کد منبع Carbanak لو رفت: گام بعدی چیست؟
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ این روزها، اخبار مربوط به Carbanak شده تیتر خبرهای داغ حوزههای امنیت سایبری. محققین امنیتی موفق شدند منبع کد این بدافزار بدنام را روی پورتالِ باز VirusTotal پیدا کنند. Carbanak در حقیقت موفقترین تهدید امنیتی مالی تا به امروز بوده است، کرمِ مخربی که خسارات مالیاش بیش از 1 میلیارد دلار تخمین زده شده است.
نگاهی به تاریخ Carbanak
متخصصین ما ابتدا در سال 2014 Carbanak را کشف نموده و آن را تحلیل کردند. ابتدا متوجه شدند وجوه نقدی از دستگاههای خودپرداز دزدیده میشوند اما بعداً پی بردند این حوادث تصادفی نبوده و به هم ربط دارند: کمپینِ بزرگ بینالمللی با هدف سرقت مقایر زیادی پول از بانکهای سراسر دنیا.
متخصصین ما داشتند تنها موارد اروپای شرقی را مورد بررسی قرار میدادند اما زمان زیادی طول نکشید که سر و کلهی قربانیان بیشتری پیدا شد- در آمریکا، آلمان و چین. درست مانند سایر حملات، این کمپین هم کارش را با فیشینگ شروع کرد. آن روزها خود را در قالب ایمیلی جا میزد که البته به طور پنهانی در خود پیوستهایی آلوده داشت که این پیوستها بر اساس بدافزار Carberp بَکدر نصب میکردند. بدینترتیب مجرمان سایبری میتوانستند به کل شبکهی سازمان مورد نظر دسترسی پیدا کنند (در این مورد منظورمان شبکههای بانکی است). آنها با دستکاری کردن کامپیوتر بانکها میتوانستند پول به جیب بزنند. البته مجرمین برای پول به جیب زدن راههای مختلفی بلدند. در برخی موارد آنها از راه دور به دستگاههای خودپرداز فرمان میدادند تا به آنها پول دهد. در برخی موارد دیگر نیز برای انتقال مستقیم پول به اکانتهایشان از شبکهی SWIFT استفاده میکردند. این متودها در سال 2014 چندان هم به طورگستردهای بکار گرفته نمیشدند؛ بنابراین مقیاس و فناوریهایی که Carbanak به کار برد هم صنعت بانکداری و هم حوزه امنیت سایبری را شدیداً تحتالشعاع قرار داد.
آینده چه در چنته دارد؟
از زمانی که Carbanak کشف شد، متخصصین ما شاهد چنیدن حملاتی بودهاند (برای مثال Silence) که همهشان هم تاکتیکهای مشابهی داشتند. سر نخهایی که ازشان پیدا شد نیز نشان از همان گروه جرایم سایبری داشته است. این حملات هنوز هم فعالند اما از وقتی کد منبع Carbanak همگانی شده است دیگر این اقدامات نیز تعداد دفعات بیشتری رخ میدهند؛ به حدی که حتی مهاجمینی که مهارت کدگذاری هم ندارند میتوانند چنین بدافزار پیچیدهای را برای خود بسازند. محقق لابراتوار کسپرسکی سرجری گولووانو که از همان اول پیگیری این مورد خاص را بر عهده داشت در این خصوص چنین میگوید:
«اینکه کد منبع بدافزار بدنام Carbanak روی وبسایت منبع باز موجود است نشانهی خوبی نیست. به طور حتم بدافزار Carbanak خود ابتدا بر پایهی کد منبع بدافزار Carberp (بعد از اینکه به صورت آنلاین منتشر شد) ساخته شده بود. همهی دلایل و شواهد ما را بر این باور مصمم میکند که این سناریو دوباره خودش را تکرار خواهد کرد و اینکه در آینده شاهد تغییرات خطرناکی در ساختار Carbanak خواهیم بود. خبر خوب اینکه از وقتی کد منبع Carberp لو رفته است، صنعت امنیت سایبری به طور چشمگیری پیشرفت کرده و اکنون میتواند براحتی کد دستکاریشده را شناسایی کند. ما از شرکتها و افراد خواستاریم تا با داشتن راهحل امنیتیِ قوی خود را در برابر تهدیدهای آتی محافظت کنند».
چطور ایمن بمانیم
توصیهی ما به شما برای مصون ماندن از تهدیدهایی همچون Carbanak:
فیدهای هوش تهدیدی را در فناوری مدیریت امنیت اطلاعات و وقایع (SIEM) و نیز سایر هدایتگرهای امنیتی یکپارچهسازی کنید تا بتوانید به اطلاعات به روزترین و مرتبطترین تهدیدها دسترسی داشته باشید؛ بدینترتیب میتوانید خود را در برابر حملات آینده آماده سازید. به منظور جلوگیری از چنین تهدیدهای پیشرفتهای میبایست آنها را بشناسید (که البته این خیلی آرمانگرایانه است) و بدانید هدفشان چیست و به دنال چه میگردند. سرویس هوش تهدیدی می تواند با فیدهای خود چنین اطلاعات ضروری را به شما ارائه دهد.
راهحلهای EDR همچون Kaspersky Endpoint Detection and Response را برای شناسایی در سطح اندپوینت، بررسی به موقع و رفع حوادث به کار ببندید. شناسایی نمونهای از فعالیت شِبه Carbanak در سطح اندپوینت نیازمند واکنشی سریع است و این درست همانجاییست که راهحلهای EDR میتوانند کمک کنند.
راهحل امنیتی در سطح سازمانی به کار ببندید که بتواند تهدیدهای پیشرفتهی سطح شبکه را در هر مرحلهای شناسایی کند. چیزی مانند Kaspersky Anti Targeted Attack Platform.
منبع: کسپرسکی آنلاین