تیمهای امنیتی باید همهکارهتر، فعالتر و سازندهتر شوند تا از تهدیدها جلوتر بمانند. از بسیاری جهات، این گزارش سالیانه، تهدیدات سایبری جهانی امسال را خلاصه می کند. جزئیات مطرح شده در این گزارش از مشاهدات دست اول تیمهای پاسخ به رخداد و تحلیلگران سایبری، جمعآوری شده است. همچنین این گزارش سالیانه تهدیدات سایبری ۲۰۲۱ در سال شامل درسها و توصیههای مهمی برای تیمهای امنیتی ارائه می دهد. از آنجایی که هکرها، ابزارها، تکنیک ها و رویه های جدیدی را مورد استفاده قرار داده و روشهای جدیدی را برای تقویت قدرت و گسترش دامنه خود تشکیل می دهند، دید و سرعت در تشخیص رخداد و پاسخگویی به آن، بیش از هر زمان دیگری حیاتی است.
جرائم سایبری رخ داده با استفاده از تکنیکهای فیشینگ
تکنیکهای مهندسی اجتماعی بهطور متداولی توسط عاملان تهدید با انگیزههای مجرمانه مورداستفاده قرار میگیرند تا کمپینهای فیشینگ، ایمیلهای ناخواسته و کلاهبرداریهای متقلبانه را طراحی کنند. روانشناسی پشت بسیاری از این تکنیکها این است که از احساسات انسانی بهعنوان طعمه استفاده کنند؛ احساساتی که بیشتر از همه مورد سوءاستفاده قرار میگیرند عبارتند از طمع، کنجکاوی، ترس و اشتیاق به کمک. همهگیری کووید-۱۹ به مجرمان فرصت منحصربهفردی برای استفاده از محتوای فریبدهنده و تکنیکهای مهندسی اجتماعی میدهد که توانایی هدف قرار دادن هر یک از این احساسات را دارند. موضوع کووید-۱۹ تأثیراتی جهانی داشته، ۲۴ ساعته در اخبار پوشش داده میشود و تاکنون زمان پایان آن مشخص نیست.
جرائم سایبری فیشینگ با بهرهبرداری از کووید-۱۹
- سوءاستفاده از افرادی که به دنبال جزئیاتی در مورد ردیابی بیماری، تست و درمان هستند
- جعل هویت نهادهای پزشکی از جمله سازمان بهداشت جهانی یا WHO و مرکز کنترل و پیشگیری بیماری یا CDC
- بستههای مساعدت مالی و محرکهای دولتی ساختگی
- حمله به کارمندانی که از خانه کار میکنند
- کلاهبرداریهایی که تجهیزات حفاظتی شخصی یا PPE را ارائه میدهند
- اشارهی جزئی به کووید-۱۹ در محتوای وسوسهانگیز که قبلاً هم مورد استفاده قرار میگرفت (مثلاً تحویل کالا، فاکتورها و دستورات خرید)
این حملات هم مثل کمپینهای Phishing پیش از همهگیری سعی میکردند افراد را به پاسخ دادن تشویق کنند؛ یا برای تعامل با یک Hyperlink یا ضمیمه به یک ایمیل یا برای جذب ترافیک بازدیدکنندهها از طریق جستجوی آنلاین. در تابستان سال ۲۰۲۰ مجرمان به محتوای فریبدهندهی محبوب خود بازگشتند، البته با ارجاعاتی به کووید-۱۹.
کووید-۱۹ تأثیر قابلتوجهی روی حوزههای اقتصادی، اجتماعی، مذهبی، کسبوکار و سیاست گذاشته است. عملیاتهای نفوذ هدفمند بسیار علیه نهادهای بخش سلامت، نشاندهندهی ارزش داراییهای فکری مرتبط به واکسن در سال ۲۰۲۰ و پس از آن هستند با توجه به کسب مجوز و عرضهی اخیر واکسنها، احتمالاً در سال ۲۰۲۱، برنامههای ارائهی واکسن هدف تلاشهایی برای کسب اطلاعات توسط مهاجمان تحت حمایت دولت قرار گیرند. سویههای کووید-۱۹ که امسال رایج شدهاند احتمالاً موجب ایجاد محتوای فریبدهندهی بیشتری در مورد واکسیناسیون یا سویه جدیدی از بیماری گردند.
حملهی زنجیره تأمین و سوءاستفاده از O365 توسط StellarParticle
در ۱۳ دسامبر ۲۰۲۰، گزارشهای عمومی جزئیاتی را در مورد یک حملهی زنجیره تأمین در مقابل مکانیزم پیادهسازی بروزرسانی نرمافزار مدیریت SolarWinds Orion IT ارائه کردند. مهاجم مسئول برای توزیع و نصب کد مخربی تحت عنوان SUNBURST از این عملیات استفاده کرد. به دلیل طبیعت این مسیر نفوذ ابتدایی، پیادهسازی کد مخرب توسط تعداد زیادی از سازمانها در چندین بازار عمودی در سراسر جهان مشاهده و گزارش شدند.
دسترسی و اکسپلویت اولیه
تجزیهوتحلیل یک ماشین مجازی مورداستفاده در نسخهی نرمافزاری بینشهایی را در مورد نحوهی سرقت فرایند آن نسخه توسط مهاجم ارائه داد که بهعنوان کلاستر فعالیت StellarParticle ردیابی شد. StellarParticle یک ابزار مانیتورینگ را نصب کرده بود که تحت عنوان SUNSPOT ردیابی شد؛ این ابزار شروع نسخهی Packageهای Orion را شناسایی کرده و یکی از فایلهای کد منبع را با یک نسخهی Backdoorشده جایگزین میکند که حاوی یک مسیر اجرا در کد اصلی Orion و همچنین کد منبع SUNBURST است طراحی SUNSPOT نشان میدهد که توسعهدهندگان StellarParticle تلاشهای زیادی کردند تا اطمینان حاصل کنند که فرایند دستکاری بهخوبی کار میکند و شرایط سختی را ایجاد کردند تا از لو رفتن حضورشان در محیط این نسخه پیشگیری نمایند.
وقتیکه SUNBURST نصب میشود، این قابلیت را دارد که اطلاعاتی را در مورد Host جمعآوری کند، فایلها و خدمات را در سیستم برشمارد، درخواستهای HTTP به URLهای دلخواه انجام دهد، فایلهای دلخواه را بنویسد، حذف کند یا اجرا نماید، Registry Keyها را اصلاح کند، فرایندها را قطع کند و سیستم را Reboot نماید. این قابلیتها به StellarParticle این توانایی را میدهند که پیش از پیادهسازی کدهای مخرب بیشتر، بررسی کند که Host قربانی قابلتوجه است یا نه. تجزیهوتحلیل این فعالیت نشاندهندهی این است که توزیع بروزرسانیهای Backdoorشده از SolarWinds Orion احتمالاً از حدود ۲۰ مارس ۲۰۲۰ شروع شده است.
SUNBURST برای مخفی کردن خود از هنجارهای نامگذاری کد منبع مشابهی با توسعهدهندگان SolarWinds استفاده میکند و همچنین از دو کانال ارتباطی متفاوت برای درخواستهای دستور و کنترل یا C2 بهره میبرد که برمبنای DNS هستند و خود را شبیه به ترافیک Amazon Web Services یا AWS نشان میدهند و یا برمبنای درخواستهای HTTP با ساختار مشابهی با ترافیک Telemetry مربوط به SolarWinds’ Orion Improvement Program یا OIP هستند. محافظهای اجرای قدرتمندی به Backdoor اضافه شدند تا از شناسایی با تکنیکهای مختلف فرار کنند که بهطور خاص شامل دستکاری سرویسهای نرمافزاری امنیتی برای غیرفعال کردن آنها است.
پس از اکسپلویت
بااینکه عملیات زیرساخت SUNBURST C2 حدوداً ششم اکتبر ۲۰۲۰ قطع شد، اکسپلویت ثانویه از دسترسی اولیه که با استفاده از Backdoor حاصل شده بود تا دسامبر ۲۰۲۰ ادامه یافت و ممکن است هنوز هم ادامهدار باشد. گزارشگیری در صنعت، اقدامات اکسپلویت ثانویه را شناسایی کرد که به این فعالیت مرتبط هستند و شامل پیادهسازی ابزارهای مراحل بعدی مثل TEARDROP و Cobalt Strike از طریق SUNBURST و همچنین فعالیت کیبورد دستی با استفاده از PowerShell برای تعامل با خدمات شبکهی سازمانی مختلف است. هدفگیری خدمات داخلی شامل توجه به نقض امنیتی اطلاعات اعتباری Active Directory یا AD، جمعآوری ایمیل و حرکت جانبی در زیرساخت Cloud است.
تجزیهوتحلیل Backdoor نشان میدهد که فقط زیرمجموعهای از قربانیان که آلودگیهای SUNBURST را تجربه کردند، اکسپلویتهای ثانویه را از سوی اپراتورهای StellarParticle دریافت نمودند، هرچند حوزهی دقیق انتخابشده توسط مهاجم همچنان نامشخص است.
سپتامبر ۲۰۱۹ | تغییرات آزمایشی ابتدایی در پایه کد Orion که توسط SolarWinds گزارش شده است |
۶ دسامبر ۲۰۱۹ | دامین Beacon C2 ثبت شد |
۲۷ فوریه ۲۰۲۰ | دامین Beacon C2 برای اولین بار به یک آدرس IP، Resolve میکند |
۳ مارس ۲۰۲۰ | SSL Certificate برای اولین بار با یک دامین C2 شناختهشدهی ثانویه مرتبط میگردد |
۲۴ مارس ۲۰۲۰ | زمان گردآوری بروزرسانی مخربی که تازه شناخته شده حاوی کد SUNBURST |
۳۱ مارس ۲۰۲۰ | اولین تاریخ شناساییشده از توزیع بروزرسانی مخرب |
جدول ۳. جدول زمانی حملهی زنجیرهی تأمین
زیرساخت
مهاجم StellarParticle اقدامات قابلتوجهی را اتخاذ کرد تا در فرایند ثبت و مدیریت زیرساخت از اشتباهات امنیت عملیاتی متداول یا OPSEC اجتناب کند. تنها همپوشانی فنی بین تمام دامینهای شناساییشده، خرید SSL Certificate بود که توسط یک مرجع Certificate تجاری، یعنی Sectigo صادر شده بود، اما میزان استفاده از آن بهقدری بالا است که به چرخشهای تحلیلی کمکی نمیکند. هیچ همپوشانی آدرس IP بین دامینها وجود ندارد، زیرا هر دامین روی یک زیرساخت Cloud یا VPS جداگانه Host شده است.
بهعلاوه، این عامل از چندین سرویس Hosting و ثبتکننده (Registrar) برای دامینها و سرورها استفاده کرد. مهاجم دامینها را بهصورت تودهای ثبت نکرد، بلکه ترجیح داد دامینهای قدیمی و نسبتاً گرانقیمت را خریداری کند که احتمالاً میتوانند زیرساختهای معتبرتری را کسب کنند.
سوءاستفاده از O365
عوامل StellarParticle، علاوه بر پیادهسازی SUNBURST Backdoor دانشی استثنایی از Microsoft O365 و محیط Azure را از خود نشان دادند. قربانیان دیگرِ این نفوذ نیز صحبت کردهاند و گزارش دادهاند که O365 یکی از اهداف همیشگی مهاجم بوده است که با موفقیت یک نمایندگی فروش مایکروسافت را هدف قرار داد و برای سوءاستفاده از برنامههای کاربردی O365 Oauth و هدف قرار دادن ایمیلها، از یک دسترسی سوءاستفاده کرد که قرار بود به نمایندگی فروش اجازه دهد لایسنسهایی را ممیزی کند. توانایی StellarParticle در سوءاستفاده از Azure و O365 نشان میدهد که درک دقیقی از کنترلهای احراز هویت و دسترسی مربوط به آن پلتفرمها دارد.
انتساب
گزارشهای عمومی نشاندهندهی انتساب کلاستر فعالیت StellarParticle به سرویس اطلاعات خارجی روسیه از فدراسیون روسیه یا SVR است و این سازمان را به COZY BEAR نسبت داده شده است. اما از فوریه ۲۰۲۱ به بعد، فعالیت StellarParticle را به هیچ مهاجم یا گروه جغرافیایی بهخصوصی نسبت داده نشده است.
کلاستر فعالیت StellarParticle | ||
انگیزه | جاسوسی | احتمالاً تحت حمایت دولت |
ابزار | SUNBURST | بدافزار لودر مرحلهی اول (First-Stage Loader) و شناسایی |
SUNSPOT | ابزار مانیتورینگ که شروع یک نسخهی Orion Package را شناسایی کرده و یکی از فایلهای کد منبع را با یک نسخهی Backdoor شده جایگزین میکند | |
TEARDROP | لودر درون حافظه (In-Memory Loader) سفارشی مورداستفاده برای انجام Cobalt Strike |
جدول ۴. خلاصهی StellarParticle
چشمانداز
حملات زنجیرهی تأمین چیز جدیدی نیستند؛ حملات زنجیرهی تأمین یک روش دسترسی اولیه منحصربهفرد دارند که برای عاملان مخرب این قابلیت را ایجاد میکند که پس از یک نفوذ، گسترش پیدا کرده و به چندین هدف Downstream نفوذ کنند. علاوه بر حملات مبتنی بر نرمافزار مثل حملهای که روی SolarWinds تأثیر گذاشت، حملات زنجیرهی تأمین میتوانند شکل نقضهای امنیتی سختافزاری یا Third-Party را به خود بگیرند. عاملان جرائم سایبری معمولاً از دسترسی از این نقضهای امنیتی برای سود مالی استفاده میکنند و عموماً باجافزار و Mineware را پیادهسازی میکنند، درصورتیکه مهاجمین نفوذ هدفمند اساساً از نقضهای امنیتی برای پیادهسازی مجموعه ابزارهایی با هدف جاسوسی از مجموعهی بزرگی از کاربران بهره میبرند. با توجه به پتانسیل بالای بازگشت سرمایهی عاملان تهدید، پیشبینی میشود که این حملات، سازمانهای همهی بخشها را در سال ۲۰۲۲ تهدید نماید.