شناسایی عامل مخرب جاسوسی در کارزار TunnelSnake

/در , , , , , , /توسط
 
 
گروهی از مهاجمان سایبری از سال ۲۰۱۹ در کارزاری بنام TunnelSnake با به‌کارگیری حداقل یک روت‌کیت اختصاصی، به آلوده‌سازی سامانه‌های با سیستم‌عامل Windows اقدام ‌کرده‌اند و جاسوسی و سرقت اطلاعات از آنها را همچنان ادامه می‌دهند.
 
 روت‌کیت‌ها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستم‌عامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه می‌دارند. این روت‌کیت که کسپرسکی آن را Moriya نام‌گذاری کرده یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکه‌ای قربانی و ارسال فرمان‌های موردنظرآنان قادر می‌کند.
 
به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه می‌دهد تا ترافیک ورودی را در سطح هسته (Kernel Space)  رصد و تحلیل کنند. سطح هسته یا همان  Kernel Space جایی است که هسته سیستم‌عامل در آن قرار دارد و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.
 
روت‌کیت Moriya فرمان‌های مهاجمان را از طریق بسته‌های دست‌کاری شده خاصی دریافت می‌کند که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی وجود ندارد.
 
این ترفندها محدود به Moriya نیست و روند رو به افزایش تعداد مهاجمان نشان می‌دهد که آنان تلاش می‌کنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیک‌ها) برای مدت‌ها بدون جلب‌توجه در شبکه قربانی ماندگار بمانند.
 
در کارزار TunnelSnake، برای ازکار انداختن و متوقف کردن اجرای پروسه‌های ضدویروس، از بدافزاری با عنوان ProcessKiller  بهره گرفته و همچنین برای گسترش دامنه آلودگی و شناسایی دستگاه‌های آسیب‌پذیر، از ۴ ابزار دیگر کمک ‌گرفته‌ شده است. ‌تعداد سازمان‌هایی که کسپرسکی، Moriya را در شبکه آنها شناسایی کرده است کمتر از ۱۰ مورد هستند و همه آنها سازمان‌های مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بوده‌اند.
 
نشانه‌های آلودگی، لینک مشروح گزارش کسپرسکی و همچنین منابع آشنایی با کارزار TunnelSnake در پایگاه اینترنتی مرکز مدیریت راهبردی افتا قابل دریافت و مطالعه است.
 

حمله سنگین سایبری به اپراتور سوخت آمریکا

/در , , , , , , /توسط
اپراتور ارشد خط لوله سوخت ایالات متحده با نام «کولونیال پایپ‌لاین» (Colonial Pipeline) اعلام کرد که شبکه خود را پس از یک حمله سایبری تعطیل کرده است.
 
 
به نقل از رویترز، این شبکه سوخت را از پالایشگاه‌های آمریکا به مناطق پرجمعیت شرق و جنوب ایالات متحده ارسال می‌کند. این شرکت روزانه ۲ میلیون و ۵۰۰ هزار بشکه بنزین، گازوئیل، سوخت جت و سایر محصولات تصفیه‌شده را از طریق خطوط لوله ۸۸۵۰ کیلومتری خود جابجا می‌کند.
 
«کولونیال پایپ‌لاین» می‌گوید که ۴۵ درصد از سوخت سواحل شرقی را تامین می‌کند. در بیانیه صادر شده، آمده است که این اپراتور از حمله روز جمعه مطلع شده و سیستم‌ها را برای جلوگیری از تهدید، آفلاین کرده است. به گفته این شرکت، حمله سایبری  به صورت موقت، باعث متوقف شدن برخی از سیستم‌ها شده است. یک شرکت امنیت سایبری تحقیقات خود را برای یافتن سرنخ‌هایی درخصوص این حمله آغاز کرده است.
 
«کولونیال پایپ‌لاین» بلافاصله پس از اطلاع از حمله، مراتب را با پلیس و سایر آژانس‌های فدرال در میان گذاشته است. این شرکت از ارائه توضیحات بیشتر درخصوص چگونگی این حمله سایبری و وضعیت کنونی اطلاعاتی را در اختیار رسانه‌ها قرار نداده است.
 
به‌دنبال این اتفاق قیمت معاملات آتی بنزین و گازوئیل در بورس کالای نیویورک افزایش یافته است.

حمله سنگین سایبری به اپراتور سوخت آمریکا

/در , , , , , , /توسط
اپراتور ارشد خط لوله سوخت ایالات متحده با نام «کولونیال پایپ‌لاین» (Colonial Pipeline) اعلام کرد که شبکه خود را پس از یک حمله سایبری تعطیل کرده است.
 
 
به نقل از رویترز، این شبکه سوخت را از پالایشگاه‌های آمریکا به مناطق پرجمعیت شرق و جنوب ایالات متحده ارسال می‌کند. این شرکت روزانه ۲ میلیون و ۵۰۰ هزار بشکه بنزین، گازوئیل، سوخت جت و سایر محصولات تصفیه‌شده را از طریق خطوط لوله ۸۸۵۰ کیلومتری خود جابجا می‌کند.
 
«کولونیال پایپ‌لاین» می‌گوید که ۴۵ درصد از سوخت سواحل شرقی را تامین می‌کند. در بیانیه صادر شده، آمده است که این اپراتور از حمله روز جمعه مطلع شده و سیستم‌ها را برای جلوگیری از تهدید، آفلاین کرده است. به گفته این شرکت، حمله سایبری  به صورت موقت، باعث متوقف شدن برخی از سیستم‌ها شده است. یک شرکت امنیت سایبری تحقیقات خود را برای یافتن سرنخ‌هایی درخصوص این حمله آغاز کرده است.
 
«کولونیال پایپ‌لاین» بلافاصله پس از اطلاع از حمله، مراتب را با پلیس و سایر آژانس‌های فدرال در میان گذاشته است. این شرکت از ارائه توضیحات بیشتر درخصوص چگونگی این حمله سایبری و وضعیت کنونی اطلاعاتی را در اختیار رسانه‌ها قرار نداده است.
 
به‌دنبال این اتفاق قیمت معاملات آتی بنزین و گازوئیل در بورس کالای نیویورک افزایش یافته است.

حمله سایبری به دولت، پارلمان و دانشگاه‌های بلژیک

/در , , , , , , /توسط
 
 
پارلمان، سازمان‌های دولتی و دانشگاه‌های بلژیک با حمله سایبری روبرو شدند و ارتباط اینترنت آنها دچار اختلال شد.
 
به نقل از آسوشیتدپرس، تهیه کننده سرویس اینترنت برای پارلمان، سازمان‌های دولتی، دانشگاه و انستیتوهای علمی بلژیک، اعلام کرد شبکه‌های آن با حمله سایبری روبرو و ارتباطش با چند مشتری نیز مختل شده است.
 
شرکت «بلنت» (Belnet) روز گذشته در بیانیه‌ای اعلام کرد این حمله همچنان به شکل موج‌های پی در پی انجام شده است. در بیانیه آمده است: تیم‌ها مشغول فعالیت هستند تا این حملات را دفع کنند.
 
دو ساعت پس از انتشار این بیانیه، بلنت در پستی اعلام کرد تأثیر حملات در حال کاهش است اما جزئیات بیشتری درباره آن فراهم نکرد.
 
طبق گزارش رسانه‌های بلژیکی سرویس‌های آنلاین مراکز واکسیناسیون کووید ۱۹ و همچنین دفاتر دادستانی در بروکسل نیز با اختلال روبرو شده‌اند. دیرک هائک مدیر بلنت در این باره گفت: این نخستین باری است که با چنین حمله عظیمی روبرو می‌شویم.
 
او همچنین تاکید کرد: هدف چنین حمله از کار انداختن سیستم بوده و هیچ اطلاعاتی سرقت نشده است.
 
بلنت حدود ۲۰۰ مشتری در این کشور دارد.

سیستم افشای حفره‌های امنیتی مایکروسافت اصلاح می‌شود

/در , , , , , , , , /توسط
 
مایکروسافت پس از درز اطلاعاتی که به حملات سایبری علیه هزاران مشتری نرم افزار اکسچنج این شرکت در سراسر جهان منتهی شد، در حال بازبینی برنامه اشتراک گذاری حفره‌های کدنویسی در محصولاتش با شرکت‌های دیگر است.
 
 بلومبرگ به نقل از شش منبع آگاه نوشت: این غول نرم افزاری در حال بررسی چگونگی و زمان اشتراک گذاری اطلاعات با دستکم ۸۱ مشارکت کننده در برنامه حمایتهای فعال مایکروسافت است.
 
برنامه حمایتهای فعال مایکروسافت به بعضی از مشتریان درباره آسیب پذیریهای موجود در محصولات مایکروسافت روزها یا هفته ها پیش از افشای عمومی آنها اطلاع  می‌دهد و این اطلاعات برای دفاع در برابر حملات احتمالی بسیار مهم قلمداد  می‌شوند.
 
با این حال چهار منبع آگاه از تحقیقات مایکروسافت درباره حمله به سرورهای متکی به نرم افزار اکسچنج  می‌گویند مایکروسافت از این واهمه دارد که مشارکت کنندگان در برنامه حمایتهای فعال درباره آسیب پذیری اکسچنج به هکرها اطلاع داده باشند. مایکروسافت به روزرسانی نرم افزاری برای ترمیم حفره‌های امنیتی این نرم افزار را در دوم مارس منتشر کرده بود.
 
به گفته منابع آگاه، تحقیقات مایکروسافت به دو شرکت چینی به عنوان منابع احتمالی درز اطلاعات متمرکز شده است.
 
افشای آسیب پذیری نرم افزار مایکروسافت در اواخر فوریه پس از وقوع یکی از گسترده ترین حملات سایبری در تاریخ صورت گرفت. مایکروسافت هکرهای چینی تحت حمایت دولت را که هافنیوم نام گرفته بودند، عامل این حمله خواند. در جریان این حمله سایبری بیش از ۶۰ هزار سیستم ایمیل دولتی و خصوصی در سراسر جهان هدف قرار گرفتند و عمده حملات طی آخرین تعطیلات هفتگی فوریه انجام شد.
 
با این حال وزارت امور خارجه چین در پاسخ به درخواست اظهارنظر بلومبرگ نیوز، اعلام کرد چین با هر شکلی از حملات یا نفوذ آنلاین مخالف است. قوانین چینی درباره جمع آوری اطلاعات و کنترل آنها به شکل روشنی از امنیت اطلاعات حمایت کرده و با حملات سایبری و سایر فعالیتهای مجرمانه مخالف است.
 
پیش از این که برنامه حمایتهای فعال مایکروسافت ایجاد شود، هکرها و محققان امنیتی منتظر انتشار وصله های امنیتی مایکروسافت در دومین سه شنبه هر ماه می شدند. سپس این دو گروه به تلاش برای مهندسی معکوس وصله ها می پرداختند تا ریشه آسیب پذیری را شناسایی کنند. سپس هکرها به بهره برداری از حفره‌های امنیتی و محققان به تلاش برای دفاع از آنها مشغول می شدند.
 
برنامه وصله سه شنبه هنوز وجود دارد. برنامه حمایتهای فعال مایکروسافت در سال ۲۰۰۸ آغاز به کار کرد تا به بعضی از بزرگترین مشتریان مایکروسافت اجازه دهد در این زمینه از خلافکاران سایبری جلوتر باشند.
 
دستکم ۱۳ شرکت چینی در این برنامه حضور داشتند که دو شرکت از میان آنها حذف شدند. شرکت هانگژو دی پی تک تکنولوژیز در سال ۲۰۱۲ به دلیل نقض توافق عدم افشا از این برنامه حذف شد. یک محقق امنیت سایبری دریافت که هانگژو مدارک یک آسیب پذیری حساس در یک محصول مایکروسافت را به هکرهای چینی لو داده است. شرکت کیهو ۳۶۰ تکنولوژی هم پس از این که سال گذشته به دلیل نگرانیهای امنیت ملی هدف کنترلهای صادراتی آمریکا قرار گرفت، از برنامه مایکروسافت حذف شد.
 
بر اساس گزارش بلومبرگ، مایکروسافت بعید است با وجود درز اطلاعات آسیب پذیری اکسچنج، اعضای چینی در برنامه حمایتهای فعال مایکروسافت را حذف کند اما این شرکت ممکن است میزان اطلاعاتی که با اعضای این برنامه در چین به اشتراک می گذارد را محدود کند.
 

هکرها اطلاعات طرح ها و محصولات اپل را سرقت کردند

/در , , , , , , , /توسط
 
 
به تازگی یک حمله باج افزاری به اپل افشا شده که منجر به سرقت اطلاعاتی بی سابقه در مورد طرح‌ها و محصولات تولیدی این شرکت شده است.
 
به نقل از ورج، باج افزارنویسان، شرکت تایوانی کوانتا را هدف حملات خود قرار داده‌اند که در زمینه تولید مک بوک و برخی تجهیزات سخت افزاری دیگر اپل فعال است.
 
اطلاعات سرقت شده مربوط به تولیدات فعلی و آتی شرکت اپل است. این اقدام توسط یک گروه هکری روس به نام رویل صورت گرفته که به سودینوکیبی نیز مشهور است و در تاریخ ۲۰ آوریل تصاویری از داده‌های سرقت شده خود را به اشتراک گذاشت.
 
این اقدام پس از آن رخ داد که شرکت تایوانی کوانتا از پرداخت باج ۵۰ میلیون دلاری به این گروه هکری خودداری کرد. این هکرها از خود اپل خواسته‌اند تا اول ماه می، باج درخواستی را پرداخت کند، در غیر این صورت روند انتشار اطلاعات خصوصی اپل ادامه می‌یابد.
 
کوانتا نفوذ هکری به سرورهای خود را تأیید کرده و افزوده که در حال بررسی موضوع با همکاری متخصصان امنیت سایبری است و این روند بر کسب و کار آن تأثیری نخواهد داشت. هکرهای گروه رویل قبلاً نیز حملاتی را به شرکت‌هایی مانند ای سر انجام داده بودند.
 
اطلاعات منتشر شده توسط این هکرها مربوط به بازطراحی رایانه آی مک، مک بوک ایر ام ۱ سال ۲۰۲۰ و برخی لپ تاپ‌های هنوز عرضه نشده این شرکت بوده است.

مهاجمان سایبری در پی نفوذ به ذخیره‌سازهای تحت شبکه کیونپ

/در , , , , , , , /توسط
 
وجود سه آسیب‌پذیری امنیتی در محصولات ذخیره‌ساز تحت شبکه کیونپ (QNAP)، موجب شده است تا مهاجمان بتوانند این محصولات را در اختیار گرفته و کنترل کنند. 
 
مهاجمان سایبری پس از دسترسی کامل به اطلاعات ذخیره‌شده در ذخیره‌سازهای کیونپ (NAS) ، داده‌های ذخیره‌شده روی تجهیزات NAS را با شیوه خاصی رمزگذاری می‌کنند. 
 
کارشناسان شرکت کیونپ تصریح کرده‌اند: مهاجمان سایبری از باج‌افزاری با نام Qlocker استفاده کرده و با به‌کارگیری یکی از آسیب‌پذیری‌ها، در حال رمز کردن داده‌های ذخیره‌شده روی تجهیزات NAS ساخت این شرکت هستند.
 
مهاجمان Qlocker پس از اتصال به سیستم ذخیره ‌از تحت شبکه کیونپ (NAS)، اطلاعات را در قالب فایل‌های 7zip به‌صورت فشرده رمز می‌کنند. شرکت کیونپ (QNAP Systems, Inc) با انتشار به‌روزرسانی، سه آسیب‌پذیری‌ امنیتی "حیاتی" (Critical) را در محصولات(NAS) ساخت خود ترمیم کرده است.
 
با انجام به‌روزرسانی توصیه‌شده، در چهار نسخه از تولیدات کیونپ، آسیب‌پذیری‌ها برطرف شده است. اطلاعات فنی، توصیه‌نامه‌های مقابله با باج‌افزار  Qlocker ، لیست آسیب‌پذیری‌های محصولات NAS و روش مقاوم‌سازی محصولات ذخیره‌ساز تحت شبکه کیونپ ، در پایگاه الکترونیکی مرکز مدیریت راهبردی افتا دراختیار متخصصان ، کارشناسان و مدیران IT سازمان‌ها و دستگاه‌های زیرساخت حیاتی کشور قرار گرفته است.
 

هشدار برای حملات گسترده به نرم افزارهای سازمانی SAP

/در , , , , , , , , , , /توسط
محققان هشدار دادند که آسیب پذیری‌های مهم در برنامه‌های SAP که از گذشته هنوز وصله نشده‌اند به طور گسترده مورد توجه مجرمان سایبری در سراسر جهان قرار گرفته‌اند و از آنها سوءاستفاده می‌شود.
دو شرکت SAP و Onapsis روز گذشته به طور مشترک گزارشی از فعالیت‌های صورت گرفته در این زمینه را منتشر کردند و توضیح دادند نقص‌های امنیتی در خانواده آسیب پذیری‌ها با شدت CVSS طبقه بندی می‌شوند و به عبارت دیگر در رتبه بنده 10 امتیازی میزان خطرناک بودن اپلیکیشن امتیاز آنها 10 در نظر گرفته شده است، مورد هدف مهاجمان سایبری قرار گرفتند.
اپلیکیشن‌های SAP توسط بیش از 400 هزار سازمان در سراسر جهان مورد استفاده قرار می‌گیرند. در حالی که شرکت SAP از هرگونه نقض مستقیم مربوط به مشتریان سازمانی خود مطلع نیستد، این شرکت و فروشنده محصولات آن یعنی Onapsis توضیح دادند که دستکم 1500 اپلیکیشن سازمانی شرکت SAP بین ماه‌های ژوئن 2020 تا مارس 2021 مورد هدف حملات سایبری قرار گرفته‌اند و حداقل 300 مورد از حملات صورت گرفته به این نرم افزارها موفقیت آمیز بوده است.
گزارش مشترک این دو شرکت نشان داد که نرم افزارهای حوزه برنامه ریزی منابع سازمانی، مدیریت ارتباط با مشتری و سیستم‌های زنجیره تامین از مهم‌ترین اهداف هکرها برای حملات مذکور بوده‌اند.
 

مایکروسافت ابزار شبیه سازی تبعات حملات سایبری عرضه کرد

/در , , , , , , /توسط
مایکروسافت با هدف استفاده از هوش مصنوعی برای ارتقای امنیت سایبری یک ابزار منبع باز عرضه کرده که به محققان امکان می‌دهد تا محیط‌های شبیه سازی حملات سایبری خلق کنند.
 
به نقل از ونچربیت، با استفاده از این ابزار همچنین می‌توان تبعات و میزان خسارت حملات سایبری را محاسبه کرد و سپس برای مقابله با این حملات برنامه‌ریزی کرد.
 
ابزار یادشده که سایبر بتل سیم نام دارد، شبکه‌ای برای شبیه سازی و مدل سازی حملات سایبری به وجود می‌آورد و از این طریق می‌توان رفتار هکرها را برای تخریب و حمله به آسیب پذیری‌های شبکه‌های رایانه‌ای مورد بررسی قرار داد.
 
از این طریق محققان و مدیران شبکه‌ها در می‌یابند کدام یک از گره‌های موجود در هر شبکه آسیب پذیر است و چگونه باید مشکلات موجود را برطرف کرد. مدل سازی و برنامه‌ریزی برای دفاع بهینه نیز از طریق این ابزار هوش مصنوعی ممکن است.
 
مایکروسافت مدتی است سرمایه گذاری در حوزه هوش مصنوعی و یادگیری ماشینی به منظور ارتقای امنیت سایبری را آغاز کرده و انتظار می‌رود در آینده محصولات بیشتری در این زمینه عرضه کند.

مقابله با باج افزار اولویت سایبری اصلی آمریکا شد

/در , , , , /توسط
 
 
وزیر امنیت داخلی آمریکا اعلام کرد مقابله با باج افزار، اولویت اصلی این کشور خواهد بود.
 
باج افزار فایل‌ها و شبکه‌ها را گروگان می گیرد تا زمانی که پولی پرداخت شود. این تهدید با حرفه ای تر شدن خلافکاران سایبری که به انتشار باج افزارها می پردازند، به صدر اولویتهای امنیتی آمریکا صعود کرده است.
 
الخاندرو مایورکاس، وزیر امنیت داخلی آمریکا در وب کستی اظهار کرد: باج افزار به نوع برجسته فعالیت سایبری مخرب تبدیل شده و به عنوان یکی از چندین اولویت اصلی این وزارتخانه که باید در فضای آنلاین با آنها مقابله شود، رده بندی شده است.
 
وی گفت: بسیاری از عاملان باج افزارها در حوزه های قضایی که برخورد جدی با جرایم سایبری ندارند، فعالیت می کنند و وزارت امنیت داخلی آمریکا تلاش خواهد کرد دولتها را به دلیل عدم استفاده کامل از اختیاراتشان برای متوقف کردن این مجرمان، پاسخگو کند. مایورکاس گفت: دولت نه تنها به دنبال برخورد با توزیع کنندگان باج افزار است بلکه در تلاش است با بازارهای فروش باج افزارها مقابله کند.
 
بر اساس گزارش رویترز، وزیر امنیت داخلی آمریکا در این باره صریح نبود اما یک مقام وزارت امنیت داخلی آمریکا گفت: اشاره وی به گروههایی بوده که به خلافکاران سایبری کمک می کنند عملیاتهای مجرمانه خود را اجرا کنند.
 
در این بین، منابع آگاه خبر دادند گروهی از هکرها برند پوشاک مردانه گران قیمت بوجی میلانوی ایتالیا را هدف حمله باج افزاری قرار دادند. این شرکت تایید کرد که قربانی حمله سایبری بوده و تحقیقات درباره این واقعه در جریان است. با این حال سخنگوی بوجی میلانو گفت: تصور نمی رود این حمله تاثیر قابل توجهی داشته و این شرکت سرگرم همکاری با مقامات است.
 
گروه هکری به نام رگناروک در وبلاگ دارک وب خود اعلام کرد سرورهای بوجی میلانو را هدف قرار داده و حدود ۴۰ گیگابایت اطلاعات این شرکت شامل فایلهای منابع انسانی نظیر اطلاعات حقوق را به سرقت برده است.
 
اف بی آی برآورد کرده که حداقل ۱۴۴.۳۵ میلیون دلار بیت کوین در فاصله سال ۲۰۱۳ تا ۲۰۱۹ به عنوان باج به هکرها پرداخت شده است.