزارها برای آن دسته از مشتریانی که به درک جامعی از جزئیات فنی و پیامد آن‌ها ندارند قابل فروش نیستند. همه‌ی اینها نشان می‌دهد احتمال کشف عملیات‌های بسیار پیچیده بسیار پایین است چراکه مهاجمینی که منابع خوبی در اختیار دارند خیلی راحت‌تر می‌توانند به الگوهای جدید تغییر مسیر دهند.

سخت‌افزار شبکه و اینترنت اشیاء[2]

زمانی این واقعاً منطقی به نظر می‌رسد که هر عاملی برای سخت‌افزار شبکه‌ای از ابزارها و قابلیت‌های طراحی‌شده استفاده کند. کمپین‌هایی چون  VPNFilter نمونه‌ی بارزیست از اینکه چطور مهاجمین از پیش از بدافزار‌ خود برای ساخت بات‌نت‌هایی چند منظوره استفاده می‌کرده‌اند. در این مورد خاص، حتی وقتی چنین بدافزاری شیوع یافت، خیلی زمان برد تا حمله شناسایی شود. این بسیار نگران‌کننده است زیرا نمی‌دانیم در عملیات‌هایی با سطح بالاتری از هدفمندی‌ قرار است چه اتفاقی بیافتد. در وقع این ایده برای عاملینی که منابع بسیار خوبی در اختیار دارند حتی یک گام فراتر نیز می رود: چرا به جای صرفاً تمرکز روی یک سازمان مورد هدف، مستقیم به زیرساخت‌های پایه‌ای‌تر حمله نکنیم؟ پر واضح است که این میزان از کنترل می‌تواند برای یک مهاجم تا چه اندازه وسوسه‌انگیز باشد. آسیب‌پذیری‌های  سخت‌افزار شبکه به مهاجمین اجازه می‌دهد تا مسیرهای مختلفی را دنبال کنند. آن‌ها ممکن است یک سبک بات‌نتی را انتخاب کنند و در آینده آن شبکه را برای مقاصد مختلفی به کار ببنند. شاید هم برای پیش بردن حملاتی بسیار سرّی، به سمت تارگت‌هایی دست‌چین‌شده‌ سوق داده شوند. در مورد دوم، حملات " بدون ‌بدافزار" قرار می‌گیرد؛ جایی که باز کردن یک تونل وی‌پی‌ان برای ریدایکرت کردن ترافیک ممکن است تمام اطلاعات لازم را در اختیار مهاجم قرار دهد. تمام این المان‌های شبکه‌سازی ممکن است بخشی از پدیده‌ی اینترنت اشیاء باشد؛ جایی که در آن بات‌نت‌ها بی‌محا و بدون توقف در حال رشدند. وقتی صحبت از مختل کردن (به عنوان مثال) زیرساخت‌های اساسی به میان می‌آید، اگر این بات‌نت‌ها دست مجرمین بیافتند می‌توانند کاری کنند کارستان. عاملینی که منابع خوبی در دست دارند می‌توانند حسابی از آن‌ها سوءاستفاده کنند (شاید با استفاده از یک گروه پوشش و یا چیزی مثل حمله‌ی تروریستی).

بات‌نت‌های چندمنظوره می‌توانند جدا از بحث حملات اختلال‌گر در موارد دیگر هم به کار گرفته شوند. برای مثال در ارتباطات مخرب با فرکانس دامنه کوتاه که در حقیقت با دور زدن کانال‌های قراردادیِ فیلتر، ابزارها نمی‌توانند روی امور نظارت داشته باشند. گرچه فقط شبیه به هشداری باشد که هر سال داده می‌شود اما نباید هرگز قدرت بات‌نت‌های اینترنت اشیاء را دست کم گرفت- آن‌ها دارند از هر زمان دیگری قدرتمندتر می‌شوند.

حمله‌ی متقابل

یکی از بزرگ‌ترین سوال‌ها در خصوص دیپلماسی و ژئوپولیتیک این بود که چطور می‌شود از پسِ یک حمله‌ی سایبری برآمد؟ پاسخ، ساده نیست و تا حد زیادی به این بستگی دارد که حمله تا چه اندازه بد و آشکار است (البته این به عوامل دیگری هم وابسته است). با این حال، به نظر می‌رسد بعد از هک‌هایی مانند آنی که در کمیته ملی دموکرات[3] شاهدش بودیم، اوضاع کمی جدی‌تر شد.

برخی حملات مانند هک‌های Sony Entertainment Network یا حمله به DNC پیامدهایی سیاسی دارند. بدین‌معنا که عملیات‌ها توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی طوری اجرای می‌شوند که باعث شود فکر کنیم گروه‌ها یا کشورهای دیگری این عملیات‌ها را انجام داده‌اند. روسیه خود کشوریست که از این پیامدهای سیاسی زخم خورده است. همین شاید باعث شود در مورد عملیات‌هایی از این دست در آینده تجدید نظر شود. با این حال، ترس از اتفاق افتادن چنین چیزی در آینده یا فکر اینکه شاید چنین عملیات‌هایی همین الانش هم اتفاق افتاده باشند بزرگ‌ترین دستاورد مهاجمین است. آن‌ها می‌توانند به روش‌های مختلف و دقیق‌تری از این شک، ترس و حس عدم اطمینان به بهترین شکل ممکن بهره ببرند؛ چیزی که بیشتر در عملیات‌های بزرگ و قابل‌توجه شاهدش بوده‌ایم: برای مثال Shadowbrokers. تازه باید منتظر نمونه‌های بیشتری هم بود.

در آینده شاهد چه چیزهایی خواهیم بود؟ شاید نمونه‌هایی از این قبیل در گذشته اتفاق افتاده باشد اما گمان داریم تنها فاز آزمایشی بوده‌اند. حدس می‌زنیم این موج تازه به راه افتاده باشد و احتمالاً در آینده شاهد ظهور آن به روش‌های گوناگون خواهیم بود. برای مثال در رویدادهای پرچم دروغین[4] مانند Olympic Destroyer که هنوز هم مشخص نیست هدف نهایی چه بود و برنامه چطور پیش رفت.

ظهور تازه واردها

خلاصه بگوییم ظاهراً APT به دو گروه تقسیم می‌شود: عاملین پیشرفته و بسیار مجهز (که پیش‌بینی می‌شود همه ناپدید شوند) و گروهی از تازه واردهای پرانرژی که می‌خواهند تمام‌قد در میدان کارزار خودنمایی کنند. این نکته را هم در نظر داشته باشید که موانع ورود به بازار تا به حال به این اندازه کم نبوده است: امروزه صدها ابزار بسیار کارامد، اکسپلویت‌های بازمهندسی‌شده‌ی لو رفته و فریم‌ورک‌هایی از همه نوع که دسترسی به آن‌ها برای همگان ممکن است وجود دارد. چنین ابزارهایی تقریباً تخصیص را محال می‌کنند و در صورت لزوم می‌توانند براحتی سفارشی‌سازی شوند. دو جای این دنیا هست که این گروه‌ها در آن‌ها بیشتر دیده می‌شوند: جنوب شرق آسیا و خاورمیانه. گفته می‌شود در این نواحی موارد زیادی از این گروه‌ها گزارش شده‌اند؛ گروه‌هایی که با سوءاستفاده از مهندسی اجتماعی به سمت هدف‌های داخلی خود حرکت می‌کنند و از قربانیان آسیب‌پذیر و نبود فرهنگ امنیتی نهایت استفاده را می‌برند. با این حال، همینطور که تارگت‌ها لایه‌ی دفاعی خود را بیشتر می‌کنند، مهاجمین نیز قابلیت‌های خود را روز به روز بیشتر افزایش می‌دهند.

یکی از جنبه‌های جالبی که می‌شود از زاویه فنی بدان نگاه کرد این است که چطور ابزارهای پسا-اکسپلویت[5] JavaScript ممکن است (با توجه به فقدان لاگ‌های سیستم آن، توانایی‌اش در اجرای سیستم‌عامل‌های قدیمی‌تر و اینکه محدود کردن کارکرد آن توسط ادمین کار سختیست) در کوتاه مدت دستخوش تغییراتی جدید شوند.

حلقه‌های منفی

با مشاهده‌ی  Meltdown، Spectre ، AMDFlaws و تمام آسیب‌پذیری‌های مربوطه (و البته آن‌هایی که در راهند) با ما کاری کردند که دیگر نظرمان نسبت به خطرهایی که بدافزارها می‌توانند داشته باشند عوض شده است. هرچند آسیب‌پذیری‌ها زیر حلقه 0 نبودند اما احتمال بروز چنین حملاتی بسیار زیاد است (زیرا تقریباً هیچ مکانیزم امنیتی نمی‌تواند آن‌ها را شناسایی کند). برای مثال، در مورد SMM دست کم از سال 2015 یک PoC وجود دارد که دسترسی به آن برای همگان آزاد است. SMM یک ویژگی  CPU است که به طور کارامدی دسترسی کامل و ریموتی را به کامپیوتر ممکن می‌سازد؛ آن هم بدون اینکه بگذارد فرآیندهای حلقه 0 به فضای مموری آن دسترسی پیدا کنند. برای همین مانده‌ایم آیا اینکه هنوز بدافزاری که بتواند از این قابلیت سوءاستفاده کند تنها بخاطر این است که شناسایی‌اش سخت است یا دلیلی دیگری دارد. این قابلیت آنقدر فرصت خوبی است که نمی‌شود کسی از آن سوءاستفاده نکند پس چیزی که از آن مطمئنیم این است که برخی گروه‌ها سال‌هاست تلاش دارند از این ساز و کارها سوءاستفاده کنند (و شاید هم در این امر بسیار موفق بوده‌اند).

روش تخریب مورد علاقه‌تان

شاید در این مقاله انتظار پیش‌بینی فیشینگ را نداشتید اما در این بخش می‌خواهیم بدان بپردازیم. ما بر این باوریم که موفق‌ترین عامل/روش مخرب در آینده‌ای نه چندان دور از همیشه اهمیت بیشتری پیدا خواهد کرد. کلید موفقیتش هم در کنجکاو نگه داشتن قربانی است.  با استفاده از داده‌های لو رفته از پلت‌فرم‌های شبکه‌های اجتماعی مختلف، مهاجمین می‌توانند این رویکرد را ارتقا بخشند. داده‌های بدست‌آمده از حملات روی شبکه‌های اجتماعی مانند فیسبوک و اینستاگرام و همچنین لینکدین و توییتر در بازار برای همه موجود نیست. در برخی موارد هنوز مشخص نشده چه نوع داده‌هایی مد نظر مهاجمین بوده است اما شاید این اطلاعات شامل پیام‌های شخصی و یا حتی جزئیات محرمانه باشند. این برای مهندسان اجتماعی حکم گنج را دارد و می‌تواند باعث شود مهاجم اطلاعات محرمانه را از بدزد و آن را روی شبکه‌های اجتماعی به اشتراک بگذارد. این را می‌توان با تکنیک‌های قدیمی جمع‌آوری اطلاعات نیز ترکیب کرد؛ جایی که مهاجمین هدف خود را حسابی چک می‌کنند تا مطمئن شوند قربانی، مورد مناسبی است و بدین‌ترتیب توزیع بدافزار کم شده و شناسایی سخت‌تر می‌شود. به طور حتم با استفاده از فناوری یادگیری ماشین هم می‌شود کارایی فیشینگ را بالا برد. هنوز معلوم نیست در واقعیت این کار چه نتایجی به همراه خواهد داشت اما آنچه مشخص است این است که ترکیب همه‌ی این عامل‌ها می‌تواند فیشینگ را به روش تخریبی حرفه‌ای و مؤثر بدل کند خصوصاً اگر از طریق رسانه‌های اجتماعی صورت گیرد.

نابودگر مخرب

نابودگر Olympic یکی از مشهورترین موارد بدافزارهای بسیار مخرب در طول سال گذشته بود؛ خیلی از مهاجمین همچنان دارند مرتباً در کمپین‌های خود از آن استفاده می‌کنند. حملات نابودگر برای مهاجمین مزایای بسیاری دارند خصوصاً از لحاظ ایجاد انحراف و پاک کردن هر نوع لاگ یا شواهد بعد از حمله. در حقیقت حکم یک غافلگیری کثیف را برای قربانی دارد. به طور کلی کلید همه ی این حملات در این است که آن‌ها بسیار وسوسه‌انگیز به نظر می‌رسند جوری که نمی‌شد به سمتشان نرفت. جوامع مدنی بین المللی و زیرساخت‌های اساسی از همه بیشتر در برابر چنین حملاتی آسیب‌پذیرند و گرچه صنایع و دولت‌ها در طول ای چند سال برای بهبود این وضع بسیار تلاش کردند اما هنوز خیلی راه مانده تا شرایط سامان یابد. برای همین است که باور داریم گرچه این حملات هیچگاه به طور همگانی شیوع نمی‌یابند اما در سال آینده شاهد موارد بیشتری از این دست خواهیم بود.

زنجیره تأمین پیشرفته

این عامل حمله از همه بیشتر نگران‌کننده است و در طول 2 سال اخیر خیلی از آن سوءاستفاده شده است. برای این نوع حمله هیچ پاسخ راحتی پیدا نمی‌شود. گرچه این عامل حمله برای به دام انداختن کل صنعت (چیزی شبیه به حملاتwatering hole ) و یا حتی کل کشور (همانطور که در NotPetya شاهد بودیم) بی‌نظیر است؛ اما وقتی صحبت از حملات هدف‌دار بیشتری می‌شود این نوع حمله هیچ گزینه‌ی خوبی نیست زیرا احتمال شناسایی آن زیاد است. شاید با خود بپرسید آیا این نوع حمله می‌تواند به صورت هدفمندتری مرود استفاده قرار گیرد؟ به نظر می‌رسد در مورد نرم‌افزارها این قضیه سخت باشد زیرا هر جایی باشد از خود اثری باقی می‌گذارد و بدافزار به چندین مشتری توزیع می‌شود. به طور کلی حملات زنجیره تأمین، عامل‌های مخرب بسیار کارامدی هستند که در آینده قرار است شاهد موارد بیشتری از آن‌ها باشیم. در مورد ایمپلنت‌های سخت‌افزاری نیز فکر می‌کنیم احتمال اتفاق افتادن‌شان خیلی کم است و اگر هم اتفاق بیافتند هیچیک باخبر نخواهیم شد.

و موبایل  

این بخش، پایه ثابت پیش‌بینی‌های هر سال است. چیز جدیدی در این بخش انتظار نداریم اما باید این را هم بگوییم که این موج، دو مسیر آلودگی را طی می‌کند. یکی موبایل  و دیگری پی‌سی. واقعیت این است که در بخش اندروید حملات بیشترند تا آی‌او اس. اتفاق غیرمنتظره‌ای را برای این حوزه پیش‌بینی نمی‌کنیم اما احتمال می‌دهیم مهاجمین پیشرفته همچنان بخواهند به روش‌های مختلف وارد دستگاه‌های قربانیان شوند.

سایر موارد

مهاجمین چه برنامه‌هایی برای حملات آتی خود دارند؟ یکی از ایده‌ها در حوزه نظامی این است که شاید دیگر از نیروهای انسانی ضعیف استفاده نکنند و به جای آن‌ها بیشتر از ماشین‌ها کمک بگیرند. شاید به جای عوامل انسانی برای هک‌های دامنه کوتاه از پهپادها استفاده کنند، یا شاید برای جمع‌آوری داده‌ها در برخی از پروژه‌های رمزارز خود از بک‌در کمک بگیرند. این احتمال هم می‌رود که در پولشویی های خود از ارزها دیجیتالی استفاده کنند. نظرتان راجع به استفاده از خریدهای درون‌بازی‌ای و بعد فروختن چنین اکانت‌هایی در بازار چیست؟ خیلی وقت‌ها هم ممکن است همه‌چیز آنطور که پیش‌بینی می‌شده پیش نرود. پیچیدگی‌ای که در این فضا وجود دارد باعث می‌شود تا قطعیت و حتی احتمال هم از بین برود. حتی خود متخصصان حمله هم در حوزه‌های مختلف برایشان نقاط کوری بوجود می‌آورد که سوال‌برانگیز است. هیچگاه نمی‌توان فهمید قدم بعدی مهاجمین سایبری در کدام مسیر است. تنها کاری که از دست ما بر می‌آید این است که سعی کنیم حدس‌های معقول بزنیم، حملات را درک کنیم و کاری کنیم در آینده دیگر تکرار نشوند. 

[1]Advanced persistent threat:  تهدیدهای پیشرفته و مستمر

[2] IOT

[3] Democratic National Committee

[4]  false flag: به عملیاتهایی گفته می‌شود که توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی به گونه‌ای انجام می‌شود که این تصور به وجود آید که گروه‌ها یا کشورهای دیگری این عملیاتها را انجام داده‌اند.

[5]  post-exploitation

منبع: کسپرسکی آنلاین

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مقدمه- گرچه نحوه‌ی استفاده از محتوای تلویزیونی دارد به سرعت تغییر می‌کند اما همچنان برای خودِ محتوا تقاضا بسیار است؛ کاربران دست آخر هر کاری می‌کنند تا به این محتواها برسند (حالا چه به روش‌های قانونی و چه غیرقانونی). دنیا دارد رو به فروش برنامه‌های پولی می‌رود... نمونه‌اش هم نتفلیکس یا اپل‌موزیک. با این حال بسیاری از کشورها هنوز هم بر سر توزیع و انتشار غیرقانونی محتوا جنگ دارند. دسامبر 2018، دادگاه فدرال استرالیا طی دستور کاری اعلام کرد همه‌ی ارائه‌دهندگان داخلی اینترنت باید 181 دامنه‌ی غیرقانونی را مسدود کنند. این دامنه‌ها در واقع به 78 وبسایت لینک می‌شدند که پر بودند از فایل‌های ناقض قوانین کپی‌رایت. اوایل سال 2019، وزارت دادگستری برزیل با همکاری پلیس فدرال این کشور اقدام به آغاز عملیاتی جهت مبارزه با نقض قانون کپی کردند. هدف این عملیات مبارزه با توزیع غیرقانونی موسیقی، فیلم و نمایش‌های تلویزیونی بود.  این فقط دو مورد از چند اقداماتی است که  دولت‌ها و بخش‌های خصوصی در سراسر جهان برای مقابله با این مشکل انجام داده‌اند. اما با وجود چنین اقداماتی هنوز هم شاهد نقض قانون کپی‌رایت هستیم. بر اساس آخرین گزارش سالانه‌ی دزدی[1] توسط موسو -شرکت فناوری که کارش ارائه‌ی راه‌حل‌های ضد دزدی، تحلیل بازار و ارتباط با مخاطب است- تعداد محتواهای دزدی‌ رو به افزایش است.

این شرکت در سال 2017 بیش از 300 میلیارد بازدید از وب‌سایت‌های دزدی ثبت کرد.  افزایش 1.6 درصدی از سال 2016 و روند بین‌المللی: ایالات متحده بیشترین تعداد بازدید از وب سایت‌های دزدی را داشته است (27.9 میلیارد بازدیدکننده در سال)، به دنبال آن روسیه را داریم با 20.6 میلیارد بازدید (افزایش 46درصدی نسبت به سال 2016) و هند که ساکنانش 17 میلیارد بار به وب‌سایت‌‌های دزدی سر زدند. هنوز هم بخش اعظم محتوای دزدی مختص فایل‌های قابل دانلود است: گزارش WebKontrol 2019 ادعا می‌کند وب‌سایت‌های تورنت هنوز از نظر حجم محتوای دزدی به سرقت رفته در روسیه حرف اول را می‌زنند و بعد از آن شاهد میزبانی وب و سرویس‌های پخش هستیم. علاوه بر این، سهم لینک‌هایی که در وبسایت‌های تورنت به محتواهای غیرقانونی هدایت می‌شوند  از سال 2018 رشد 14 درصدی داشته است (از 24 درصد به 38 درصد رسیده است) و دارد گوی سبقت را از وبسایت‌های پخش برنامه نیز می‌رباید.

تورنت‌ها به عنوان منبعی سودآور همچنین روش محبوبی برای توزیع کد مخرب هستند. تا به حال مطالعات زیادی در مورد اینکه مجرمان سایبری چگونه از این فرصت سوء استفاده می‌کنند انجام شده است. بر اساس نتایجِ تحقیقی مشابه در سال 2015، 35 درصد محتواهای دزدی نشان از فایل‌هایی دارد که از طریق BitTorrent به اشتراک گذاشته بودند. بیش از 99 درصد این فایل‌های تقلبی تحلیل‌شده یا به وبسایت‌های مخرب و یا اسکم لینک می‌شدند. یافته‌های اخیر آزمایشگاه کسپرسکی و محققین مستقل این روند را تایید کرده‌اند.

اما چه محتوایی مورد هدف قرار می‌گیرد؟ ردیاب‌های تورنت در اصل جولانگاهِ آن‌هایی بودند که به دنبال نسخه‌های دزدیِ بازی‌ها و سایر نرم‌افزار‌ها و همچنین بلاک‌باسترهای هالیوود[2] می‌گشتند. با این حال، در سال‌های اخیر، نمایش‌های تلویزیونی از نظر محتوا در میان بینندگان سراسر جهان، به محبوب‌ترین نوع محتوا تبدیل شده‌اند - گاهی اوقات حتی محبوب‌تر از فیلم‌های هالیوود. طبق گزارش موسو، یک‌سوم کل کاربرانی که از محتوای دزدی استفاده می‌کنند به محتوای تلویزیونی علاقه نشان می‌دهند:  نمایش‌های تلویزیونی همچنان بین کاربران، محبوب‌ترین محصولند (سال گذشته 106.9 میلیارد بازدید داشتند). بعد از آن به محتوای موزیک می‌رسیم (با 73.9 میلیارد بازدید) و در نهایت محتوای فیلم را داریم (53.2 میلیارد بازدید).

چنین محبوبیتی محال است نظر مجرمان سایبری را به خود جلب نکند. برای اینکه بدانید آن‌ها چطور از چنین آب گل‌آلودی ماهی می‌گیرند روی چشم‌انداز تهدیدات بدافزار تحقیقاتی انجام دادیم؛ تهدیداتی که خود را به شکل اپیزودهای جدید نمایش‌های محبوب تلویزیونی توزیع‌شده توسط وبسایت‌های تورنت درآورده بودند. هدف ما این است که ببینیم کدامیک از سریال‌های تلویزیونی بیشتر از همه جولانگاه بدافزارهاست. همچنین می‌خواهیم بدانیم کدام تهدیدها از این طریق توزیع می‌شوند.

متودولوژی و یافته‌های کلیدی

برای اینکه مطمئن شویم سریال‌های تلویزیونی‌ای که رویشان تمرکز کرده‌ایم به حد کافی محبوب بودند یا نه، فهرستی از جذاب‌ترین نمایش‌های تلویزیونی 2018 را با استفاده از منابع عمومی مختلف از جمله IMDB، Rotten Tomatoes و سایر منابع رتبه‌بندی آنلاین تهیه کردیم. همچنین سریال‌هایی که از همه بیشتر قربانی بدافزارها شده بودند را نیز پیدا کردیم. در مجموع به 45 عنوان رسیدیم اما از آنجا که برخی از محبوب‌ترین نمایش‌ها همزمان در چند رتبه‌بندی ظاهر شدند کمی اصلاحات روی آن انجام دادیم و بعد به فهرست 31 تاییِ نمایش‌های تلویزیونی رسیدیم (بر طبق رتبه‌بندی‌های عمومی مختلف مانند IMDB، Rotten Tomatoes و غیره عناوین بر اساس حروف الفبا فهرست شده‌اند):

• Altered Carbon
• American Horror Story
• Arrow
• Better Call Saul
• Daredevil
• DC’s Legends of Tomorrow
• Doctor Who
• Game of Thrones
• Grey’s Anatomy
• Homeland
• House of Cards
• Killing Eve
• Legends of Tomorrow
• Modern Family
• Roseanna
• Sharp Objects
• Stranger Things
• Suits
• Supernatural
• The Big Bang Theory
• The Flash
• The Good Doctor
• The Good Place
• The Handmaid’s Tale
• The Haunting of Hill House
• The Walking Dead
• The X-files
• This Is Us
• Vikings
• Westworld
• Young Sheldon

سپس هر عنوان را با استفاده از پایگاه اطلاعات خطر خود سنجیدیم. با استفاده از آمار خطر جمع‌شده از طریق زیرساختارمان به نام KSN (شبکه امنیت کسپرسکی[3])  -که کارش پردازش اطلاعات مرتبط با امنیت سایبری است- چک کردیم ببینیم آیا کاربرانی که قبول کردند آمار خطر را با KSN به اشتراک بگذارند تا به حال حین دست وپنجه نرم کردن با سریال‌های تلویزیونی به بدافزاری برخوردند یا نه.

سپس بررسی کردیم ببینیم آیا هیچ ارتباطی بین تعداد و ترتیب اپیزودهای هر فصل و علاقه‌ی عامل بدافزار در آن‌ها وجود دارد یا نه. علاوه بر این، میزان تأثیرِ هر بدافزار را نیز تخمین زدیم و اینکه هر شویی تا چه میزان توانسته برای مهاجمین طعمه‌ی خوبی باشد. برای انجام این کار تعداد کل کاربرانی را که مورد حمله واقع شدن بودند به تعداد فایل‌های مخرب تقسیم‌بندی کردیم و همین کار را نیز روی هر سریال تلویزیونی نیز انجام دادیم. بدین‌ترتیب دستمان آمد که میانگین کاربران دست کم یک فایل مخرب شوی تلویزیونی چقدر است (البته تا حدودی). این کار خیلی به ما کمک کرد تا بتوانیم بفهمیم کدام شو از همه بیشتر در دام بدافزارها افتاده است.

در آخر نگاهی داشتیم به انواع تهدیدهایی که با پوشش سریال‌های محبوب، بیشتر از همه کاربران را مورد هدف خود قرار می‌دهند.

و حالا یافته‌های بدست‌آمده:

• تعداد کل کاربران سراسر جهان که در سال 2018 با بدافزارهای مرتبط با شوهای تلویزیونی مواجه شدند 126,340 بود؛ در حقیقت یک‌سوم کمتر از تعدادی که در سال 2017 تخمین زده شد. دیده شده است که تعداد حملات توسط چنین بدافزارهایی کاهش 22 درصدی داشته است (ثبت 451,636 اقدام).
• سه تا از برترین شوهای تلویزیونی که به عنوان تله استفاده شدند و قربانی زیادی گرفتند: Game of Thrones، The Walking Dead و Arrow.
• 17 درصد کل محتوای دزدی آلوده در سال 2018 به Game of Thrones تعلق می‌گیرد (به 20,934 کاربر حمله شد) تازه جالب است بدانید در این سال اپیزود جدیدی هم از آن بیرون نیامده بود.
• طبق تحلیل‌های ما اولین و آخرین اپیزودهای هر فصل  Game of Thrones خطرناک‌ترین‌ها بوده‌اند. در مجموعه لابراتوار کسپرسکی اولین و آخرین اپیزودهای هر فصل از این شو بیشترین تعداد فایل‌های مخرب را داشته‌اند و همچنین کاربران هم بیشتر از هر زمان دیگری آلوده شدند.
• Winter Is Coming -اولین اپیزود شو- از همه بیشتر مجرمان سایبری را به خود مشغول کرد.
• ظرف دوسال 33 نوع و 505 خانواده‌ی مختلف تهدید پشت شوی Game of Thrones شناسایی کردیم.
• به طور متوسط 2.23 کاربر در هر فایل بدافزار (در قالب شوی تلویزیونی) هفت بار مورد حمله قرار گرفتند.
• American Horror Story هم ثابت کرد که مؤثرترین کاور برای اقدامات بدافزار به حساب می‌آید- هر فایل مخرب مخفی‌شده پشت این عنوان به متوسط سه کاربر رسیده است.
• Not-a-virus:Downloader و Not-a-virus:AdWare دو تا از محبوب‌ترین تهدیدهایی بودند که از طریق محتوای شوی تلویزیونی انتقال داده شدند. خطرناک‌ترین نوع بدافزار هم همان تروجان است که دیگر همه با نام آن آشناییم.

نگاه کلی: بدافزار در راه است 

تحلیل پی‌لودهای مخرب در قالب عنوان سریال‌های محبوب تلویزیونی و مقایسه‌ی نتایج دو سال 2017 و 2018 نشان داد تعداد چنین فایل‌های مخرب، حملات و کاربران قربانی تقلیل یافته است. به طور کلی 126,340 کاربر مورد حمله واقع شدند- این یعنی یک‌سوم تعدادی که در سال 2017 تخمین زده شد (188,769). این کاهش را در کمتر جایی می‌توان شاهد بود. برای مثال گزارشات اخیر نشان می‌دهد تعداد کاربرانی که از طریق محتوای مستحجن به دام این بدافزار افتادند سال 2018 تنها 45 درصد کاهش یافت. درست مانند تعداد کاربران، تعداد بدافزارها هم همچنین کم شده است: در سال 2017 که سال بسیار خوبی برای بدافزارها بود  82,091 نمونه به پایگاه اطلاعاتی خود اضافه کردیم، این درحالیست که در سال 2018 این رقم طی کاهشی 30 درصدی به 57,133 رسید.

تعداد کل حملات شناسایی‌شده توسط راه‌حل‌های امنیتی ما نیز کم شده است اما تنها 22 درصد (451,636).

شاید دلیل چنین کاهشی را بتوان با رخدادهای امسال مربوط دانست که روی تعداد دانلودهای فایل تورنت هم تأثیر گذاشت. اول اینکه در سال 2018 گوگل بیش از 65 هزار وبسایت تورنت -توزیع‌دهندگان اصلی نمایش‌های تلویزیونی دزدی- را در رتبه‌بندی پایینی قرار داد و همین باعث شد بسیاری از کاربران نتوانند حین جست‌وجوی دانلود سریال‌ها آن‌ها را پیدا کنند. اقدامات فعالانه‌ای برای بستن وبسایت‌های تورنت صورت گرفت و همین باعث شد هر روز بیشتر و بیشتر آن‌ها را بلوکه کرده و یا به دردسر بیاندازند. برای مثال، دو ردیاب تورنت اصلی (Pirate Bay و Demonoid) اخیراً به شدت دچار افت کارکرد شده‌اند. یکی از مهم‌ترین آن‌ها Leechers Paradise که برای همیشه بسته شد.

در پاسخ، وبسایت‌هایی که کارشان پخش کپی‌های دزدیی فیلم‌ها و سریال‌هاست دارند روز به روز محبوب‌تر می‌شوند و دارند یک‌جورهایی کار و کاسبی تورنت‌ها را کساد می‌کنند. با این حال، تورنت‌ها همچنان در رأس امورند و در تلاشند کاربران بیشتری را مورد هدف خود قرار دهند. به منظور بررسی میزان تأثیر چنین بدافزارهایی تعداد کل کاربران قربانی را با تعداد کل فایل‌های آلوده‌ی شناسایی‌شده مقایسه کردیم. با تقسیم تعداد کاربران به تعداد فایل‌ها به این مسئله پی بردیم که  هر بدافزار شوی تلویزیونی متوسط 2.23 کاربر را در سال 2018 آلوده کرده است.

علاوه بر این، فهرستی از محبوب‌ترین تورنت‌های 2018 را با فهرستی از آلوده‌ترین سریال‌های تلویزیونی قیاس کردیم:

محبوب‌ترین تورنت 2018 گزارش‌شده توسط TorrentFreak در مقایسه با محبوب‌ترین سریال‌های تلویزیونی اما در باطن بدافزار

همانطور که در جدول بالا مشاهده می‌کنید، از این 10 سریال 6 سریال در هر دو ستون قرار دارند: پس هرقدر شوی تلویزیونی‌ای بیشتر محبوب باشد بیشتر هم به چشم مجرمان سایبری خواهد آمد. در عین حال، چندین نمایش تلویزیونی که سازندگانشان حسابی آن‌ها را تبلیغ کردند و قرار بود خیلی محبوبیت بدست آورند (Westworld، DC’s Legends of Tomorrow و چندتای دیگر) نتوانستند خیلی در بخش انتقال آلودگی‌‌ها موفق عمل کنند.

فایل‌های بدافزار: سریال‌هایی که اغلب اوقات آلوده می‌شوند

مجرمان سایبری به یک سری از شوهای تلویزیونی علاقه بیشتری نشان می‌دهند و این حقیقت ثابت شده است (آمار این را نشان می‌دهد). برای اینکه بدانیم کدامیک از آن‌ها بیشتر از بقیه عاملین تهدید را بیشتر به خود جذب می‌کنند شروع کردیم به بررسی و تحلیل تعداد فایل‌های بدافزار پنهان‌شده در پس عناوین تلویزیونی، اینکه چند بار به کاربران حمله کرده‌اند و طی چنین حملاتی چند کاربر قربانی شده است.

فایل‌های مخرب نشان دهنده‌ی تعداد نمونه‌های بدافزارهایی است که کاربران ما با آن‌ها مواجه شدند. منظور از Attacks تعداد دفعاتی است که راه‌حل‌های امنیتی ما گزارش شناسایی دادند و منظور از Users attacked کاربرانی هستند که (دست کم یک بار) توسط بدافزارهای مرتبط با سریال‌های تلویزیونی مورد حمله قرار گرفته‌اند.

بین همه سریال‌ها Game of Thrones بیشترین قربانی را گرفته است (توسط بدافزاری به همین نام). تعداد: 20,934. این بدافزار 129,819  بار تلاش داشت تا کاربران را آلوده کند و تعداد کل فایل‌های بدافزار با تم بازی تاج و تخت در مجموعه تهدید ما به 9,986 می‌رسد.

دومین جایگاه هم در 2017 و هم 2018 به Walking Dead اختصاص دارد: به 18,794 کاربر حمله شده است. سومین جایگاه نیز برای Arrow است (12,163 کاربر).

همچنین نگاهی دقیق داشتیم به اپیزودهای نمونه از دو تا از آخرین فصل‌های Games of Thrones (6 و 7) و فصل اول و اوریجینال آن. نتایج نشان داد تعداد فایل‌های آلوده که فناوری‌های حفاظتی ما شناسایی کردند به طور قابل‌ملاحظه‌ای از هر اپیزود به اپیزودِ دیگر متغیر بود.

برای چنین تحلیلی هم منابع لازم است و هم زمان زیادی. به همین دلیل تمرکز خود را منحصراً روی بازی تاج و تخت گذاشتیم. ما روی سه فصل مختلف GoT بررسی‌هایی انجام دادیم که البته مطمئن نیستیم همین حملات را روی فصل‌های دیگر نیز به همین روش انجام داده باشند. همانطور که قبلاً گفتیم فایل‌های بدافزار خود را شبیه شوهای تلویزیونی می‌کنند که از بین اینها Game of Thrones بیشترین تعداد قربانی را گرفت.

از شماره ده که پایین بیاییم به Walking Dead می‌رسیم. این سریال بعد از بازی تاج و تخت بیشترین موفقیت را برای فایل‌های بدافزار داشته است (2.69 کاربر به طور متوسط) سپس به ترتیب Grey’s Anatomy (2.65) و بعد Supernatural (2.34).

آناتومی تهدید: بخش‌های تهدید و انواع تهدیدها 

برای بخش‌های تهدید و انواع تهدیدها  نمونه‌هایی از محبوب‌ترین شوهای تلویزیونی 2017 و 2018 را خارج کردیم و انواع و خانواده‌های مختلف تهدیدها را شمردیم. نتیجه: شناسایی 33 نوع تهدید و 505 خانواده مختلف در پس سریال بازی تاج و تخت.

تهدید فراگیر: تروجان‌ها

بر اساس آمار، رایج‌ترین نوع تهدید، تروجان‌ها هستند. در 17 درصد همه‌ی موارد مربوط به دزدی از شوهای تلویزیونی تروجان‌ها یک پای قضیه بوده‌اند. خانواده‌ی WinLNK.Agent. یک تروجان نوع خطرناکی است از بدافزار که می تواند آسیب زیادی وارد کند (از سرقت اطلاعات گرفته تا کنترل و نظارت بر سیستم آلوده).

سناریوی معمول: کاربر یک فایل تورنت دانلود می‌کند و یا آرشیوی با میانبر به یک ایمیل دریافت می‌نماید. ابتدا فکر می‌کند کپی اپیزودی است که مدت‌ها منتظرش بوده. حال، جدا از این میانبر، آرشیو مذکور همچنین حاوی فولدری با ویژگی system خواهد بود... همین قابلیت است که آن را نامحسوس می‌کند؛ بطوریکه حتی اگرWindows Explorer هم جوری تنظیم شود که فایل‌های پنهان را نمایش دهد باز خود را نشان نمی‌دهد.

کاربر با کلیک کردن روی میانبر با امید اینکه بتواند ویدیو را تماشا کند اسکریپت AutoIt را که در فولدر مخفی جا خشک کرده است باز می‌کند.

خانواده Not-a-virus

دومین نوع تهدیدها که جزو سه تهدید محبوبند، خانواده not-a-virus است که بیشتر در قابل آگهی‌افزارها یا دانلودرها خودشان را نشان می‌دهند. not-a-virus:AdWare.Win32.FileTour. نوعی آگهی‌افزار است که شاید به لحاظ فنی نرم‌افزاری قانونی باشد اما در بسیاری از موارد کاربر مجبور است با برنامه‌ی طرف‌سومی کار کند که همان‌ها در نهایت این آگهی‌افزارها را آلوده می‌کنند.

جایگاه سوم هم متعلق است به خانواده not-a-virus اما از نوع تهدید دانلودرش. این تهدید در عین حال که بی‌گناه است اما یک‌جورهایی آزاردهنده هم هست زیرا مدام در تلاش است دانلود کند. نقشه ساده است: کاربر به دنبال شویی تلویزیونی یا سایر رسانه‌ها  وبسایتی را سر می‌زند و کلی دکمه دانلود می‌بیند.

چطور ایمن بمانیم؟

• دقت کنید ببینید وبسایت معتبر است یا نه. هیچوقت از چنین وبسایت‌هایی دیدن نکنید مگر آنکه از قانونی بودن آن‌ها مطمئن شده باشید.
• همیشه مطمئن شوید وبسایت اصل است. این کار را (قبل از دانلود) با چک کردن فرمت یو‌آر ال و یا املای نام شرکت انجام دهید. وبسایت‌های تقلبی ممکن است خیلی شبیه نسخه‌های واقعی‌شان باشند اما همیشه یک جاهایی از آن‌ها ایراد دارد که اگر کمی دقت به خرج دهید می‌توانید تفاوت آن‌ها را با نسخه‌های اوریجینال تشخیص دهید.
• به افزونه‌ی فایل دانلودشده توجه بسیاری کنید. اگر دارید اپیزودهای سریال‌های تلویزیونی دانلود می‌کنید یادتان باشد که نباید با پسوند .exe تمام شود.
• حواستان به تورنت‌هایی که استفاده می‌کنید باشد و همیشه کامنت‌هایی را که در مورد فایل‌های قابل‌دانلود می‌گذارند بخوانید. اگر کامنت‌ها بی‌ربط باشند پس احتمالاً با یک بدافزار مواجه هستید.
• روی لینک‌های مشکوک که وعده‌های رنگین می‌دهند کلیک نکنید. همیشه سعی کنید جدول زمان‌بندی خود سریال تلویزیونی را دنبال کنید.
• از راه‌حل‌های قابل‌اطمینان برای حفاظت همه‌جانبه از طیف وسیعی از تهدیدها استفاده کنید. از جمله Kaspersky Internet Security.

[1] Annual Piracy Report

[2] Hollywood blockbuster

[3] Kaspersky Security Network   

منبع: کسپرسکی آنلاین

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ طی سند نشر شده‌ای در چند روز گذشته، کنفرانس اروپا اعلام کرد هیچ گواهی مبنی بر استفاده از نرم‌افزار کسپرسکی برای مقاصد جاسوسی -به جای دولت روسیه- وجود ندارد؛ چیزی که دولت آمریکا در سال 2017 بدان اشاره کرده بود. این سند در حقیقت پاسخ کمیسیون اروپا به مجموعه پرسش‌های ارائه داده‌شده توسط جرولف آنمانز، نماینده پارلمان اروپا از طرف بلژیک در ماه مارس سال جاری بود. این پرسش‌ها در رابطه با طرح پیشنهادی‌ای بود که پارلمان اروپا در تاریخ ژوئن 2018 بدان رأی داد. بر طبق این طرح پیشنهادی، یک استراتژی کلی و مجموعه‌ای از رهنمون‌ها برای توافق سراسر سطح اروپا در حوزه‌ی دفاع سایبری ارائه شد. در این سند به دولت‌های اروپایی هشدار داده شد تا برنامه‌ها و تجهیزاتی که مخرب بودنشان تأیید شده است (می‌توان کسپرسکی را به عنوان اولین نمونه مثال زد) از فهرست خط زده و ممنوع کنند.

طرح پیشنهادیِ اتحادیه اروپا در سال 2018، کسپرسکی را شرکتی نام گذاشت که مخرب بودنش تأیید شده است

اتحادیه اروپا زمانی به این طرح رأی داد که آمریکا به تازگی استفاده از نرم‌افزارهای کسپرسکی را روی سیستم‌های دولتی ممنوع کرده بود. در واقع فرض بر این گذاشته شده بود که نرم‌افزار آنتی‌ویروس کسپرسکی به این منظور ساخته شده که اسناد و مدارک حساس را از کامپیوترهای دولتی بدزد. دولت آمریکا هیچگاه از ادعاهای خود دفاع نکرد اما با فشار آوردن روی شرکت‌ها در بخش خصوصی آمریکا برای منع استفاده از نرم‌افزار این شرکت روس دقیقاً عکس این عمل را انجام داد.

وقتی Best Buy و  Office Depot محصولات کسپرسکی را از روی قفسه‌های خود برداشتند و توییتر هم این شرکت را از تبلیغ محصولاتش روی این شبکه منع کرد، رعب و وحشتی همگانی آمریکا را فراگرفت.

این ترس و موضعِ ضدِ کسپرسکی بودن از آمریکا تجاوز و حتی به اروپا هم سرایت کرد؛ تا جایی که انگلستان به آژانس‌های دولتی و شرکت‌های خصوصی هشدار داد روی هیچیک از سیستم‌هایی که کارشان ذخیره‌سازی اطلاعات حساس است نرم‌افزار کسپرسکی استفاده نکنند. دولت هلند نیز تصمیم گرفت دیگر از محصولات کسپرسکی برای شبکه‌های دولتی خود استفاده نکند.

کسپرسکی تمام اتهامات را از سر خود باز نموده و حتی «مرکز شفاف‌سازی[1]» در سوئیس باز کرد که در آن دولت‌های اروپایی می‌توانستند بیایند و کد منبعِ آن را بازرسی کنند. به نقل از کسپرسکی در این مرکز می‌تواند تمام اطلاعات کاربران اروپایی را بدون ارسال به سرورهای روسیِ خود ذخیره‌سازی کند.

درخواست مدرک و شاهد توسط این نماینده‌ی پارلمانی از بلژیک

آنمانز در مارس 2019 نامه‌ای به کمیسیون اروپا نوشت که در آن خواستار مدرک و سند بود. او در حقیقت می‌خواست بداند بر اساس و پایه‌ای پارلمان اروپا به طرح پیشنهادی منع کسپرسکی در ژوئن 2018 رأی داده و اینکه به چه علتی آن را جزو رده‌بندیِ "مخرب‌ها" قرار داده‌اند. همچنین در این نامه به این نکته نیز اشاره شد که ممکن است اتحادیه اروپا این اخبار را به جای منابع هوشمند و موثق از مقالات مطبوعاتی گرفته باشد.

آنمانز با ذکر مأخذ از گزارشاتی از سوی دوَل آلمان، فرانسه و بلژیک نشان داد که هیچ مدرک و سندی مبنی بر تخطیِ کسپرسکی وجود ندارد. تقریباً یک سال بعد از اینکه اتحادیه اروپا توصیه کرد دولت‌های کلی نرم‌افزار کسپرسکی را ممنوع کنند، این کمیسیون اکنون به اشتباه خود اذعان نمود.

نماینده‌ی کمیسیون اروپا در تاریخ 12 آوریل در پاسخی به آنمانز چنین نوشت: «این کمیسیون در خصوص خطرناک بودن استفاده از محصولات لابراتوار کسپرسکی هیچ سند و مدرکی در دست ندارد».

با این وجود، این نامه از سوی اتحادیه‌ اروپا نمی‌تواند جای خسرانی که در به سهم بازار متوجه کسپرسکی شد بگیرد. سهم بازار این شرکت بعد از اینکه دولت آمریکا محصولات کسپرسکی را منع کرد و پارلمان اتحادیه اروپا نیز به آن طرح پیشنهادی رأی داد به طور قابل‌ملاحظه‌ای افت کرد. اما خوبی‌اش این بود که کسپرسکی با روسفیدی رد اتهام شد.

شاید در پی نشر این اذعان‌نامه‌ی رسمی که کسپرسکی موازین اخلاقی را زیر پا نگذاشته است، این فروشنده‌ی روسیِ آنتی‌ویروس روی برخی تصمیمات خود تجدیدنظر کند از جمله اینکه از شراکت خود با شرکت Europol کناره‌ بگیرد؛ شراکتی که به دستگیریِ مجرمان سایبریِ بی‌شماری منجر شد و پروژه‌ی NoMoreRansom را در پی داشت.

یوجین کسپرسکی، مؤسس شرکت کسپرسکی در نشست تحلیل امنیت این شرکت اظهار داشت منع استفاده از محصولات کسپرسکی توسط دولت آمریکا مجرمان سایبری را خوشحال نیز کرده است.  

[1] Transparency Center

استارت‌اپ‌ها را کسانی می‌سازند که ایده‌ی نابی در سر داشته‌اند و می‌خواستند آن را هر چه سریعتر اجرایی کنند. در چنین مواردی، معمولاً سرمایه کم است و هزینه‌ها بالا (توسعه‌ی محصول، تبلیغ و بقیه ماجرا). استارت‌آپی‌های نوظهور هنگام مدیریت اولویت‌ها اغلب مسائل مربوط به امنیت اطلاعات را نادیده می‌گیرند. این مقاله به شما توضیح می‌دهد چرا چشم‌پوشی از جنبه‌ی امنیت اطلاعات می‌تواند به استارت‌آپ‌ها آسیب بزند.

هرقدر استارت‌آپ آسیب‌پذیرتر باشد، کار هکر آسان‌تر می‌شود

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بسیاری از استارت‌آپ‌ها برای صرفه‌جویی در هزینه‌ها بخش امنیتی را فاکتور می‌گیرند. عقیده‌شان هم این است که چون شرکتی کوچک هستند و منابعشان نیز محدود است مجرمان سایبری رغبتی برای حمله نخواهند داشت. اما حقیقت این است که هر کسی و هر شرکتی می‌تواند خوراک خوبی برای یک جرم سایبری باشد. اول اینکه چون بسیاری از تهدیدات سایبری در مقیاس‌های بزرگ صورت می‌گیرد، عاملین این تهدیدات اهدافی بزرگ در سر دارند و سعی می‌کنند تا آنجا که بشود افراد و شرکت‌ها را قربانی کنند (به امید اینکه دست‌کم چند تای آن‌ها برایشان فایده داشته باشند). دوم اینکه استارت‌آپ‌هایی که معمولاً دیواره‌ی حفاظتیِ ضعیفی دارند طعمه‌های خوبی برای مجرمان سایبری‌اند.

درحالیکه سازمان‌ها برخی اوقت ماه‌ها وقت را صرف ریکاوریِ یک حمله‌ی سایبری می‌کنند، یک شرکت کوچک ممکن است یک ماه هم دوام نیاورد. در سال 2014، اقدامات خصومت‌آمیز مجرمان سایبری منجر به بسته شدن استارت‌آپی به نام  Code Spaces شد؛ میزبانی که برای مدیریت پروژه‌ها مشترک ابزار ارائه می‌داد. مهاجمین به منابع ابری این شرکت دسترسی پیدا کردند و بخش قابل‌توجهی از اطلاعات مشتریران را از بین بردند. صاحبان این سرویس تا آنجا که می‌شد اطلاعات ریستور کردند اما نهایتاً نتوانستند به راندمان اجرایی همیشگیِ خود بازگردند.

اشتباهاتی که ممکن است به قیمت از بین رفتن شرکت‌تان تمام شود

برای آنکه از استارت‌آپ خود نهایت حفاظت را بعمل آورید (با توجه به بودجه‌ی محدودی که در اختیار دارید) بهتر است پیش از راه‌اندازی استارت‌آپ، یک مدل تهدیدی بسازید تا بدانید کدام ریسک‌ها به حوزه‌ی کسب و کار شما مربوط می‌شود. در ادامه با ما همراه شوید تا کمک‌تان کنیم بتوانید از برخی اشتباهات معمول که خیلی از کارآفرینان تازه‌کار مرتکب می‌شوند جلوگیری کنید.

عدم اطلاعات در مورد قوانین ذخیره‌سازی و پردازش داده‌های شخصی

بسیاری از دولت‌ها سعی دارند امنیت شهروندان خود را حفظ کنند. اروپا که GDPR[1] را دارد. در آمریکا هم که قوانین به فراخور هر صنعت و ایالت تغییر می‌کنند. همه‌ی این قوانین -صرف‌نظر از اینکه آن‌ها را قبلاً خوانده‌اید یا نه- اعمال می‌شوند.

مجازات نقض چنین الزامات قانونی‌ای ممکن است در هر جایی متفاوت باشد اما به طور کلی چشم‌پوشی از هر یک از این قوانین می‌تواند حسابی شما را به دردسر بیاندازد. در بدترین حالت ممکن مجبور خواهید بود عملیات استارت‌آپ خود را در حالت تعلیق نگه دارید تا هرگونه مغایرت با قوانین مربوطه از میان برداشته شود.

یک چیز مهم‌تر: برخی‌اوقات پوشش‌دهی یک قانون می‌تواند بیش از حد انتظار شما گسترده باشد. برای مثال،  GDPR روی اطلاعات تمامی شهروندان اروپایی اعمال می‌شود حتی آن‌هایی که از روسیه یا آمریکا هستند. بنابراین، بهترین سیاست این است که هم قوانین داخلی مورد بررسی قرار داده شود و هم مقررات و ضوابط مشتریان و شرکایتان.

حفاظت ضعیف از منابع ابری

بسیاری از استارت‌آپ‌ها به سرویس‌های ابری عمومی مانند Amazon AWS یا Google Cloud متکی‌اند؛ اما همه‌ی آن‌ها هم برای چنین فضاهای ذخیره‌ای از تنظیمات امنیتی مناسبی استفاده نمی‌کنند. در بسیاری از موارد، کانتینرهای اطلاعات مشتری یا کدِ اپ وبی به غیر از یک مشت رمزعبور ضعیف  با چیز دیگری محافظت نمی‌شوند. بدین‌ترتیب اسناد و مدارک سازمانی خیلیراحت‌می‌توانند با لینک‌های مستقیم مورد دسترسی قرار گرفته و برای موتورهای جست‌وجو نیز عیان باشند. در نتیجه، هر کسی می‌تواند به داده‌های حیاتی دسترسی پیدا کند. برخی‌اوقات استارت‌آپ‌ها که مدام در تلاشند همه‌چیز را ساده نگه دارند، داکیومنت‌های مهم را تا همیشه برای همگان در Google Docs قابل دسترسی می‌گذارند. دلیل این کار هم فقط این است که آن‌ها یادشان می‌رود دسترسی به آن‌ها را محدود کنند.

عدم آمادگی در برابر حملات DDoS

DDoS روشی کارامد برای از کار انداختن یک منبع داخلی است. چنین سرویس‌هایی روی دارک‌نت[2] بسیار مقرون به صرفه هستند و بنابراین هم رقبا و هم مجرمان سایبری (از چنین سرویس‌هایی برای پوشش اقدامات پیچیده‌تر خود استفاده می‌کنند) می‌توانند این هزینه را تقبل کنند.

در سال 2016، یک سرویس رمزارز  e-wallet (کیف پول الکترونیکی) به نام Coinkite مجبور شد بسته شود زیرا مدام مورد حملات DDoS قرار می‌گرفت. به نقل از توسعه‌دهندگان از وقتی این سرویس راه‌اندازی شد یک لحظه روی آرامش را به خود ندیدند. نهایتاً بعد از کلی دست و پا زدن، این شرکت تسلیم شد و تمرکز خود را باری دیگر روی کیف‌پول‌های سخت‌افزاری گذاشت.

آگاهی پایین کارمندان

در هر کسب و کاری اغلب این افراد هستند که میزان آسیب‌پذیری را بالا می‌برند. مهاجمین با استفاده از ترفندهای مهندسی اجتماعی خوب می‌دانند چطور به یک شبکه‌ی سازمانی نفوذ کنند و یا اطلاعات محرمانه را از شرکت بیرون بکشند.

آگاهی پایین کارمندان می‌تواند این موضوع را برای شرکت‌هایی که نیروهایشان بیشتر دورکار هستند چالش‌برانگیز کند: دیگر نمی‌توان به سادگی روی اینکه کارمندان از کدام دستگاه‌ها و کدام شبکه‌ها برای موارد کاری استفاده می‌کنند نظارت داشت. بنابراین، خیلی مهم است که کارکنان سازمان نسبت به موارد امنیتی هشیار باشند.

چطور یک استارت‌آپ می‌تواند شناور باشد؟

برای اینکه از گزند خطرات و آسیب‌های مجرمان سایبری مصون بمانید و همچنان فعالیت تجاری خود را ادامه دهید، هنگام طرح‌ریزی برنامه‌های کسب و کارتان به موارد زیر توجه کنید:

بگردید ببینید کدام منابع بیشتر به محافظت نیاز دارد و در مراحل اولیه بهتر است از کدام ابزارهای امنیتی استفاده کنید. در حقیقت بسیاری از ابزارهای امنیتی چندان هم گران نیستند.
برای حفاظت از دستگاه‌های کاری و اکانت‌هایتان از رمزعبورهای قوی استفاده کنید. راه‌حل Kaspersky Small Office Security ما شامل بسته‌ی  Kaspersky Password Manager است که هم رمزعبورهایی قوی تولید می‌کند و هم آن‌ها را در کانتینرهای رمزگذاری‌شده‌ای قرار می‌دهد. احراز هویت دوعاملی را نیز فراموش نکنید.... این ترفند خیلی به امنیت اطلاعات کمک می‌کند.
قوانین ذخیره اطلاعات هر کشوری که در آن قصد فعالیت سازمانی دارید به دقت مرور کنید و مطمئن شوید ذخیره‌سازی اطلاعات شخصی‌تان و همچنین پردازش جریان کاری با این قوانین تطابق داشته باشد. در صورت امکان، در مورد چالش‌ها و ضعف‌های بازار مورد نظر با وکیلان متبحر مشورت کنید.
چشمتان را روی هرگونه سرویس امنیتی و نرم‌افزاری طرف‌سوم ببندید. سیستم محافظتی مشترکی که از آن استفاده می‌کنید تا چه حد محافظت می‌شود؟ آیا میزان شما مطمئن است؟ آیا هیچیک از این آسیب‌پذیری‌های شناخته‌شده در آرشیو منبع بازی که استفاده می‌کنید وجود دارند؟
آگاهی امنیت سایبری کارمندان خود را بالا ببرید و آن‌ها را به جست‌وجو در مورد سوژه‌های مورد نظر خود ترغیب کنید. اگر شرکت شما هیچ متخصص امنیت سایبری (در اختیار) ندارد، دست‌کم فردی را پیدا کنید که کمی علاقه داشته باشد متن‌های وبلاگ ما را دنبال کند.
حفاظت زیرساختار کامپیوترها را فراموش نکنید. ما برای شکوفا شدن شرکت‌های نوپا با بودجه‌ی محدود راه‌حلی داریم که نظارت امنیتی روی ایستگاه‌های کار و سرورها را اتوماتیزه کرده و پرداختی‌های آنلاین را ایمن‌تر خواهد نمود. بدین‌ترتیب دیگر نیازی به مهارت‌های مدیریتی هم نخواهد بود.

[1]مقررات عمومی حفاظت از داده اتحادیه اروپا

[2] Darknet

منبع: کسپرسکی آنلاین

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اوایل ماه مارس فناوری‌های امنیتیِ پیشگیرانه‌ی ما اکسپلوینتی را کشف کرد. در حقیقت این اکسپلویت برای آسیب‌پذیری‌ای در ویندوزِ مایکروسافت می‌باشد. این تحلیل، نشانگرِ آسیب‌پذیریِ روز صفر در دوست قدیمی‌مان win32k.sys (که قبلاً چهار بار شاهد آسیب‌پذیری‌های مشابهی در آن بودیم) بود. ما مشکل را به توسعه‌دهنده گزارش دادیم. بدین‌ترتیب آسیب‌پذیری با یک وصله (پچ) که تاریخ 10 آوریل عرضه شد برطرف گشت.

با چه آسیب‌پذیری‌ای طرف حساب هستیم؟

CVE-2019-0859 یک آسیب‌پذیریِ Use-After-Free در عملکرد سیستم می‌باشد که کارش مدیریت دیالوگ باکس[1] است (به طور دقیق‌تر مدیریت انواع مختلف آن‌ها). این الگوی اکسپلویت، نسخه‌های 64 بیتیِ سیستم‌عامل را مورد هدف خود قرار می‌دهد (از ویندوز 7 گرفته تا آخرین ساخته‌های ویندوز 10).

بهره‌برداری از این آسیب‌پذیری به بدافزار اجازه می‌دهد اسکریپتِ نوشته‌شده توسط مهاجمین را دانلود و اجرا نماید که در بدترین حالت خود می‌تواند منجر به نظارت کامل مهاجم روی دستگاه پی‌سیِ آلوده شود.  بدین‌ترتیب مجرمان سایبری می‌توانند با استفاده از این آسیب‌پذیری بک‌درِ ساخته‌شده توسط Windows PowerShell را نصب کنند. اگر بخواهیم به مسئله به طور فرضی نگاه کنیم، این کار به مجرمان سایبری اجازه می‌دهد تا همچنان مخفی باقی بمانند. از این طریق، پی‌لود لود می‌شود و بعد می‌توان براحتی به کل سیستم آلوده دسترسی پیدا کرد.

چطور در برابر این اکسپلویت ایمن بمانیم؟

تمامی روش‌های حفاظتی زیر بارها در مقالات قبلی‌مان ذکر شده‌ است و چیز جدیدی هنوز بدان‌ها اضافه نگشته:

ابتدا، برای بستن آسیب‌پذیری از مایکروسافت، آپدیت را دریافت کنید.

مرتباً همه‌ی نرم‌افزارهای استفاده‌شده در کامپیوتر خود را به روز نمایید؛ خصوصاً سیستم‌عامل که باید به آخرین نسخه‌ی خود به روز شود.

از راه‌حل‌های امنیتی که مجهز به فناوری‌های تحلیل رفتار هستند استفاده کنید؛ آن‌ها می‌توانند حتی وقتی تهدیدها هنوز در مرحله‌ی ناشناختگی به سر می‌برند نیز مورد شناسایی قرار گیرند.

اکسپلویتِ آسیب‌پذیریِ CVE-2019-0859 ابتدا با استفاده از «موتور شناسایی رفتار[2]» و فناوری‌های «جلوگیریِ خودکار از اکسپلویت[3]» شناسایی شد که در حقیقت بخشی از راه‌حل اندپوینت سکیوریتیِ کسپرسکی برای کسب و کار[4] به حساب می‌آیند.

اگر مدیران یا تیم امنیت اطلاعات به درک عمیق‌تری از روش‌های شناسایی تهدیدهای روز صفرِ مایکروسافت نیاز دارند پیشنهاد ما روز صفرهای سه‌ماهه‌ی ویندوزی است.

[1]یک پنجره‌ی موقتی که اپلیکیشن برای بازیابی ورودی کاربر استفاده می‌کند.

[2] Behavioral Detection Engine

[3] Automatic Exploit Prevention

[4] Kaspersky Endpoint Security for Business

منبع: کسپرسکی آنلاین

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ طبق تحقیقات جدید لابراتوار کسپرسکی، مجرمان سایبری همواره در حال استفاده از اپیزودهای محبوب نمایش‌های تلویزیونی برای توزیع و نشر بدافزار به طرفدارانند. Game of Thrones [1]، The Walking Dead و Arrow از آن قِسم نمایش‌هایی هستند که مهاجمین برای فایل‌های مخرب خود به کرات استفاده می‌کنند.

نمایش‌های تلویزیونی شکل جهانیِ تفریح و سرگرمی‌اند و با رواجِ پخش‌ آنلاین و روش‌های مختلف توزیع دیجیتال، تماشاگران اکنون قادرند بدون اینکه مجبور باشند شوها را به طور آنلاین ببینند به نمایش‌های تلویزیونی دسترسی پیدا کنند. در بسیاری از جاها برنامه‌های محبوب همچنین از طریق کانال‌های غیرقانونی مانند ردیاب‌های تورنت[2] و پلت‌فرم‌های غیرقانونی پخش نیز مورد استفاده قرار می‌گیرند.

برخلاف منابع قانونی، ردیاب‌های تورنت و فایل‌های میزبان ممکن است کاربر را مجبور به دانلود فایلی کنند که شبیه به اپیزودی از یک شوی تلویزیونی است؛ اما در حقیقت بدافزاری با نامی مشابه است. محققین لابراتوار کسپرسکی وقتی دیدند چطور نمایش‌های تلویزیونیِ دانلود شده از منابع غیرقانونی می‌توانند انقدر راحت جای خود را به نسخه‌های حاملِ بدافزار دهند بررسی دقیق‌تری روی این فایل‌های دستکاری‌شده انجام دادند- فایل‌هایی که متعلق به هر دو سال 2017 و 2018 بودند. در هر دو سال، Game of Thrones سرآمدِ شوهای تلویزیونی‌ای بود که توسط مجرمان سایبری (با هدف توزیغ بدافزار) مورد هدف قرار گرفت. این شو در سال 2018 نزدیک 17 درصد کل محتوای آلوده را با 20,934 کاربرِ قربانی به خود اختصاص داد. با اینکه در سال 2018، هیچ اپیزود جدیدی از شوی Game of Thrones منتشر نشده بود، در همین سال، نمایش‌های تلویزیونی محبوب داشتند با قوی‌ترین کمپین‌های تبلیغاتی تبلیغ می‌شدند. دومین شوی محبوب که مورد هدف قرار گرفت The Walking Dead بود (18,794 کاربر مورد حمله قرار گرفتند) و بعد شوی Arrow که با 12,163 قربانی در جایگاه سوم قرار گرفت.

در هر موردِ بررسی‌شده، توزیع‌گرانِ این بدافزار تمرکز خود را روی اولین و آخرین اپیزودِ هر فصل می‌گذاشتند. برای مثال، اپیزود The Winter is Coming فصل یک بالاترین سطح حمله را داشته است.

آنتون ایوانوو، محقق امنیتی لابراتوار کسپرسکی چنین می‌گوید: «به وضوح می‌توانیم ببینیم که توزیع‌گران این بدافزار نمایش‌های تلویزیونی‌ای را مورد بهره‌برداری قرار می‌دهند که بیشترین تقاضا را در وب‌سایت‌های تقلبی (دزد دریایی) دارند؛ این شوها معمولاً سری فیلم‌های اکشن یا درام هستند. اواین و آخرین اپیزودها برای مخاطبین بیشترین کشش را دارد. کاربران باید بدانند که حین تماشای این بخش‌ها به مراتب بیشتر از زمان‌های دیگر در معرض خطر مهاجمین سایبری قرار دارند. در حقیقت مجرمان سایبری از صبر و وفاداری افراد سوءاستفاده می‌کنند و از همین رو با تضمین نام تجاری‌ای محبوب، کاربر را مجاب به دانلود می‌کنند (فایلی که یک خطر سایبری تمام‌عیار است). فراموش نکنید که آخرین فصل Game of Thrones همین ماه شروع می‌شود؛ بنابراین به شما کاربران هشدار می‌دهیم حواستان به بدافزارها باشد».

لابراتوار کسپرسکی به منظور جلوگیری از خطرات این فایل‌های مخرب که خود را در قالب دانلود شوهای تلویزیونی به شما نمایان می‌کنند، اقدامات زیر را توصیه می‌کند:

o تنها از سرویس‌های قانونی که در تولید و پخش محتوای تلویزیونی و دانلود نمایش‌ها سرشناس هستند استفاده کنید.

o حین دانلود فایل‌ها به پسوند فایل توجه کنید. حتی اگر اپیزودهای نمایش تلویزیونی را از منبعی که فکر می‌کنید معتبر و قانونی است دانلود کرده باشید باز هم دقت کنید که فایل، پسوند .avi، .mkv یا mp4 داشته باشد. اگر پسوند فایل .exe بود آن را دانلود نکنید.

o همچنین پیش از پخش یا دانلود هر شویی به قانونی بودن وبسایت توجه دوچندان کنید. مطمئن شوید که وبسایت اوریجینال باشد: پیش از هر گونه دانلود این کار را با دوباره چک کردن فرمت یوآراِل یا املای نام شرکت انجام دهید. همچنین مطمئن شوید لینک با  HTTPS:// شروع شود.

o روی لینک‌های مشکوک مانند آن‌هایی که قولِ نمایشِ پیش از موعد شوها را می‌دهند کلیک نکنید؛ جدول زمانی نمایش تلویزیونی را چک نموده و تنها از روی آن برنامه‌ها را دنبال نمایید.

o برای حفاظتی همه‌جانبه در برابر طیف وسیعی از خطرات، از راه‌حل امنیتیِ مطمئنی همچون Kaspersky Security Cloud استفاده کنید.

مرکز مدیریت راهبردی افتای ریاست جمهوری، طرح امن سازی زیرساخت‌های حیاتی را در قبال حملات سایبری تدوین و برای اجرا به تمامی دستگاه‌های اجرایی دارای زیرساخت حیاتی کشور ابلاغ کرد.
به گزارش روابط عمومی مرکز مدیریت راهبردی افتای ریاست جمهوری، هدف این طرح که از امروز به تمامی دستگاه‌های زیرساختی کشور ابلاغ شده است، ارتقاء امنیت فضای تولید و تبادل اطلاعات هر سازمان و جلوگیری از بروز اختلال در ارائه سرویس‌های حیاتی آنهاست. 
رضا جواهری رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری در این باره گفت: مسئولیت امنیت سایبری در هر حوزه‌ی زیرساختی کشور با بالاترین مقام آن دستگاه است و انتظار می‌رود برای پیشگیری از وقوع حوادث احتمالی، طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری در هر دستگاه زیرساختی و واحدهای تابع آن با بهره‌گیری از ظرفیت بخش خصوصی دارای مجوز با قید فوریت، عملیاتی شود.
آقای جواهری افزود: با توجه به مخاطرات نوظهور درعرصه‌ی فناوری اطلاعات و ارتباطات، این طرح با بازنگری همه جانبه در نسخه ابلاغی اسفند ۱۳۹۲ با بیش از ۱۸ ماه کار مداوم، تحقیق، پژوهش، بررسی آسیب‌ها و توانمندی‌های سایبری و ارزیابی ظرفیت امنیت سایبری و صرف افزون بر ۷۲ هزار ساعت نفرکار تدوین نهایی و ابلاغ شده است.
وی تصریح کرد: نسخه جدید طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری شامل الزامات امنیتی اولویت دار، نقشه راه اجرا و مدل ارزیابی بلوغ امنیتی است.
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری گفت: این مرکز با دریافت بازخوردهای مختلف از زیرساخت‌های حیاتی، بخش خصوصی ارائه دهنده‌ی خدمات افتا و همچنین متخصصان فنی این حوزه، نسخه‌ی بازنگری شده این سند را تدوین کرده است تا سازمان‌ها به سوی نظم بخشی و ساماندهی فعالیت‌های تضمین  امنیت سایبری رهنمون شوند.
آقای جواهری گفت: هدف از الزامات طرح امن سازی، جهت دهی راهبردی به فعالیت‌های ملی در حوزه‌ی امنیت سایبری زیرساخت‌ها و ارائه‌ی یک نقشه راه برای توسعه‌ی همزمان امنیت سایبری در بخش‌های مختلف کشور است.
وی با اشاره به اهمیت مدیریت مخاطرات در طرح امن سازی زیرساخت‌های حیاتی در برابر حملات سایبری گفت: مدیریت مخاطرات در این طرح امن سازی، فرآیندی مستمر است که در آن تهدیدات و آسیب پذیری‌های موجود در یک سازمان شناسایی و ارزیابی می ‌شوند تا با انجام اقدامات امن سازی، مخاطرات احتمالی سایبری مدیریت شوند.
آقای جواهری ضمن مقایسه این طرح با طرح امن سازی اسفند ۱۳۹۲ گفت: در طرح جدید به مدل بلوغ امن سازی توجه خاصی شده و برای اندازه گیری پیشرفت امن سازی، سطوح چهارگانه شاخص بلوغ در نظرگرفته شده است تا سازمان‌های دارای زیرساخت حیاتی بتوانند با سنجش سطح بلوغ امنیتی حوزه‌ی خود برای ارتقاء آن تلاش کنند.
رئیس مرکز مدیریت راهبردی افتای ریاست جمهوری، اطلاعات موجود در هر دستگاه زیرساختی را جزء دارائی‌ها و سرمایه‌های ارزشمند کشور خواند و گفت: اجرای دقیق طرح امن سازی زیرساخت‌های حیاتی در قبال حملات سایبری می‌تواند امنیت لازم را برای تولید و تبادل اطلاعات به‌وجود آورد.
 

وزارت دادگستری آمریکا با انتشار گزارشی از پلیس فدرال آمریکا به علت تأخیر در اطلاع رسانی به قربانیان حملات سایبری انتقاد کرده و افزوده که جزئیات ارائه شده به آنان نیز اندک و ناکافی است.

به گزارش خبرگزاری مهر به نقل از زددی نت، گزارش یادشده با بررسی و تحلیل عملکرد یکی از برنامه‌های اف بی آی به نام Cyber Guardian تهیه شده است. این برنامه برای ذخیره سازی اطلاعات مربوط به تحقیقات و فعالیت‌های روزمره پلیس آمریکا مورد استفاده قرار می‌گیرد.

برنامه یادشده همچنین به مأموران اف بی آی امکان می‌دهد تا اطلاعات مفصلی را در مورد قربانیان حملات سایبری وارد کنند تا بعدها از این اطلاعات برای آگاه کردن این افراد از طریق ارسال پیام خودکار استفاده شود. اما نکته مهم این است که مأموران اف بی آی از این سیستم به شیوه‌ای مطلوب نیز استفاده نمی کرده اند.

بر اساس مصاحبه‌هایی که با ۳۱ مأمور اف بی آی انجام شد، مشخص شد که علیرغم ورود اطلاعات ۲۹ قربانی در برنامه یادشده هرگز پیام هشدار و اطلاع رسانی برای آنها ارسال نشده و علت این مساله اهمال و بی توجهی بوده است.

در گزارش یادشده تصریح گردیده که مواردی از درج اطلاعات غلط قربانیان نیز مشاهده شده است. این اطلاعات از غلط‌های تایپی تا اشتباه در طبقه بندی میزان اهمیت حمله سایبری رخ داده را در بر می‌گیرد. در نهایت دقت و صحت اطلاعات درج شده در این برنامه بسته به میزان حساسیت و وظیفه شناسی مأموران اف بی آی متفاوت بوده است.

اف بی آی در واکنش به گزارش مذکور، اعلام کرده برای کاهش این نوع مشکلات در حال طراحی برنامه جدیدی موسوم به CyNERGY است که جایگزین Cyber Guardian خواهد شد.

گزارش جدید مؤسسه امنیتی سونیک وال نشان می‌دهد میزان حملات سایبری در جهان در سال ۲۰۱۸ افزایش یافت. این شرکت به عنوان نمونه به افزایش ۵۳ درصدی حملات بدافزاری اشاره کرده است.

به گزارش خبرگزاری مهر به نقل از آسین ایج، در گزارش تهدیدات سایبری سال ۲۰۱۹ این مؤسسه که با بررسی اطلاعات جمع آوری شده از طریق بیش از یک میلیون حسگر «سونیک وال» تهیه شده، تصریح شده که میزان حملات باج افزاری در جهان هم در سال ۲۰۱۸ نسبت به سال قبل از آن ۴۹ درصد افزایش یافته است.

در حالی که حملات سایبری در اکثریت قریب به اتفاق کشورهای جهان در حال افزایش است، هند و انگلیس از معدود کشورهایی هستند که با اقدامات انجام شده موفق شدهاند میزان حملات سایبری را در داخل کشورهای خود کاهش دهند.

«سونیک وال» ۳.۹ تریلیون حمله سایبری مختلف را در بیش از ۲۱۵ کشور جهان مورد تجزیه و تحلیل قرار داده و روزانه بیش از ۲۰۰ هزار نوع بدافزار مختلف را شناسایی و با نمونه‌های قبلی مقایسه کرده تا از شدت فعالیت‌های مخرب در این حوزه مطلع شود.

بررسی‌های این شرکت نشان داده علت کاهش حملات سایبری در برخی کشورها عبارت است از تمهیدات اندیشیده شده توسط شرکت‌های بزرگ تجاری به منظور ایمن سازی شبکه‌های رایانه‌ای و جلوگیری از نفوذ بدافزارها و باج افزارها به درون رایانه‌ها و گوشی‌ها، استفاده از فناوری‌های هوشمند برای پیش بینی فعالیت‌های بدافزاری و جلوگیری از غافلگیری و مسدود کردن راه‌های نفوذ آنها و در نهایت ارائه آموزش‌های گسترده عمومی.

از جمله دیگر یافته‌های این گزارش می‌توان به بلوکه شدن ۱۰.۵۲ میلیارد حمله بدافزاری در سال ۲۰۱۸، افزایش ۲۱۷.۵ درصدی حملات سایبری به زیرساخت‌های اینترنت اشیا، بلوکه شدن ۲.۸ میلیون حمله بدافزاری رمزگذاری شده که نسبت به سال ۲۰۱۷ حدود ۲۷ درصد افزایش یافته و افزایش ۵۶ درصدی حمله به اپلیکیشن های تحت وب اشاره کرد

 با وجود نگرانی کاربران رسانه‌های اجتماعی درباره امنیت اطلاعاتشان اما تاکنون گزارش‌های زیادی از جاسوسی شرکت‌های فن‌آوری مانند گوگل و فیسبوک از کاربران منتشر شده است.

به گزارش گروه بین‌الملل خبرگزاری میزان، با وجود نگرانی کاربران رسانه‌های اجتماعی درباره امنیت اطلاعاتشان اما تاکنون گزارش‌های زیادی از جاسوسی شرکت‌های فن‌آوری مانند گوگل و فیسبوک از کاربران منتشر شده است.

جاسوسی روزانه گوگل از کاربران اینترنت

یک تحقیق دانشگاهی نشان می‎دهد که موتور جستجوگر گوگل روزانه ۳۴۰ بار درباره موقعیت کاربران اینترنت جاسوسی می‌کند.

این نخستین بار نیست که گوگل متهم به جمع‌آوری اطلاعات کاربران خود به طور آشکارا و به شیوه‌ای مبهم می‌کند.

مطالعه جدید نشان می‌دهد که گوگل از طریق اندروید و مرورگر گوگل کروم اقدام به جمع‌آوری اطلاعات کاربران و جاسوسی از موقعیت آنها می‌کند.

گوگل بارها و بارها هدف مطالعه و تحقیق دانشمندان قرار گرفته و این بار پژوهشگران دانشگاه «وندربیلت» آمریکا تحقیقاتی را در این زمینه انجام داده و به این نتیجه رسیده‌اند که کروم و اندروید حتی بدون اجازه کاربران، اطلاعات آنها را به گوگل می‌فرستند.

هشدار روسیه به گوگل به دلیل دخالت در انتخابات این کشور

ماه سپتامبر سال گذشته میلادی معاون اداره نظارت بر اجرای قوانین امنیتی دادستانی روسیه به شرکت گوگل درباره مداخله در انتخابات روسیه هشدار داد.

آلکسی ژافیاروف اعلام کرد: دادستانی روسیه در نامه ای به گوگل گوشزد کرده است که مداخله در انتخابات روسیه را غیرقابل قبول می داند.

جریمه گوگل از سوی اتحادیه اروپا

اتحادیه اروپا گوگل را به پرداخت جریمه بی سابقه ۴.۳۴ میلیارد یورویی محکوم کرد.

شرکت گوگل متهم شده بود که قوانین رقابتی اتحادیه اروپا را نادیده گرفته است.

مارگارت وستاگر کمیسر اروپا در امور رقابت‌های بازرگانی اعلام کرد که گوگل از برتری مطلق خود به‌عنوان موتور جستجوگر اول جهان برای فروش محصولاتش استفاده کرده است.

درخواست اتحادیه اروپا برای کنترل بیشتر شبکه‌های اجتماعی
 
ماه آوریل سال گذشته کمیسیون اروپا به شرکت های ارائه کننده شبکه های اجتماعی هشدار داد درصورتی که برای جلوگیری از انتشار اخبار جعلی در شبکه های خود تلاش نکنند،با اقدامات سختگیرانه ای مواجه خواهند شد.

کمیسیون اروپا افزوده است: شرکت های فناوری مانند گوگل و فیسبوک ظرف 6 ماه آینده بایستی تلاش های خود را برای جلوگیری از انتشار اخبار جعلی در شبکه های اجتماعی افزایش دهند،درغیر این صورت با اقدامات سختگیرانه و سازمانی اتحادیه اروپا مواجه خواهد شد.

پنهان‌کاری فیسبوک و به اشتراک گذاشتن اطلاعات کاربران با  ۱۵۰ شرکت

سال‌ها است که فیسبوک به برخی از بزرگترین شرکت‌های فناوری، اطلاعات اجازه دسترسی به اطلاعات شخصی کاربران را داده است.

براساس سوابق داخلی و مصاحبه‎ها، فیسبوک شرکای تجاری خود را از رعایت قوانین معمول حفظ حریم شخصی معاف کرده است.
براساس اسنادی که در این ارتباط به دست نیویورک تایمز رسیده، مشخص می‌شود چگونه اطلاعات شخصی افراد به کالای پر ارزش عصر دیجیتال تبدیل شده که در مقیاس وسیعی توسط شرکت‌های قدرتمند سیلیکون وَلی و دیگر شرکت‌ها مورد معامله قرار می‌گیرد.
 
در همین راستا فیسبوک نیز از قدرت فوق العاده اطلاعات شخصی ۲.۲ میلیارد کاربر خود در فقدان و ضعف شفافیت و نظارت‌های بیرونی برای کسب درآمد بیشتر استفاده کرد.
به گزارش نیویورک تایمز، نتفلیکس و اسپاتیفای از جمله شرکت‌هایی بودند که اجازه دسترسی و خواندن پیام‌های خصوصی کاربران فیسبوک را داشته‎اند. مایکروسافت، آمازون و یاهو از دیگر شرکت‌های برخوردار از این امکان بودند.
 
قرار دادن اطلاعات در اختیار کمپین ترامپ
 
فیسبوک در دوران انتخابات ریاست جمهوری آمریکا نیز اطلاعات چند ده میلیون کاربر آمریکایی را در اختیار کمپین ترامپ قرار داده بود. در پی رسوایی‌های اخیر، سهام فیسبوک به شدت کاهش یافت. کاربران عصبانی این شبکه اجتماعی نیز جنبشی را با هشتگ "فیسبوک را پاک کنید" #DeleteFacebook آغاز کردند.
 
بیشتر بخوانید: افشای پنهان‎کاری فیسبوک
نیویورک تایمز نوشت فیسبوک که همواره ادعا کرده هیچگاه اطلاعات کاربران خود را به فروش نرسانده است، راه حل بهتری برای مخفی کردن این موضوع از کاربران و رقبای خود و نیز تامین منافع پیدا کرد؛ اعطای دسترسی به شرکت‌ها و رسانه‌های اجتماعی.
 
پرداخت‌های آمریکا به فیسبوک برای تبلیغات سیاسی
 
شرکت‌های بزرگی مانند اکسون موبیل، بن و جری، و پنزی اسپیس میلیون‌ها دلار برای ترغیب مردم به دادن رای و تاثیر بر میزان مشارکت در انتخابات هزینه کرده اند.
اگرچه شرکت‌های مختلف اطلاعات محدودی درباره تبلیغات آنلاین شرکت‌های خاص منتشر می‌کنند، فیسبوک پس از هک شدن اخیر که منجر به از دست رفتن اطلاعات شخصی میلیون‌ها کاربر شد، اقدام به شفاف سازی بیشتر فعالیت‌های سیاسی در این رسانه در ۶ ماهه پیش از انتخابات نوامبر کرده است.
این شبکه رسانه‌ای نشان داد که از ماه می‌ سال جاری تاکنون ۲۵۶.۴ میلیون برای تبلیغات سیاسی هزینه شده است.
 
گوگل‌کروم همه فایل‌های موجود در کامپیوتر را اسکن می‌کند
 
ماه آوریل 2018 اسپوتنیک گزارش داد که آنتی‌ویروس جدید «گوگل کروم»، از محبوب‌ترین مرورگرهای وب جهان، موجب ایجاد نگرانی‌های جدی در زمینه امنیت حوزه خصوصی کاربران شده‌است.

اسپوتنیک نوشته اشت: شمار زیادی از کاربران گوگل کروم اخیرا متوجه شده‌اند این مرورگر پنهانی و بدون اجازه قبلی آنها تمام پوشه‌های آنها را بررسی و اِسکن می‌کند.

آنطور که وب‌سایت « Motherboard» گفته عامل اصلی این کار مخرب افزونه ابزار پاکسازی (Cleanup) نسخه جدید گوگل کروم است که برای پاکسازی پوشه‌های کاربر و نابودی بدافزارها از نرم‌افزاری از شرکت امنیت‌سایبری ESET استفاده می‌کند. به این صورت که اگر بدافزاری شناسایی شود این ابزار پاکسازی متادیتای پوشه مشکوک را به گوگل ارسال می‌کند و از کاربر می‌پرسد که این تهدید احتمالی را حذف کند یا نه.

در واقع گوگل پیش از این هیچ اطلاع‌رسانی در این زمینه نکرده بود و نخستین بار «کِلی شورت‌ریج» که خود کارشناس امنیت سایبری است متوجه شد نسخه جدید گوگل کروم در واقع همه پوشه‌های بخش اسناد رایانه‌اش (Documents) را پنهانی اِسکن می‌کند.

«کِلی شورت‌ریج» در گفتگو با « Motherboard» گفته که باید بگویم واقعا شوکه شدم هنگامی که فهمیدم گوگل پنهانی این ویژگی جدید را کروم اضافه کرده بدون آنکه به کاربران خود اعلام کند تا اقدامات پیشگیرانه را انجام دهند.

سخنگوی وزارت خارجه در واکنش به خبر هک تلفن همراه برخی از مقامات صهیونیستی گفت: مقامات رژیم صهیونیستی به فرافکنی و دروغ پردازی های روزمره علیه ایران عادت دارند.

به گزارش فارس،  بهرام قاسمی سخنگوی وزارت امور خارجه ایران در پاسخ به سوالی در خصوص خبر هک تلفن همراه برخی از مقامات رژیم صهیونیستیو ادعای نقش کشورمان در آن گفت: مقامات این رژیم به فرافکنی و دروغ پردازی های روزمره عادتی دیرینه دارند؛ این رژیم و مقامات آمریکا از سر خصومت، کینه توزی و ترویج ایران هراسی، به تعبیر خود آنها درصدد اعمال فشار حداکثری به صور گوناگون علیه ایران هستند و تلاش دارند در این جنگ روانی از پیش شکست خورده، با ساخت و پرداخت انواع سخنان بی ربط در ایجاد  یک فضای روانی علیه کشورمان اهداف خاص خود را دنبال کنند. 

قاسمی افزود: آنان علاوه بر تولید دروغ، سعی دارند با استفاده از ابزارهای تبلیغاتی، هر اتفاقی در جهان را ناشیانه به ایران مربوط کنند؛ البته بی هیچ تردیدی، ایرانیان در حوزه های متنوع فن آوری، با اتکای به جوانان، از توانمندیهای بی بدیل و غیر قابل تصوری برخوردارند، ولی این توانمندی ها صرفا به منظور رفع نیازهای داخلی و در جهت ارتقا جایگاه علمی این سرزمین و کاهش و قطع وابستگی های علمی و فن آوری به دیگران صورت می پذیرد.

وی همچنین ضمن تکذیب ادعای نقش ایران در هک سیستم های پارلمان استرالیا نیز اظهار داشت: بی شک این دروغ نیز بخش دیگری از همان جنگ روانی است که بر علیه توانمندی های مشروع ایران حوزه فن آوری صورت می پذیرد تا با طرح این توانمندی ها بعنوان یک تهدید، از پیشرفت و تقویت این توانمندی های علمی و بومی ممانعت به عمل آورند؛ تصور و خیال باطلی که همچون همیشه به عنوان آرزویی دست نایافتنی، تنها موجب خشم و عصبانیت آنان خواهد بود.

ادعای ایندیپندنت: ایران تلفن همراه همسر و پسر نتانیاهو را هک کرد

یک روزنامه سعودی مدعی شد، ایران تلفن همراه همسر و پسر نخست‌وزیر رژیم صهیونیستی را هک کرده و هک تلفن بنی‌گانتز که اخیرا فاش شده، مربوط به چند سال پیش است.

به گزارش فارس، پس از انتشار گزارش‌هایی مبنی بر هک تلفن همراه «بنی گانتز» رئیس ائتلاف «کاحول لاوان» (آبی سفید) و نیز «ایهود باراک» نخست‌وزیر پیشین رژیم صهیونیستی توسط ایران، حالا روزنامه‌ای سعودی خبری جدیدی در این باره منتشر کرد.

«ایندیپندنت عربی» مدعی شد، ایران تلفن همراه «ساره» و «یائیر» همسر و پسر بنیامین نتانیاهو نخست‌وزیر رژیم صهیونیستی را هک کرد تا مکالمات نتانیاهو را در منزلش شنود کند.

در ادامه این گزارش آمده، هک تلفن‌های ساره و یائیر چند ماه پیش انجام شده و این موضوع «رسوایی بزرگ برای امنیت سایبری اسرائیل» به شمار می‌رود. مشخص نیست اطلاعاتی که ایرانی‌ها به آن دست پیدا کرده‌اند، چه چیزی است.

«تامیر پاردو» رئیس پیشین «موساد» در این باره اعلام کرد، مساله افشای هک تلفن گانتز توسط ایران مانند «عملیاتی تخریبی» در زمان انتخابات است و  در صورت کشف هک تلفن مقامی عالی‌رتبه، مصالح امنیتی در آن است که این موضوع مخفی بماند زیرا به «امنیت اسرائیل» ضربه وارد می‌کند.

وی افزود، در این موارد بسیار سخت است که هویت هکرهای تلفن همراه یا رایانه شناخته شود.

گانتز هفته جاری اعلام کرد، ماجرای هک تلفنش توسط ایران صحت ندارد و نتانیاهو این قصه را در آستانه انتخابات به رسانه‌ها داده است.

مقامات ونزوئلا ادعا می کنند که حملات پی در پی سایبری به سیستم کنترل مرکزی برق رسانی این کشور موجب خاموشی بی سابقه در این کشور شده است.
CNBC- کاراکاس، پایتخت ونزوئلا، و دیگر شهرهای عمده این کشور چند روز متوالی شاهد قطعی سراسری برق بود و نیکلاس مادورو، رئیس ‌جمهوری که مشروعیتش زیر سوال رفته است، آمریکا را به حمله سایبری علیه نیروگاه برق‌آبی «گوری» متهم کرد.
مادورو در توییتی نوشت: سیستم برق کشور با چندین حمله سایبری مواجه شده است، اما ما (دولت) تلاش گسترده‌ای آغاز کرده‌ایم تا سیستم تولید و توزیع برق در ساعات پیش رو دوباره راه‌اندازی شود. از جمعه گذشته سیستم برق‌رسانی کاراکاس با مشکل مواجه شد و سپس قطعی برق به 20 ایالات از مجموع 23 ایالت این کشور نیز سرایت کرد. شاهدان عینی از تاریکی کامل در اکثر شهرهای این کشور خبر داده‌اند تا حدی که برای تامین روشنایی بیمارستان‌ها از نور موبایل استفاده می‌شد. گزارش‌ها حاکی از مرگ یک بیمار به علت از کار افتادن دستگاه تنفس است. کاراکاس برای بیش از 40 ساعت با این مشکل دست و پنجه نرم می‌کرد و بخش‌هایی از این کشور بحران زده برای چند روز با بی‌برقی سر می‌کنند.
اما رئیس جمهوری و دولت ونزوئلا، ایالات متحده را به «جنگ برق» متهم کرده و قطعی غیرعادی الکتریسیته را نتیجه دخالت عوامل امپریالیسم توصیف کرده‌اند.
وزیر دفاع کابینه مادورو، وضعیت کنونی را نشانگر «یورش بی‌پرده» ایالات متحده خواند و بدون اشاره به جزییات بیشتر، اعلام کرد واحدهایی از اعزام ارتش به مناطق مورد نیاز اعزام شده‌اند. از طرف دیگر خوان گوایدو، رهبر مخالفان و رییس‌ جمهور موقت خود خوانده این کشور با تکذیب اتهامات مادورو دلیل اصلی قطع برق را تاراج بودجه‌هایی دانست که باید در سال‌های گذشته صرف توسعه زیرساخت انرژی این کشور می‌شد.  با این حال مادورو طی سخنرانی در جمع هواداران خود بار دیگر اتهامات خود علیه آمریکا را تکرار کرد: این حملات توسط مخالفان انجام شده و فناوری سایبری مورد استفاده آنها تنها در اختیار ایالات متحده قرار دارد. ما همه چیز را می‌دانیم چون خدا با ما است.

 دومین ادعا
این دومین باری است که کشوری ادعا می‌کند هکرها با نفوذ به سیستم‌ مرکزی برق‌رسانی موجب قطعی برق شده‌اند. حدود سه سال پیش نیز اوکراین ادعا کرد که هکرها برقش را قطع کرده‌اند.  
براساس گزارشی درباره این حمل سایبری، هکرها احتمالا نصب بدافزاری که مانع پی بردن تکنسین‌های شرکت برق به این حمله شده، از راه دور سوییچ قطع برق را فعال کرده بودند. گزارش موسسه SANS ICS مستقر در واشنگتن، جزییات اولیه‌ای از آنچه که باعث قطعی 6 ساعته برق 80 هزار مشترک در غرب اوکراین شده منتشر کرد. 
موسسه SANS ICS که به اپراتورهای زیرساخت در خصوص مقابله با حملات سایبری مشاوره می‌دهد، اعلام کرد: هکرها مرکز خدمات مشترکان شرکت برق اوکراین را با سیلی از تماس‌های تلفنی از کار انداخته‌اند تا مشترکان نتوانند قطعی برق را گزارش دهند. رابرت لی، افسر سابق ماموریت‌های سایبری نیروی هوایی آمریکا که به تهیه گزارش موسسه سانس کمک کرد می‌گوید: این یک حمله چند جانبه علیه چند تاسیسات بوده است. این حمله به شدت با لجستیک بسیار حرفه‌ای هماهنگ بوده است. هکرها در واقع به نوعی چشمان همه را بسته و بعد حمله را ترتیب داده‌اند.
کارشناسان به اتفاق آرا این رخداد را اولین قطعی برق شناخته شده به وسیله یک حمله سایبری می‌دانند.
سرویس امنیت ملی اوکراین (SBU) روسیه را عامل این حمله معرفی کرد و شرکت سایبری آمریکایی آی‌سایت عاملان را یک گروه هکری روسی به نام «کرم خاکی» معرفی کرد.

مرکز مدیریت راهبردی افتای ریاست جمهوری با انتشار گزارشی از حملات سایبری به کاربران موبایل در سال ۲۰۱۸ و رشد دوبرابری آن نسبت به سال قبل، اعلام کرد: ایران دارای بیشترین حملات بوده است.

به گزارش مرکز مدیریت راهبردی افتای ریاست جمهوری، حملات مهاجمان سایبری در سال گذشته میلادی به نسبت سال ۲۰۱۷ به کاربران موبایل نزدیک به دو برابر افزایش داشته و ایران دارای بیشترین حملات بوده است.

مهاجمان سایبری در سال ۲۰۱۸ با استفاده از نرم‌افزارهای مخرب ۱۱۶ و نیم میلیون بار به گوشی‌های موبایل حمله کرده اند که این تعداد در سال ۲۰۱۷ قریب به ۶۴ و نیم میلیون بار بوده است.

آزمایشگاه کسپرسکی در گزارشی اعلام کرد: با وجود این افزایش چشمگیر حمله به گوشی‌های موبایل، افزون بر ۵ میلیون بسته نمونه‌های بدافزار در طول سال گذشته میلادی شناسایی شدند.

مهاجمان در حمله به گوشی‌های تلفن همراه کاربران ایرانی از شایع‌ترین بدافزار موبایلی با نام تروجان اندرویدی Trojan.AndroidOS.Hiddapp استفاده کرده‌اند.

مهاجمان از روش‌های کاملاً تست شده مانند SMS اسپم استفاده کرده‌اند و به آزمایش تکنیک‌هایی مانند ربودن DNS نیز تمایل نشان داده‌اند، که قبلاً فقط برای حمله به پلتفرم‌های دسکتاپ استفاده می‌شد.

منتقل‌کننده‌ها (Trojan-Dropper) که برای دور زدن سیستم‌های تشخیص طراحی شده‌اند، حمله به حساب‌های بانکی از طریق دستگاه‌های تلفن‌همراه، برنامه‌هایی که می‌توانند توسط مجرمین سایبری برای ایجاد آسیب استفاده شوند مانند (RiskTool)، برنامه‌های تبلیغ‌افزار از محبوب‌ترین ابزارها و تکنیک‌های حمله مهاجمان به تلفن‌های همراه بوده است.

اگر چه تروجان‌های بانکی موبایل قبلاً سرویس‌های دسترسی به خدمات را هدف حمله قرار داده بودند، اما مهاجمین یک برنامه کاملاً قانونی و مجاز را در سال ۲۰۱۸، تحت‌کنترل گرفته و آن را مجبور به اجرای یک برنامه بانکداری برای انجام عملیات انتقال پول در دستگاه قربانی‌ها کردند.

در میان نمونه‌های بدافزار شناسایی‌شده توسط کسپرسکی در سال ۲۰۱۸، خطرناک‌ترین آنها Trojan.AndroidOS.Triada.dl و Trojan.AndroidOS.Dvmap.a، بودند که البته جزو گسترده‌ترین‌ها نبودند.

معاونت بررسی مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا) اعلام کرد: تهدیدات موبایلی به طور مستمر در حال تکامل هستند و این توسعه تنها در تعداد بدافزارها نیست. افزایش حملات بدافزارهای موبایلی، اهمیت پیروی از نکات امنیتی این حوزه را بیش از پیش نمایان می‌کند.

وقتی که بحث هک به میان می آید، سرعت یکی از مهم ترین فاکتورها به شمار می رود؛ هم برای هکرها و هم برای کسانی که مورد تهدید سایبری قرار می گیرند. به همین دلیل است که دولت ها و شرکت ها باید در مورد هکرهای روس دو چشمی مراقب باشند، زیرا این هکرها در عرض ۲۰ دقیقه می توانند به سیستم ها و شبکه نفوذ کنند و به دریایی از اطلاعات دسترسی پیدا کنند.
فناوران- یک شرکت امنیت سایبری گزارشی با عنوان «گزارش تهدید جهانی» منتشر کرده که در آن گروه‌های هکری جهان بر اساس زمان هک رده‌بندی شده‌اند. شرکت Crowdstrike این فاکتور مهم را «زمان فرار» (Breakout Time) نامیده که منظور از آن، زمانی است که یک هکر برای نفوذ و شکستن قفل‌های امنیتی سیستم‌های کامپیوتری در یک شبکه صرف می‌کند تا بتواند وارد سیستم شود و اطلاعات مورد نظرش را به سرقت ببرد. این زمان برای تمامی‌ سازمان‌ها اهمیت دارد، چراکه باید بتوانند با سرعت هر چه بیشتر و پیش از آلوده شدن تمام سیستم‌ها، آلودگی‌‌ها را تشخیص دهند و کامپیوترهای هک شده را از دیگر کامپیوترها ایزوله کنند.
CrowdStrike آمار خود را بر اساس بررسی‌های 30 هزار تلاش برای نفوذ دسته‌بندی کرده است. در این رده‌بندی گروه اول که گروه «خرس» نامیده می‌شود، مربوط به هکرهای روس است. بعد از آن گروه کلیما یا «اسب پرنده» از کشور کره شمالی، «پاندا» از کشور چین و «گربه» از ایران به نمایش درآمده است. بعد از ایران نیز یک گروه مجرمان سایبری با نماد «عنکبوت» به چشم می‌خورد. 
در این شکل نکته مهم سرعت هک در این گروه‌هاست که همانطور که گفته شد روسیه با میانگین 18 دقیقه و 49 ثانیه سریع‌ترین هکرها را در خود جا داده است. بعد از آن کره شمالی با دو ساعت و 20 دقیقه زمان شکست در دومین جایگاه قرار دارد. هکرهای چینی نیز با زمان شکست چهار ساعت در رده سوم و ایران با پنج ساعت و 9 دقیقه در رده چهارم قرار دارند. گروه eCrime با نماد عنکبوت نیز زمان شکست 9 ساعت و 42 دقیقه دارد. 
با یک حساب سرانگشتی مشخص می‌شود که گروه خرس یا هکرهای روسی تقریبا هشت برابر از هکرهای کره شمالی سریع‌ترند که در رده بعدی آن قرار دارند. یعنی فاصله میان هکرهای رده اول و دوم بسیار زیاد است. 
گفتنی است که چین در سال 2015 و در زمان ریاست جمهوری اوباما، با ایالات متحده به توافقی برای آتش‌بس حمله‌های سایبری دست یافته بود، اما رتبه دوم چینی‌ها در این لیست بی‌تفاوتی چینی‌ها را به این توافق نشان می‌دهد. هکرهای چینی در سال 2018 سیستم‌های مخابراتی ایالات متحده و کشورهایی در آسیا را مورد حمله قرار دادند و به تازگی نیز متهم شده‌اند که حقوق مالکیت معنوی شرکت‌های آمریکایی را سرقت کرده‌اند.

افزایش حملات از ایران و روسیه به آمریکا
دو هفته پیش، نیویورک تایمز گزارشی را منتشر کرد و در آن مدعی شد که حملات هکرهای ایرانی، چینی و روسی علیه سازمان‌های دولتی آمریکا در ماه‌های اخیر بیشتر شده و علت چیزی نبوده جز سیاست‌های خصمانه ترامپ علیه آنها.
دونالد ترامپ، رییس جمهور وقت آمریکا از همان ابتدای تصدی پست ریاست جمهوری آمریکا سیاست‌های خصمانه خود در قبال ایران را مطرح کرد و کشورمان را هدف سخت‌ترین تحریم‌های اقتصادی قرار داد که البته تبعات آن کاملا در زندگی روزانه مردم مشهود است. اما چین نیز از دشمنی‌های ترامپ در امان نبوده و هم‌اکنون درگیر جنگ اقتصادی تمام عیاری با آمریکاست.
طبق این گزارش کارشناسان امنیتی باور دارند که تصمیم رییس جمهور آمریکا برای ترک برجام و جنگ تجاری این کشور با چین و وضع تعرفه‌های سنگین روی واردات کالاهای چینی اصلی‌ترین علت افزایش حملات هکرهای ایرانی، چینی و روسی علیه آمریکا بوده است. 
حملات اخیر ایرانی‌ها به بانک‌های آمریکایی، کسب‌وکارها و ادارات دولتی گسترده‌تر از موارد قبلی گزارش ‌شده است. ده‌ها شرکت و چندین اداره دولت ایالات متحده هدف این حملات بوده‌اند. نیویورک‌تایمز درباره این حملات با هفت نفر به شرط فاش نشدن نامشان صحبت کرده و اطلاعاتی از آنها به دست آورده است.
حملاتی که آژانس امنیت ملی آمریکا به ایران نسبت داده، باعث شد که وزارت امنیت میهن ایالات متحده، در زمان تعطیلی دولت در ماه گذشته، وضعیت اضطراری اعلام کند. حملات ایران با دور جدید حملات سایبری چین همراه شد. هکرهای چینی تلاش کرده‌اند رازهای نظامی و تجاری را از شرکت‌های نظامی و تکنولوژیک طرف قرارداد دولت آمریکا بدزدند.
بوئینگ، شرکت هوایی ژنرال الکتریک و تی‌ـموبایل از جمله هدف‌های حمله‌ هکرهای چینی بوده‌اند. نیویورک تایمز این حملات را تلاش‌های دولت چین برای جاسوسی صنعت‌محور توصیف کرده است. هیچکدام از این شرکت‌ها در این‌باره اظهار نظری نکردند و مشخص نیست که آیا هیچ‌کدام از حملات موفق بوده‌اند.
در میان کشورهایی که حملات سایبری علیه ایالات متحده انجام می‌دهند، روسیه تهدید اول محسوب می‌شود. علاوه بر اتهامات به روسیه برای دخالت در انتخابات آمریکا، هکرهای روسیه ظاهرا حملاتی را به نیروگاه‌های هسته‌ای، شبکه برق و سایر زیرساخت‌های ایالات متحده انجام داده‌اند.
در واقع، هکرهای روسی از هکرهای ایرانی و چینی فعال‌ترند؛ در همین رابطه اوایل امسال گزارش شد که فیس‌بوک و توییتر هزاران حساب کاربری جعلی منسوب به این کشور را که در راستای انتشار اخبار نادرست فعالیت می‌کردند حذف کردند.
تازه‌ترین حملاتی هم که در گزارش نیویورک تایمز و به نقل از سازمان امنیت ملی آمریکا و شرکت امنیتی خصوصی به هکرهای ایرانی نسبت داده شده، ظاهرا به قدری سخت و کاری بوده‌اند که وزارت امنیت داخلی آمریکا را وادار به صدور پیام هشدار اضطراری در زمان تعطیلی دولت این کشور کرده‌اند.
البته ناگفته نماند که آمریکا خود متهم است که با کمک اسرائیل حدود یک دهه پیش بدافزار استاکس‌نت را برای حمله به تاسیسات غنی‌سازی اورانیوم در سایت اتمی نطنز طراحی و در شبکه منتشر کرد. 

از چند هفته قبل، حمله‌های هکری به سایت‌های ایرانی با هدف اخاذی از کسب و کارها شکل گرفته و هدف هکرها از تهدید کسب‌وکارهای اینترنتی دریافت بیت‌کوین است، هر فردی هم به خواسته‌شان تن ندهد حملاتشان را شروع و دسترسی به سایت را مسدود می‌کنند.

این روزها چیزی که بیش از همه در دستگاه‌های ارتباطی ما نصب می‌شود، فیلترشکن‌هایی هستند که تمامی آنها بدون این که منبع انتشارشان مشخص باشند به دست ما می‌رسد. همین فیلترشکن‌های آلوده می‌توانند ابزار حمله‌های DDoS، تهدید و باج‌خواهی قرار بگیرند. هر چند به گفته «امیر ناظمی» رئیس سازمان فناوری ایران، این احتمال وجود دارد که فیلترشکن‌ها و پوسته‌های فارسی تلگرام این حملات را رقم زده باشند اما برای اطلاعات دقیق تر، مرکز ماهر در حال بررسی این مساله است.
احتمالا برایتان پیش آمده که قصد خرید اینترنتی از سایتی را داشته باشید، اما آن سایت برای شما باز نشود یا سرورش از کار بیفتد. دیداس DDoS مخفف Distributed Denial of Service دقیقا همین اتفاق است. زمانی حمله‌هایی از این دست اتفاق می‌افتد که حجم زیادی از تقاضای کاذب عمدا به‌سمت سرور مورد هدف روانه شود، تا آن سرور از کار بیفتد.
«فرهاد فاطمی» کارشناس حوزه فناوری ابری، معتقد است احتمال این که نرم افزارها با منتشرکننده ناشناس دست به تخریب سیستم‌ها بزنند و دستگاه‌ها را آلوده کنند، بسیار زیاد است. نمی‌توان دسته‌بندی مشخصی از این بدافزارها ارائه داد و به طور حتم گفت آنها به استفاده از فیلترشکن‌ها مربوط هستند. هر نرم‌افزاری که به شکل ناشناس منتشر شود، می‌تواند این حفره امنیتی را رقم بزند و نمی‌توان در این خصوص نظر قطعی داد که چه نرم‌افزاری دقیقا این مشکل را موجب می‌شود.
فاطمی، معاون یکی از شرکت‌های هاستینگ که طی هفته گذشته،20 حمله DDoS در مجموعه آنها خنثی شده است، روز دوشنبه در گفت‌وگوی اختصاصی با خبرنگار علمی ایرنا گفت: کار ما ارائه سیستم‌های ابری به بسیاری از شرکت‌های ایرانی است، در یک هفته گذشته به 20 شرکت سرشناس و معتبر ایرانی حمله هکری شده است. سرورهای این شرکت‌ها به سرویس امنیت ابری ما انتقال پیدا کرده‌اند و حملاتشان خنثی شده است.
وی که احتمال می‌دهد تعداد حمله‌ها بیش از آنچه گزارش شده، باشد، افزود: البته این آمار مجموعه‌هایی است که به ما مراجعه کرده‌اند و ممکن است حمله‌ها بیش از این تعداد باشد. این حملات گسترده و بسیار زیاد بوده در لایه‌های سه و چهار، حجم حمله 50 گیگابیت بر ثانیه و در لایه هفت، چیزی حدود دو میلیون درخواست در دقیقه بوده است.

**حمله هکرها موضوع عجیبی نیست
فاطمی معتقد است که این حمله‌ها همیشه و به صورت مداوم وجود داشته و موضوع جدیدی نیست و می‌گوید: طی چهار سالی که در حال ارائه خدمات هستیم این حملات را در نقاط مختلف، به روش‌های مختلف و روی سرویس‌های مختلف مشاهده کرده‌ایم مانند حملاتی که از سال 94 روی سیستم خودمان انجام شد یا حمله‌هایی که شب یلدای سال 94 برای دیجی کالا و سایت‌های فروشگاهی دیگری مانند بامیلو، صورت گرفت.
وی توضیح داد: این حمله‌ها بعد از مدت کوتاهی از سمت سایت‌های فروشگاهی به سوی بانک‌ها متمرکز شدند و شروع کردند به آلوده کردن سیستم‌های آنها به این ترتیب که حمله به بانک‌های ایرانی به سیستم بانک‌های پاسارگارد، آینده، سامان و توسعه تعاون آغاز شد که خوشبختانه توانستیم امنیت آنها را به سرعت تامین کنیم.
او در خصوص اهدافی که پشت چنین حملاتی وجود دارد، گفت: مدل اول این حملات به دلیل از بین بردن رقبا اتفاق می‌افتد، مثلا یک کسب و کار با استفاده از این نرم‌افزارها به رقیبش حمله می‌کند؛ نمونه‌ای که همین الان روی سرویس‌هایی که فالوئر اینستاگرام می‌فروشند وجود دارد و هدفشان بیشتر از بین بردن رقیب است.

** ابزارک‌هایی (دیوایس‌هایی) که زامبی می‌شوند
فاطمی با بیان اینکه هدف بعدی از حمله‌های هکری که بسیار مهم است و باید بیشتر روی آن تمرکز کرد، حمله با هدف باج‌خواهی و تهدید کسب و کارهاست، گفت: شیوه کار این بدافزارها به این شکل است که یک یا چند اکانت جعلی (فیک) در تلگرام، شروع به تهدید یک کسب و کار می‌کنند و به آن‎ها می گویند اگر به ما بیت‌کوین ندهید به شما حمله می‌کنیم و معمولا هم ظرف مدت کوتاهی تهدیدشان را عملی می‌کنند و بعد از حمله‌های دیداس، سایت‌ها از دسترس خارج می‌شوند.
او در توضیح بیشتر عنوان «زامبی» که به این حمله‌ها اطلاق شده است، گفت: در این حملات، یک سری از دیوایس‌ها پس از هک شدن به زامبی تبدیل می‌شوند و به سایت‌های مورد نظر حمله می‌کنند. این حمله می‌تواند به دیوایس‌های موبایل و سایت یا به دوربین‌های مداربسته که با اینترنت اشیا به هم متصل شده‌اند، صورت بگیرد. در واقع در این ماجرا، هر آنچه به اینترنت وصل شود می‌تواند در صورتی که به آن حمله شود، نقش زامبی را بازی و کل سیستم را مختل کند. این فعال کسب و کارهای اینترنتی درباره جغرافیای حمله‌کنندگان نیز گفت: همچنان سورس اکثر حملاتی که ما با آنها مواجه شدیم از کشورهایی مانند آمریکا، روسیه و چین صورت می‌گیرد؛ البته ممکن است این کاربران ایرانی باشند و از آن جا که با «وی پی ان» به اینترنت متصل می‌شوند، لوکیشن‌شان محل دیگری را نشان دهد.
او در پایان گفت: کسب و کارها وقتی مورد حمله قرار می‌گیرند، تازه به فکر امنیتشان می‌افتد. در حالی که ایجاد امنیت باید یکی از اصول اولیه کسب‌وکارهای اینترنتی باشد. در اکثر کشورهای بزرگ، همواره از سرویس‌های امنیتی استفاده می‌شود و به همین دلیل است که سایت‌های بزرگ دنیا، به صورت روزانه از دسترس خارج نمی‌شوند در حالی که در ایران ما به علت دوراندیش نبودن، شاهد اتفاقات زیادی از این دست هستیم.

مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای با بررسی خانواده بدافزارهای ایرانی «پوشفا»، اعلام کرد: چندین میلیون دستگاه متعلق به کاربران ایرانی به این بدافزار آلوده شدند.

به گزارش خبرنگار مهر، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای با بررسی بدافزارهای «پوشفا» به عنوان باسابقه‌ترین خانواده‌ بدافزار اندرویدی ایرانی، اعلام کرد: چندین میلیون دستگاه کاربران ایرانی به این بدافزار آلوده شده اند.

این مرکز توضیح داد: بدافزارهای دسته «پوشفا» را شاید بتوان از جمله قدیمی ترین و پرانتشارترین ‫بدافزارهای اندرویدی ایرانی تا به امروز دانست. براساس مشاهدات انجام شده، نخستین بدافزارهای این دسته از مردادماه ۹۶ در پیام رسان تلگرام منتشر شده است. این درحالی است که در همان زمان، تلگرام در بین ایرانیان محبوبیت بیشتری پیدا کرده بود.

متاسفانه آمار دقیقی از میزان آلودگی به این بدافزارها در دسترس نیست؛ اما با توجه به فعالیت مستمر این بدافزار و انتشار روزانه حداقل ۱ نسخه از بدافزار در صدها کانال تلگرامی طی ۱۷ ماه گذشته، انتظار می رود چندین میلیون از دستگاه‌های اندرویدی ایرانی به بدافزارهای «پوشفا» آلوده شده باشند.

تاکنون بیش از ۲۰۰ نمونه از این بدافزار توسط مرکز ماهر شناسایی شده است.

از آنجا که بسیاری از بدافزارهای «پوشفا»، پس از نصب مخفی شده و یا آیکون خود را با آیکون برنامه‌ای مجاز و شناخته شده (مانند گوگل پلی، جی‌میل، گوگل کروم و گوگل مپ) جایگزین می کنند، درصد زیادی از کاربران قادر به شناسایی و حذف بدافزارها نخواهند بود و بدافزار روی دستگاه باقی خواهد ماند.

همچنین برخی از بدافزارهای «پوشفا» از کاربر درخواست مجوز مدیریتی می‌کنند، که در صورت موافقت کاربر، حذف بدافزار برای کاربران عادی به سادگی امکان پذیر نخواهد بود و احتمال آلوده ماندن دستگاه بیش از پیش خواهد شد.

این بدافزار با نامهای مختلفی، از جمله نام برنامه های محبوب، موضوعات روز و یا عناوین مستهجن منتشر شده است. در بین صدها بدافزار منتشر شده، بخش اعظمی از بدافزارها «موبوگرام»  نام دارند. همچنین اغلب بدافزارهای این دسته پس از نصب، بدافزار دیگری به نام «بازار» را دانلود و نصب می‌کنند که آیکونی مشابه با فروشگاه اندرویدی ایرانی «کافه بازار» دارد و پس از نصب مخفی می‌شود.

هدف اصلی بدافزارهای «پوشفا»، کسب درآمد از راه تبلیغات است. در ابتدای فعالیت این بدافزار، فروش عضو به کانالهای تلگرامی و تبلیغات از این دست رواج زیادی داشت. به همین دلیل در نسل‌های اولیه این بدافزار، محور اصلی تبلیغات، تبلیغات تلگرامی بود. اما درحال حاضر، با رشد روزافزون سرویس های ارزش‌افزوده و تزریق بودجه تبلیغاتی از طرف این‌ شرکتها، هدف اصلی بدافزارهای «پوشفا» نیز نمایش تبلیغات سرویس‌های‌ ارزش افزوده، دانلود خودکار و بدون اطلاع برنامه های دارای سرویس ارزش افزوده و در مواردی نیز دانلود بدافزارهای سرویس ارزش افزوده (عضویت در سرویس ارزش افزوده از طریق برنامه ای بدون محتوا) است.

جزئیات بیشتر درباره این بدافزار در سایت مرکز ماهر در دسترس است.

جنجال بر سرافشای اطلاعات خصوصی کاربران فضای مجازی و شیوع حملات سایبری کشورها علیه یکدیگر از جمله مهم ترین رخدادهای سایبری سال ۲۰۱۸ میلادی بود؛ در این فضا باج افزارها نیز رونق گرفتند.

به گزارش خبرنگار مهر، با پیشرفت فناوری و دیجیتالی شدن سیستم های ذخیره اطلاعات و گسترش استفاده از اینترنت در گجت ها و ابزارهای مختلف فناورانه، هر روز اخبار بیشتری از روش های نوین اختلال یا دسترسی به سیستم اطلاعاتی، ارتباطی، صنعتی ، امنیتی، دفاعی و تسلیحاتی کشورها با استفاده از آلودگی های بدافزاری، حملات هک و آسیب پذیری های نرم افزاری به گوش می رسد.

درسال ۲۰۱۸ میلادی امنیت سایبری کاربران در بسیاری از کشورها با حملات هدفمندی در مقیاس ملی، حملات هک و دیفیس و آلودگی بدافزار، حملات و آلودگی ها در حوزه تلفن همراه، آسیب پذیری نرم افزارها و تجهیزات پرکاربر و صفحات جعلی، به خطر افتاد.

تحقیقات دانشگاه آکسفورد نشان می دهد که درسال میلادی که گذشت اکانت های تقلبی به سرعت در سراسر جهان نفوذ و گسترش یافتند و بسیاری از کاربران با فریب نرم افزارهای مخرب و باج گیر، قربانی این روش نفوذ سایبری شدند.

اگرچه تعداد بدافزارهایی که بسیاری از کاربران فضای مجازی در سراسر دنیا را درگیر خود کرده بسیار زیاد است اما در این گزارش نگاهی به نرم افزارهای مخرب، بدافزار و باج افزارهایی داریم که بیشترین دربرگیری را در میان کاربران فضای سایبر داشت.

جولان بدافزارهای مخرب در سیستم های کامپیوتری

- درسالی که گذشت محققان امنیت سایبری بدافزاری کشف کردند که از طریق واتس اپ، تلگرام و اپلیکیشن های دیگر، کاربران ایران، لبنان، مصر ، مراکش و اردن را هدف گرفت. این بدافزار که «زوپارک» نام داشت، هرگونه اطلاعات ذخیره شده از جمله پسوردهای موجود در دستگاه کاربر را سرقت می کرد.

- شناسایی بدافزار میرای (Mirai) که یک کرم رایانه ای غیرتخریب کننده بود و به کامپیوترهای حاوی سیستم عامل لینوکس (به روز نشده) متصل به شبکه، حمله کرده و آن را آلوده می‌کرد، از دیگر تهدیدات سایبری این بخش بود. این بدافزار سعی در تکثیر خود در هارد و شبکه کاربران داشت و اکثر حملات صورت گرفته آن از آدرس های مبدا ایران گزارش شد؛ به گونه ای که در حملات رخ داده حدود ۶۸ درصد حملات از آدرس های کشور ایران و تنها ۳۲ درصد حملات از سایر نقاط جهان ایجاد شد.

- گسترش حملات باج افزاری نسخه چهارم باج افزار خطرناک ‫GandCrab به کاربران در سراسر کشور از دیگر رویدادهای مهم این بخش بود. این باج افزار روش های گوناگونی از نفوذ به سیستم از جمله ضعف در پیکربندی سرویس پروتکل از راه دور (ریموت دسکتاپ -‫RDP) و پیوست هرزنامه ها و اکسپلویت کیت ها را در حملات خود استفاده می‌کرد.

- پژوهشگران Trend Micro نیز چندین برنامه در قالب پلتفرم‌های پیام‌رسان صوتی قانونی را در فروشگاه گوگل پلی (Google Play) مشاهده کردند که دارای قابلیت‌های مخرب بود و در هر نسخه نیز تکامل یافته تر از قبل می شد. محققان اعلام کردند که مجرمان به دنبال فعالیت‌های مخرب از جمله حملات بات‌نت هستند.

- درسال ۲۰۱۸ میلادی ۶۰۰ هزار حمله به یکی از برنامه های کاربردی مدیریت پایگاه داده روی سرویس‌دهنده‌های وب، صورت گرفت که منشا این حملات از کشور سوئد بود. این حمله به پورتهای مربوط به شبکه ها و دوربین های مداربسته صورت گرفت.

- در این سال دو بدافزار از گروه APT کشور کره شمالی شناسایی شدند که فعالیت‌های مخربی از جمله استخراج اطلاعات، نصب بدافزارهای دیگر و ایجاد پراکسی روی سیستم‌های ویندوزی انجام می‌دهند.

- کشف جاسوس سایبری در خاورمیانه که حمله «بیگ بنگ» را با ایمیل جعلی ترتیب داد از دیگر اخبار مهم سال ۲۰۱۸ میلادی بود. این گروه جاسوسی سایبری پیشرفته با نام «بیگ بنگ» منطقه خاورمیانه را هدف قرار داده و با ارسال این حملات با ارسال ایمیل‌های فیشینگ حاوی فایل پیوست مخرب، حملات سایبری علیه نهادهایی در سراسر خاورمیانه، رقم زدند.

- موسسه امنیتی سایمنتک نسبت به افزایش حملات باج افزاری به سیستم های مراقبتهای بهداشتی با تکامل باج افزار SamSam هشدار داد. این باج افزار حملات هدفمندی علیه۶۷ هدف مختلف و چندین سازمان داشت که بیشتر آنها در ایالات متحده آمریکا قرار داشتند. باج‌افزار SamSam که یک تهدید قدیمی بوده و حملات آن در سال ۲۰۱۵ نیز مشاهده شده، سیستم های مراقبت‌های بهداشتی را هدف قرار داده است.

- موسسه امنیتی کاسپراسکای نیز از شناسایی بدافزار پیچیده و خطرناکی خبر داد که با حمایت یکی از دولت های جهان طراحی شد و برای نفوذ به رایانه ها از روترهای اینترنتی استفاده می کرد. این بدافزار که Slingshot نام داشت، حملات خود را به صورت کاملا مخفیانه و لایه لایه انجام داده و ابتدا روترهای MikroTik را هدف قرارداد و سپس حمله به رایانه شخصی را در دو مرحله در سیستم عامل و مدیریت فایل های سیستمی اجرایی کرد. گمانه زنی ها با توجه به انگلیسی بودن بخش عمده کدنویسی ها و روان بودن زبان به کار گرفته شده در این بدافزار حاکی از آن بود که احتمالا یک یا تعدادی از کشورهای عضو گروه پنج چشم (آمریکا، انگلیس، استرالیا، نیوزلند و کانادا) در نگارش این بدافزار مخرب دخالت داشتند.

بدافزارهای کاوشگر ارز دیجیتال به میدان آمدند

سوءاستفاده بدافزاری از سیستم های اطلاعاتی درسال ۲۰۱۸ نگاه پررنگی نیز به بخش های اقتصادی داشت و خبرهای بسیاری از قربانیان بدافزارهای ارز دیجیتال و سرقت اطلاعات کارتهای اعتباری منتشر شد.

بدافزارهای کاوش ارز دیجیتال به دلیل افزایش قیمت ارزهای دیجیتال، از قدرت پردازشگر سیستم کامپیوتری قربانیان استفاده کرده و اقدام به استخراج ارز می کردند. هنگامی که یک دستگاه در معرض این‌گونه بدافزارها قرار می‌گیرد، یک برنامه مخرب در پس زمینه اجرا می‌شود و مصرف انرژی را افزایش می‌دهد که در نتیجه سرعت و عملکرد دستگاه کاهش می یابد.

- برای مثال آزمایشگاه مک آفی ( McAfee ) بدافزاری با نام WebCobra کشف کرد که از قدرت پردازش سیستم قربانیان برای کاوش ارز دیجیتالی استفاده می‌کرد. دامنه آلودگی این بدافزار در سراسر جهان در ماه سپتامبر ۲۰۱۸ بود و بیشترین آلودگی‌ها مربوط به کشورهای برزیل، آفریقای جنوبی و ایالات متحده گزارش شد.

- سرقت اطلاعات میلیون ها کارت اعتباری از طریق نفوذ به شبکه های بانکی و ATM در سراسر جهان توسط یک گروه سایبری از دیگر اخبار مهم این بخش بود. این گروه سایبری، اطلاعات بیش از ۱۵ میلیون کارت اعتباری را از بیش از ۶۵۰۰ ایستگاه پایانه در ۳۶۰۰ کسب وکار با استفاده از بدافزارهایی که از طریق ایمیل‌های فیشینگ ارسال می کردند، به سرقت برده و از این طریق بیش از یک میلیارد یورو از بانک‌های سراسر جهان سرقت کردند.

- باج افزار سایبری «پول زور» که با استفاده از صفحات جعلی درگاه بانکی شاپرک، از کاربران ایرانی یک میلیون تومان باج می گرفت نیز در ایران شناسایی شد.

- از طرف دیگر، انتشار باج افزار «Cybersccp» در کانال های تلگرامی فارسی زبان از دیگر رخدادهای سایبری درسال ۲۰۱۸ بود. این باج‌افزار از خانواده خطرناک شناخته شده HiddenTear با نام Cyber.exe بود که در پوشش برنامه‌ای کاربردی با ادعای ساخت تصویر جعلی کارت ملی، کارت بانکی، شناسنامه و پاسپورت انتشار یافت.

- درسال ۲۰۱۸ یافته های موسسه امنیتی چک پوینت حاکی از آن بود که طراحی و تولید بدافزارهای سرقت ارز دیجیتال که به طور ویژه برای آیفون عرضه می شوند نسبت به مدت مشابه سال قبل ۴۰۰ درصد افزایش یافت. بخش عمده این حملات از طریق مرورگر سافاری و با تلاش برای آلوده کردن این مرورگر صورت گرفت. یکی از مشهورترین بدافزارهایی که بدین منظور طراحی شد Coinhive نام داشت که در میان بدافزارهای سرقت ارزهای دیجیتال با ایجاد ۱۹ درصد آلودگی در رتبه اول است. ایران در بین ۵ کشور اول آلوده به نرم افزار مخرب کوین هایو قرار داشت.

-  کارشناسان بدافزاری کشف کردند که وارد دستگاه های اندروید آمازون شده و به استخراج ارز دیجیتال می پرداخت. این بدافزار که ADB.miner نام گرفت به عنوان اپلیکیشنی به نام Test در «فایر تی وی Fire TV» و «فایر استیکس Fire Stick» های آمازون مشاهده شد و پس از نصب با استفاده از دستگاه، ارز دیجیتال استخراج می کرد.

-  پژوهشگران امنیتی IBM یک بدافزار قدرت گرفته از هوش‌مصنوعی را با نام DeepLocker توسعه دادند که برای هدف قرار دادن قربانی بسیار قدرتمند بوده و قابلیت زیادی در جلوگیری از شناسایی داشت. این کلاس از بدافزارهای مجهز به هوش‌مصنوعی می‌توانند تا رسیدن به قربانی هدف، فعالیت خود را ادامه دهند و پس از رسیدن به مقاصد مدنظر، فعالیت‌های مخرب را متوقف کنند. این‌گونه بدافزارها قربانی هدف را از طریق شناسایی چهره، موقعیت جغرافیایی و تشخیص صدا شناسایی می‌کنند.

اپلیکیشن های جعلی به بازار آمدند

-  محققان امنیتی ۲۹ اپلیکیشن اندرویدی حاوی بدافزار را کشف کرده اند که اطلاعات بانکی کاربران را سرقت می کرد. این اپلیکیشن های جعلی، شامل ۲۹ اپلیکیشن مختلف از برنامه های مدیریت مصرف باتری گرفته تا طالع بینی بود که به بدافزار تروژان مبتلا هستند و پس از نصب روی موبایل کاربر، حتی می توانند آن را از راه دور کنترل کنند. البته پس از آنکه ESET این موضوع را به گوگل اعلام کرد، اپلیکیشن های مذکور از فروشگاه اپلیکیشن های گوگل پاک شد. اما تخمین زده می شود حدود ۳۰ هزار کاربر آنها را دانلود کردند.

- از سوی دیگر ۱۳ اپلیکیشن بازی در پلی استور گوگل کشف شد که حاوی بدافزار بودند. این اپلیکیشن ها قبل از حذف بیش از ۵۸۰ هزار بار دانلود شدند. اپلیکیشن های مذکور به عنوان بازی های شبیه سازی مسابقات رانندگی با خودرو و وانت دسته بندی شده بودند.

- گوگل همچنین ۱۴۵ اپلیکیشن حاوی بدافزار را از فروشگاه گوگل پلی پاک کرد. این بدافزارها پس از اتصال دستگاه اندروید به رایانه، اطلاعات کارت اعتباری و پسوردهای کاربر را سرقت می کردند. برخی از این اپلیکیشن ها چند صد بار دانلوده شدند و این بدافزار، در صورتی که دستگاه اندروید به پی سی ویندوز متصل می شد، اطلاعات شخصی کاربر را جمع آوری می کرد و پس از ورود به رایانه، شماره کارت اعتباری کاربر، پسورد حساب های کاربری او و حتی شماره تامین اجتماعی را مورد سرقت قرار می داد.

- گوگل ۲۲ اپلیکیشن اندرویدی را نیز از فروشگاه پلی استور پاک کرد که علت آن سوءاستفاده این برنامه ها از گوشی های اندرویدی به منظور نمایش تبلیغات ناخواسته بود. این بدافزارهای تبلیغاتی مختلف مواجه شده که تلاش می کنند با ترغیب کاربران به کلیک کردن بر روی خود درآمدی به جیب بزنند.

بدافزارهایی در لباس vpn کاربران را فریب دادند

- درسال ۲۰۱۸ میلادی VPN های مشهور هم آسیب پذیر اعلام شدند. به نحوی که این آسیب پذیری ها اجرای کدهای مخرب را توسط مهاجمان ممکن کرد و باعث شد تا هکرها بتوانند به رایانه های مجهز به سیستم عامل ویندوز حمله کرده و فعالیت های تخریبی متنوعی انجام دهند. از جمله این وی پی ان ها می توان به ProtonVPN و NordVPN اشاره کرد.

- درهمین حال خبر نفوذ جهانی بدافزار «وی‌پی‌ان فیلتر» به دستگاههای متصل به شبکه سبب شد تا حداقل ۵۰۰ هزار دستگاه در ۱۰۰ کشور مختلف مورد آلودگی این نرم افزار مخرب قرار بگیرند.

- از سوی دیگر ۱۱۳ کشور نیز مورد سوءاستفاده بدافزار تجهیزات اندروید قرار گرفتند. این بدافزار از آسیب‌پذیری برخی تجهیزات سیستم عامل اندروید (Android Debug Bridge) در سطح شبکه استفاده می کرد و کشورهایی که میزبان بیشترین IP آلوده بودند تایوان، روسیه و چین اعلام شدند.

- ادامه فعالیت باج‌افزار مخرب «واناکرای» پس از ۱۸ ماه فعالیت مخرب و آلوده کردن هزاران سیستم در سراسر جهان، درسال ۲۰۱۸ نیز باردیگر اعلام شد و بررسی ها نشان داد که نرخ آلودگی این بدافزار از زمان مشابه سال گذشته بیشتر بوده است. این بدافزار در ماه‌های جولای تا سپتامبر ۲۰۱۸ حدود ۷۴ هزار و ۶۲۱ حمله علیه کاربران در سطح جهان انجام داد.

- محققان امنیتی ویروسی به نام «تلگراب» کشف کردند که نسخه دسکتاپ پیام‌رسان تلگرام را هدف گرفته و اطلاعات کاربر را از روی نسخه دسکتاپ تلگرام سرقت می کرد. این ویروس که «تلگراب» نام گرفت طوری طراحی شده تا اطلاعات cache و فایل های کلیدی تلگرام را جمع آوری کند. نسخه اول تلگراب فقط فایل های متنی، اطلاعات مرورگر و کوکی ها را ذخیره می کرد و در نسخه دوم قابلیت جدیدی افزوده شد که به بدافزار اجازه می داد اطلاعات cache دسک تاپ را همراه اطلاعات لاگین (ورود) نیز، جمع آوری کند.

-  مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری (افتا) نیز بدافزار پیشرفته جاسوسی «Norxa» که سیستم عامل های ویندوز را هدف قرار می داد، کشف کرد. این نرم افزار مخرب پیچیده با هدف جاسوسی و جمع آوری اطلاعات طراحی شد و دارای قابلیت دریافت دستور از سرور C&C و اجرای عملیات های خراب کارانه در سیستم قربانی بود.

- از سوی دیگر یک گروه بدافزاری به نام OilRig حملات مداوم سایبری با استفاده از ابزارها و تکنیک های شناخته شده علیه نهادهای دولتی در منطقه خاورمیانه انجام دادند. در این حملات از ایمیل‌های فیشینگ استفاده شده و قربانی با روش‌های مهندسی اجتماعی، وادار به اجرای یک پیوست مخرب می‌شد.

- سازمان عفو بین الملل نیز اعلام کرد که یک نرم افزار جاسوسی متعلق به رژیم صهیونیستی فعالان حقوق بشر و برخی مقامات خاورمیانه را هدف گرفته است. رژیم صهیونیستی هر روز برای جاسوسی از فعالان حقوق بشر و مقامات دولتی در خاورمیانه و سراسر دنیا از فناوریهای بیشتری استفاده می کند.

- درهمین حال براساس تحقیقاتی که آزمایشگاه Citizen منتشر کرد، نرم‌افزار جاسوسی موبایل پگاسوس (Pegasus) طی دو سال گذشته در ۴۵ کشور جهان مورد استفاده قرار گرفت. این نرم افزار مخرب، یک بدافزار نظارتی است که توسط گروه NSO وابسته به رژیم صهیونیستی توسعه داده شد و قابلیت آلوده سازی دستگاه‌های اندروید و آیفون (ios) را داشت. این نرم‌افزار جاسوسی به صورت اختصاصی به دولت‌ها و آژانس‌های امنیتی فروخته می‌شود.

- پژوهشگران موسسه آکامای، با اعلام خبر نفوذ هکرها به هزاران مسیریاب از طریق UPnProxy ، بدافزار پیشرفته‌ای شناسایی کردند که می‌توانست پیکربندی‌های مسیریاب‌های خانگی را ویرایش واتصالات رایانه ها را آلوده کند.این مرکز شمار سیستم های درخطر را ۱.۷ میلیون سیستم اعلام و تاکید کرد که به حداقل ۴۵ هزار مسیریاب نفوذ شده است. این ویروس باج گیر سایبری که در صورت نداشتن نرم‌افزارهای ضدبدافزار مناسب، اقدام به رمزگذاری فایل و درخواست باج می کرد، در منطقه خاورمیانه نیز فراگیر شد.

کشور سنگاپور نیز درسالی که گذشت شاهد بدترین و بزرگترین حمله سایبری در تاریخ خود بود که در قالب آن حدود ۱.۵میلیون شهروند این کشور و از جمله نخست وزیر مورد حمله قرار گرفتند. در جریان حملات یادشده اطلاعات شخصی مربوط به سوابق پزشکی و دارویی شهروندان این کشور به سرقت رفت.

برخی حملات اینترنتی در فضای سایبری ایران

رخدادهایی که امنیت سایبری کشورها را هدف قرار داد، در سالی که گذشت در ایران نیز نمود بسیاری داشت. به نحوی که طبق اعلام مسئولان، روزانه ۵۰۰ هزار تهدید علیه امنیت سایبری کشور به ثبت رسید.

- یکی از این رخدادها، مربوط به حملات پراکنده از مبدا رژیم صهیونیستی به برخی زیرساخت های ارتباطی ایران بود. عامل حمله شرکت اینترنتی «گلدن لاین» متعلق به رژیم غاصب و مقصد آن به سمت شبکه ارتباطات موبایل بود که این حملات به موقع دفع شد؛ در این زمینه وزیر ارتباطات کشورمان از پیگیری حقوقی آن در مجامع بین المللی از طریق وزارت امورخارجه خبر داد.

- ۳ شرکت فیس بوک، توئیتر و گوگل در یوتیوب، بلاگر و گوگل پلاس، حساب برخی کاربران ایرانی را به بهانه فعالیتهای رسانه ای و ارتباط با شبکه رادیو و تلویزیون رسمی جمهوری اسلامی ایران مسدود کردند.

- درسالی که گذشت آسیب پذیری بحرانی تجهیزات مسیریاب سیسکو، باعث تهدید سایبری در بسیاری از کشورهای جهان از جمله ایران شد. آسیب پذیری سیستم های سخت افزاری تحت شبکه شرکت سیسکو، اختلال در دیتاسنترهای بیش از ۱۵۰ کشور را به همراه داشت و بیش از ۱۶۸ هزار رایانه در نقاط مختلف جهان به همین علت مورد حمله قرار گرفته اند.

- ازسوی دیگر آلودگی تجهیزات مسیریابی (روتر) میکروتیک از جمله رخدادهای سایبری در سطح کشور بود. حمله سایبری درقالب انتشار باج افزار که سرورهای HP را هدف قرارداد نیز قربانیانی در فضای مجازی ایران داشت.