ITanalyze

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ هیچ‌چیز سخت‌تر از پیش‌بینی کردن نیست. بنابراین به جای زل زدن به گوی جهان‌بین بهتر است بر پایه‌ی آنچه اخیراً اتفاق افتاده است حدس‌هایی سنجیده زد. همچنین باید نگاهی داشت به رویه‌هایی که ممکن است در ماه‌های آتی اتخاذ شود. سعی کردیم با کمک از باهوش‌ترین افراد و قرار دادن مبنای سناریوی خود روی حملات APT[1] پیش‌بینی‌هایی در خصوص وقایعی که ممکن است در چند ماه آینده رخ دهد ارائه دهیم. پس با ما همراه شوید:

نه به APTهای بزرگ

آیا این امکان وجود دارد در دنیایی که مدام داریم عاملین بیشتری را شناسایی می‌کنیم، تیر اولین پیش‌بینی به خطا رود؟ شاید دلیل این باشد که صنعت امنیت، پیوسته دارد عملیات‌های فوق پیشرفته‌ای را (که از سوی دولت حمایت می‌شوند) کشف می‌کند. اگر بخواهیم چنین وضعیتی را از منظرِ مهاجم نگاه کنیم می‌بینیم که واکنش منطقی‌اش به این ماجرا دنبال کردن تکنیک‌های پیچیده‌تر خواهد بود؛ تکنیک‌هایی که براحتی لو نمی‌روند و تنها مخصوص برخی از عاملین خیلی خاص است. به طور حتم راه‌های مختلفی برای انجام این کار وجود دارد. تنها لازمه‌ی این کار، درکِ روش‌هایی است که این صنعت برای تخصیص و شناسایی شباهت‌های بین حملات مختلف و ترفندهای بکار رفته در آن‌ها استفاده می‌کند؛ چیزی که چندان راز بزرگی هم نیست. با در اختیار داشتن منابع کافی، راه‌حلی ساده برای یک مهاجم ممکن است مجموعه فعالیت‌های پیوسته‌ای را به همراه داشته باشد که سخت بتوان آن‌ها را به همان مهاجم یا همان عملیات ربط داد. مهاجمینی که دستشان در بخش منابع حسابی باز است می‌توانند عملیات‌های نوآورانه‌ی جدیدی را آغاز کنند؛ این درحالیست که می‌توانند همچنان عملیات‌های قدیمی خود را نیز در چنته نگه دارند. البته که این احتمال هم وجود دارد عملیات‌های قدیمی‌تر شناسایی شوند اما کشف عملیات‌های جدید بسی چالش بزرگ‌تری است.

ظاهراً در برخی موارد برای عاملین بسیار خاص که می‌توانند کمپین‌های پیچیده‌تری بسازند، خیلی بهتر است که به جای انجام این کار مستقیماً زیرساخت‌ها و شرکت‌هایی را مورد هدف قرار دهند که در آن‌ها، قربانیان را می‌شود براحتی پیدا کرد مانند  ISPها. برخی اوقات این کار را می‌شود با رگولاسیون و بدون نیاز به بدافزار انجام داد. برخی عملیات‌ها به گروه‌ها و شرکت‌های مختلف که از ابزارها و تکنیک‌های مختلف استفاده می‌کنند اختصاص داده می‌شود و همین کارِ تخصیص را بسی دشوار می‌کند. شایان ذکر است که در بخش عملیات‌هایی که از سوی دولت حمایت می‌شوند چنین جداسازیِ منابع و استعدادی ممکن است آینده‌ی چنین کمپین‌هایی را تحت‌الشعاع قرار دهد.

در چنین سناریویی، صنعت خصوصی دارنده‌ی اصلیِ این قابلیت‌ها و ابزارهای فنی است. در بسیاری از موارد این قابلیت‌ها و ابزارها برای آن دسته از مشتریانی که به درک جامعی از جزئیات فنی و پیامد آن‌ها ندارند قابل فروش نیستند. همه‌ی اینها نشان می‌دهد احتمال کشف عملیات‌های بسیار پیچیده بسیار پایین است چراکه مهاجمینی که منابع خوبی در اختیار دارند خیلی راحت‌تر می‌توانند به الگوهای جدید تغییر مسیر دهند.

سخت‌افزار شبکه و اینترنت اشیاء[2]

زمانی این واقعاً منطقی به نظر می‌رسد که هر عاملی برای سخت‌افزار شبکه‌ای از ابزارها و قابلیت‌های طراحی‌شده استفاده کند. کمپین‌هایی چون  VPNFilter نمونه‌ی بارزیست از اینکه چطور مهاجمین از پیش از بدافزار‌ خود برای ساخت بات‌نت‌هایی چند منظوره استفاده می‌کرده‌اند. در این مورد خاص، حتی وقتی چنین بدافزاری شیوع یافت، خیلی زمان برد تا حمله شناسایی شود. این بسیار نگران‌کننده است زیرا نمی‌دانیم در عملیات‌هایی با سطح بالاتری از هدفمندی‌ قرار است چه اتفاقی بیافتد. در وقع این ایده برای عاملینی که منابع بسیار خوبی در اختیار دارند حتی یک گام فراتر نیز می رود: چرا به جای صرفاً تمرکز روی یک سازمان مورد هدف، مستقیم به زیرساخت‌های پایه‌ای‌تر حمله نکنیم؟ پر واضح است که این میزان از کنترل می‌تواند برای یک مهاجم تا چه اندازه وسوسه‌انگیز باشد. آسیب‌پذیری‌های  سخت‌افزار شبکه به مهاجمین اجازه می‌دهد تا مسیرهای مختلفی را دنبال کنند. آن‌ها ممکن است یک سبک بات‌نتی را انتخاب کنند و در آینده آن شبکه را برای مقاصد مختلفی به کار ببنند. شاید هم برای پیش بردن حملاتی بسیار سرّی، به سمت تارگت‌هایی دست‌چین‌شده‌ سوق داده شوند. در مورد دوم، حملات " بدون ‌بدافزار" قرار می‌گیرد؛ جایی که باز کردن یک تونل وی‌پی‌ان برای ریدایکرت کردن ترافیک ممکن است تمام اطلاعات لازم را در اختیار مهاجم قرار دهد. تمام این المان‌های شبکه‌سازی ممکن است بخشی از پدیده‌ی اینترنت اشیاء باشد؛ جایی که در آن بات‌نت‌ها بی‌محا و بدون توقف در حال رشدند. وقتی صحبت از مختل کردن (به عنوان مثال) زیرساخت‌های اساسی به میان می‌آید، اگر این بات‌نت‌ها دست مجرمین بیافتند می‌توانند کاری کنند کارستان. عاملینی که منابع خوبی در دست دارند می‌توانند حسابی از آن‌ها سوءاستفاده کنند (شاید با استفاده از یک گروه پوشش و یا چیزی مثل حمله‌ی تروریستی).

بات‌نت‌های چندمنظوره می‌توانند جدا از بحث حملات اختلال‌گر در موارد دیگر هم به کار گرفته شوند. برای مثال در ارتباطات مخرب با فرکانس دامنه کوتاه که در حقیقت با دور زدن کانال‌های قراردادیِ فیلتر، ابزارها نمی‌توانند روی امور نظارت داشته باشند. گرچه فقط شبیه به هشداری باشد که هر سال داده می‌شود اما نباید هرگز قدرت بات‌نت‌های اینترنت اشیاء را دست کم گرفت- آن‌ها دارند از هر زمان دیگری قدرتمندتر می‌شوند.

حمله‌ی متقابل

یکی از بزرگ‌ترین سوال‌ها در خصوص دیپلماسی و ژئوپولیتیک این بود که چطور می‌شود از پسِ یک حمله‌ی سایبری برآمد؟ پاسخ، ساده نیست و تا حد زیادی به این بستگی دارد که حمله تا چه اندازه بد و آشکار است (البته این به عوامل دیگری هم وابسته است). با این حال، به نظر می‌رسد بعد از هک‌هایی مانند آنی که در کمیته ملی دموکرات[3] شاهدش بودیم، اوضاع کمی جدی‌تر شد.

برخی حملات مانند هک‌های Sony Entertainment Network یا حمله به DNC پیامدهایی سیاسی دارند. بدین‌معنا که عملیات‌ها توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی طوری اجرای می‌شوند که باعث شود فکر کنیم گروه‌ها یا کشورهای دیگری این عملیات‌ها را انجام داده‌اند. روسیه خود کشوریست که از این پیامدهای سیاسی زخم خورده است. همین شاید باعث شود در مورد عملیات‌هایی از این دست در آینده تجدید نظر شود. با این حال، ترس از اتفاق افتادن چنین چیزی در آینده یا فکر اینکه شاید چنین عملیات‌هایی همین الانش هم اتفاق افتاده باشند بزرگ‌ترین دستاورد مهاجمین است. آن‌ها می‌توانند به روش‌های مختلف و دقیق‌تری از این شک، ترس و حس عدم اطمینان به بهترین شکل ممکن بهره ببرند؛ چیزی که بیشتر در عملیات‌های بزرگ و قابل‌توجه شاهدش بوده‌ایم: برای مثال Shadowbrokers. تازه باید منتظر نمونه‌های بیشتری هم بود.

در آینده شاهد چه چیزهایی خواهیم بود؟ شاید نمونه‌هایی از این قبیل در گذشته اتفاق افتاده باشد اما گمان داریم تنها فاز آزمایشی بوده‌اند. حدس می‌زنیم این موج تازه به راه افتاده باشد و احتمالاً در آینده شاهد ظهور آن به روش‌های گوناگون خواهیم بود. برای مثال در رویدادهای پرچم دروغین[4] مانند Olympic Destroyer که هنوز هم مشخص نیست هدف نهایی چه بود و برنامه چطور پیش رفت.

ظهور تازه واردها

خلاصه بگوییم ظاهراً APT به دو گروه تقسیم می‌شود: عاملین پیشرفته و بسیار مجهز (که پیش‌بینی می‌شود همه ناپدید شوند) و گروهی از تازه واردهای پرانرژی که می‌خواهند تمام‌قد در میدان کارزار خودنمایی کنند. این نکته را هم در نظر داشته باشید که موانع ورود به بازار تا به حال به این اندازه کم نبوده است: امروزه صدها ابزار بسیار کارامد، اکسپلویت‌های بازمهندسی‌شده‌ی لو رفته و فریم‌ورک‌هایی از همه نوع که دسترسی به آن‌ها برای همگان ممکن است وجود دارد. چنین ابزارهایی تقریباً تخصیص را محال می‌کنند و در صورت لزوم می‌توانند براحتی سفارشی‌سازی شوند. دو جای این دنیا هست که این گروه‌ها در آن‌ها بیشتر دیده می‌شوند: جنوب شرق آسیا و خاورمیانه. گفته می‌شود در این نواحی موارد زیادی از این گروه‌ها گزارش شده‌اند؛ گروه‌هایی که با سوءاستفاده از مهندسی اجتماعی به سمت هدف‌های داخلی خود حرکت می‌کنند و از قربانیان آسیب‌پذیر و نبود فرهنگ امنیتی نهایت استفاده را می‌برند. با این حال، همینطور که تارگت‌ها لایه‌ی دفاعی خود را بیشتر می‌کنند، مهاجمین نیز قابلیت‌های خود را روز به روز بیشتر افزایش می‌دهند.

یکی از جنبه‌های جالبی که می‌شود از زاویه فنی بدان نگاه کرد این است که چطور ابزارهای پسا-اکسپلویت[5] JavaScript ممکن است (با توجه به فقدان لاگ‌های سیستم آن، توانایی‌اش در اجرای سیستم‌عامل‌های قدیمی‌تر و اینکه محدود کردن کارکرد آن توسط ادمین کار سختیست) در کوتاه مدت دستخوش تغییراتی جدید شوند.

حلقه‌های منفی

با مشاهده‌ی  Meltdown، Spectre ، AMDFlaws و تمام آسیب‌پذیری‌های مربوطه (و البته آن‌هایی که در راهند) با ما کاری کردند که دیگر نظرمان نسبت به خطرهایی که بدافزارها می‌توانند داشته باشند عوض شده است. هرچند آسیب‌پذیری‌ها زیر حلقه 0 نبودند اما احتمال بروز چنین حملاتی بسیار زیاد است (زیرا تقریباً هیچ مکانیزم امنیتی نمی‌تواند آن‌ها را شناسایی کند). برای مثال، در مورد SMM دست کم از سال 2015 یک PoC وجود دارد که دسترسی به آن برای همگان آزاد است. SMM یک ویژگی  CPU است که به طور کارامدی دسترسی کامل و ریموتی را به کامپیوتر ممکن می‌سازد؛ آن هم بدون اینکه بگذارد فرآیندهای حلقه 0 به فضای مموری آن دسترسی پیدا کنند. برای همین مانده‌ایم آیا اینکه هنوز بدافزاری که بتواند از این قابلیت سوءاستفاده کند تنها بخاطر این است که شناسایی‌اش سخت است یا دلیلی دیگری دارد. این قابلیت آنقدر فرصت خوبی است که نمی‌شود کسی از آن سوءاستفاده نکند پس چیزی که از آن مطمئنیم این است که برخی گروه‌ها سال‌هاست تلاش دارند از این ساز و کارها سوءاستفاده کنند (و شاید هم در این امر بسیار موفق بوده‌اند).

روش تخریب مورد علاقه‌تان

شاید در این مقاله انتظار پیش‌بینی فیشینگ را نداشتید اما در این بخش می‌خواهیم بدان بپردازیم. ما بر این باوریم که موفق‌ترین عامل/روش مخرب در آینده‌ای نه چندان دور از همیشه اهمیت بیشتری پیدا خواهد کرد. کلید موفقیتش هم در کنجکاو نگه داشتن قربانی است.  با استفاده از داده‌های لو رفته از پلت‌فرم‌های شبکه‌های اجتماعی مختلف، مهاجمین می‌توانند این رویکرد را ارتقا بخشند. داده‌های بدست‌آمده از حملات روی شبکه‌های اجتماعی مانند فیسبوک و اینستاگرام و همچنین لینکدین و توییتر در بازار برای همه موجود نیست. در برخی موارد هنوز مشخص نشده چه نوع داده‌هایی مد نظر مهاجمین بوده است اما شاید این اطلاعات شامل پیام‌های شخصی و یا حتی جزئیات محرمانه باشند. این برای مهندسان اجتماعی حکم گنج را دارد و می‌تواند باعث شود مهاجم اطلاعات محرمانه را از بدزد و آن را روی شبکه‌های اجتماعی به اشتراک بگذارد. این را می‌توان با تکنیک‌های قدیمی جمع‌آوری اطلاعات نیز ترکیب کرد؛ جایی که مهاجمین هدف خود را حسابی چک می‌کنند تا مطمئن شوند قربانی، مورد مناسبی است و بدین‌ترتیب توزیع بدافزار کم شده و شناسایی سخت‌تر می‌شود. به طور حتم با استفاده از فناوری یادگیری ماشین هم می‌شود کارایی فیشینگ را بالا برد. هنوز معلوم نیست در واقعیت این کار چه نتایجی به همراه خواهد داشت اما آنچه مشخص است این است که ترکیب همه‌ی این عامل‌ها می‌تواند فیشینگ را به روش تخریبی حرفه‌ای و مؤثر بدل کند خصوصاً اگر از طریق رسانه‌های اجتماعی صورت گیرد.

نابودگر مخرب

نابودگر Olympic یکی از مشهورترین موارد بدافزارهای بسیار مخرب در طول سال گذشته بود؛ خیلی از مهاجمین همچنان دارند مرتباً در کمپین‌های خود از آن استفاده می‌کنند. حملات نابودگر برای مهاجمین مزایای بسیاری دارند خصوصاً از لحاظ ایجاد انحراف و پاک کردن هر نوع لاگ یا شواهد بعد از حمله. در حقیقت حکم یک غافلگیری کثیف را برای قربانی دارد. به طور کلی کلید همه ی این حملات در این است که آن‌ها بسیار وسوسه‌انگیز به نظر می‌رسند جوری که نمی‌شد به سمتشان نرفت. جوامع مدنی بین المللی و زیرساخت‌های اساسی از همه بیشتر در برابر چنین حملاتی آسیب‌پذیرند و گرچه صنایع و دولت‌ها در طول ای چند سال برای بهبود این وضع بسیار تلاش کردند اما هنوز خیلی راه مانده تا شرایط سامان یابد. برای همین است که باور داریم گرچه این حملات هیچگاه به طور همگانی شیوع نمی‌یابند اما در سال آینده شاهد موارد بیشتری از این دست خواهیم بود.

زنجیره تأمین پیشرفته

این عامل حمله از همه بیشتر نگران‌کننده است و در طول 2 سال اخیر خیلی از آن سوءاستفاده شده است. برای این نوع حمله هیچ پاسخ راحتی پیدا نمی‌شود. گرچه این عامل حمله برای به دام انداختن کل صنعت (چیزی شبیه به حملاتwatering hole ) و یا حتی کل کشور (همانطور که در NotPetya شاهد بودیم) بی‌نظیر است؛ اما وقتی صحبت از حملات هدف‌دار بیشتری می‌شود این نوع حمله هیچ گزینه‌ی خوبی نیست زیرا احتمال شناسایی آن زیاد است. شاید با خود بپرسید آیا این نوع حمله می‌تواند به صورت هدفمندتری مرود استفاده قرار گیرد؟ به نظر می‌رسد در مورد نرم‌افزارها این قضیه سخت باشد زیرا هر جایی باشد از خود اثری باقی می‌گذارد و بدافزار به چندین مشتری توزیع می‌شود. به طور کلی حملات زنجیره تأمین، عامل‌های مخرب بسیار کارامدی هستند که در آینده قرار است شاهد موارد بیشتری از آن‌ها باشیم. در مورد ایمپلنت‌های سخت‌افزاری نیز فکر می‌کنیم احتمال اتفاق افتادن‌شان خیلی کم است و اگر هم اتفاق بیافتند هیچیک باخبر نخواهیم شد.

و موبایل  

این بخش، پایه ثابت پیش‌بینی‌های هر سال است. چیز جدیدی در این بخش انتظار نداریم اما باید این را هم بگوییم که این موج، دو مسیر آلودگی را طی می‌کند. یکی موبایل  و دیگری پی‌سی. واقعیت این است که در بخش اندروید حملات بیشترند تا آی‌او اس. اتفاق غیرمنتظره‌ای را برای این حوزه پیش‌بینی نمی‌کنیم اما احتمال می‌دهیم مهاجمین پیشرفته همچنان بخواهند به روش‌های مختلف وارد دستگاه‌های قربانیان شوند.

سایر موارد

مهاجمین چه برنامه‌هایی برای حملات آتی خود دارند؟ یکی از ایده‌ها در حوزه نظامی این است که شاید دیگر از نیروهای انسانی ضعیف استفاده نکنند و به جای آن‌ها بیشتر از ماشین‌ها کمک بگیرند. شاید به جای عوامل انسانی برای هک‌های دامنه کوتاه از پهپادها استفاده کنند، یا شاید برای جمع‌آوری داده‌ها در برخی از پروژه‌های رمزارز خود از بک‌در کمک بگیرند. این احتمال هم می‌رود که در پولشویی های خود از ارزها دیجیتالی استفاده کنند. نظرتان راجع به استفاده از خریدهای درون‌بازی‌ای و بعد فروختن چنین اکانت‌هایی در بازار چیست؟ خیلی وقت‌ها هم ممکن است همه‌چیز آنطور که پیش‌بینی می‌شده پیش نرود. پیچیدگی‌ای که در این فضا وجود دارد باعث می‌شود تا قطعیت و حتی احتمال هم از بین برود. حتی خود متخصصان حمله هم در حوزه‌های مختلف برایشان نقاط کوری بوجود می‌آورد که سوال‌برانگیز است. هیچگاه نمی‌توان فهمید قدم بعدی مهاجمین سایبری در کدام مسیر است. تنها کاری که از دست ما بر می‌آید این است که سعی کنیم حدس‌های معقول بزنیم، حملات را درک کنیم و کاری کنیم در آینده دیگر تکرار نشوند. 

[1]Advanced persistent threat:  تهدیدهای پیشرفته و مستمر

[2] IOT

[3] Democratic National Committee

[4]  false flag: به عملیاتهایی گفته می‌شود که توسط نهادهای نظامی، شبه نظامی، اطلاعاتی یا سیاسی به گونه‌ای انجام می‌شود که این تصور به وجود آید که گروه‌ها یا کشورهای دیگری این عملیاتها را انجام داده‌اند.

[5]  post-exploitation

منبع: کسپرسکی آنلاین