بحران VPNهای قلابی

موبنا؛ سعید میرشاهی – اگرچه آمار دقیقی از تعداد نرم‌افزارها و اپلیکیشن‌های موسوم به VPN و فیلترشکن روی موبایل و کامپیوتر ایرانی‌ها در دست نیست، اما مشاهدات و بررسی‌های میدانی نشان می‌دهد هر کاربر ایرانی به طور متوسط ۵ و گاه تا ۱۰ فیلترشکن روی دستگاه خود نصب کرده است.

این در حالی است که اصل استفاده از ابزارهای فیلترشکن، خود می‌تواند کاربران و یک کشور را با چالش‌های امنیتی متعدد مواجه کند که آثار آن نیز گاه تا سال‌های طولانی می‌تواند ادامه داشته باشد.

اکنون اما با پدیده خطرناک و بی‌پاسخ مانده دیگری به نام بحران VPNهای قلابی و جعلی مواجه هستیم که می‌تواند از طرف گروه‌ها و کشورهای مختلفی به سمت ایران سرازیر شده باشد.

فارغ از تهدید اطلاعات شخصی کاربران نسخه‌های ضعیف و جعلی VPN این ناامنی‌ها به ویژه در حوزه شرکت‌ها و سازمان‌ها نیز آثار به مراتب وخیم‌تر و گسترده‌تری هم به جای می‌گذارد.

چالشی که هیچ پاسخ روشن و مستدلی از سوی متولیان امنیت و فضای مجازی کشور در پی نداشته است و با سکوت در این خصوص مواجه هستیم.

 

*شیوع جاسوس‌افزار معروف

در جدید‌ترین نمونه از گسترش فیلترشکن‌های تقلبی، حالا کاربران اندروید با استفاده از جاسوس‌افزار معروف به SandStrike که از طریق برنامه‌های VPN آلوده به بدافزار ارایه می‌شود، توسط عوامل تهدید، هدف قرار می‌گیرند. عوامل تهدید، نرم‌افزارهای جاسوسی بسیار مخفیانه و پیچیده را داخل یک برنامه VPN به گردش درمی‌آورند.

بر اساس گزارش محققان امنیت سایبری در آزمایشگاه کسپرسکی، یک کمپین جاسوسی توسط بازیگران تهدید با استفاده از SandStrike انجام شد که در آن به طور مشخص برخی کاربران مناطق خاورمیانه و ایران را هدف قرار دادند. این برنامه مخرب از طریق VPN، به عنوان یک روش ساده برای دور زدن سانسور مطالب مذهبی در برخی نقاط خاص جهان، توسط مهاجمان به بازار عرضه می‌شود.

 

کانال‌های توزیع بدافزار

عوامل تهدید در کانال‌های توزیع، به طور فعال پلتفرم‌های رسانه‌های اجتماعی را با حساب‌های جعلی در فیس‌بوک و اینستاگرام با هزار دنبال‌کننده هدف قرار می‌دهند.

با این حساب‌های جعلی رسانه‌های اجتماعی، عوامل تهدید، قربانیان را به کانال تلگرامی‌که توسط آنها اداره می‌شود، هدایت می‌کنند. در این کانال تلگرامی، چندین لینک مخرب برای دانلود و نصب برنامه مخرب VPN ارایه شده است. هرچند این برنامه، مخرب است اما از زیرساخت VPN استفاده می‌کند که نشان می‌دهد VPN مخرب، کاملا کاربردی و عملیاتی است.

بر اساس این گزارش برخی حساب‌های جعلی که توسط عوامل تهدید استفاده می‌شود، با مضمون دینی طراحی شده‌اند و با نصب VPN، بدافزار SandStrike، روی دستگاه‌های موردنظر مستقر می‌شود که توانایی سرقت طیف گسترده‌ای از داده‌های حساس را از دستگاه‌های قربانیان دارد. این اطلاعات، مواردی مانند سیاهه لیست‌های تماس جاسوسی از فعالیت‌های قربانیان APT Trends و تغییرات قابل‌توجه در تاکتیک‌ها، تکنیک‌ها و رویه‌های بازیگران APT در سه ماهه سوم سال ۲۰۲۲ را شامل می‌شود.

 

توصیه‌های تحلیلگران امنیتی

در همین راستا همچنین پلتفرم بدافزار پیشرفته جدید که شرکت‌های مخابراتی، ارایه‌دهندگان خدمات اینترنتی و دانشگاه‌ها را هدف قرار می‌دهد، در حال ارتقا به ابزارهای پیشرفته و پیچیده است. اوایل سپتامبر، صنایع مخابراتی، بخش‌های آموزشی و ISPها در آفریقا و خاورمیانه با یک پلتفرم بدافزار جدید به نام متاترون مواجه شدند.

تحلیلگران امنیتی توصیه‌های زیر را به عنوان روش‌هایی برای جلوگیری از حمله عوامل تهدید ارایه کرده‌اند:

– مهارت‌های تیم امنیت سایبری خود را ارتقا دهید.

– دسترسی به آخرین اطلاعات تهدید، یکی از حیاتی‌ترین کارهایی است که می‌توانید برای تیم SOC خود انجام دهید.

– راه‌حل‌های EDR که در سطح سازمانی هستند، توصیه می‌شوند.

– محافظت از نقطه پایانی، بخش مهمی‌از استراتژی فناوری اطلاعات شماست.

– آگاهی از امنیت باید آموزش داده شود.

 

هشدار درباره سرورهای VPN با محافظت ضعیف

در همین خصوص، اف‌بی‌آی هشدار می‌دهد سرورهای VPN با محافظت ضعیف، مورد حمله قرار می‌گیرند.

افزایش حملات باج‌افزاری و اخاذی داده‌ها از ارایه‌دهندگان خدمات بهداشتی، موجب صدور یک مشاوره امنیت سایبری مشترک (CSA)، توسط دفتر تحقیقات فدرال (FBI)، آژانس امنیت سایبری و امنیت زیرساخت (CISA) و وزارت بهداشت و خدمات انسانی (HHS) ایالات متحده شد.

طبق گزارش این آژانس‌ها، این حملات اغلب روی سرورهای VPN ناامن تمرکز می‌کنند و از ژوئن ۲۰۲۲ به‌ طور پیوسته بر تعداد آنها افزوده می‌شود.

 

عامل تهدیدکننده

این گروه مشاوره مشترک، «تیم Daixin» را به عنوان عامل تهدیدکننده این جرایم که شامل باج‌افزارهای هدفمند و عملیات اخاذی از داده است، نام می‌برد. همچنین آنها معتقدند تیم Daixin مسوول حوادث باج‌افزار خاص در چندین سازمان مراقبت‌های بهداشتی و سلامت عمومی‌(HPH) است.

این باج‌افزار، برای رمزگذاری سرورهای مسوول مدیریت سوابق و خدمات مراقبت‌های بهداشتی، از جمله سوابق الکترونیکی سلامت، خدمات تشخیصی، خدمات تصویربرداری و خدمات اینترانت مستقر می‌شود. استخراج و بهره‌برداری از اطلاعات شناسایی شخصی (PII) و اطلاعات سلامت بیمار (PHI) که تهدیدی برای انتشار این داده‌های حساس در صورت عدم پرداخت باج است، از جمله اقدامات این باج‌افزار است.

 

تبدیل VPNها به اهداف باج‌افزارها

بازیگران جرایم سایبری تیم (دایکسین )Daixin، برای اجرای حملات خود، از انواع تاکتیک‌ها، تکنیک‌ها و رویه‌های (TTPs) مرتبط با چارچوب MITRE ATT&CK® for Enterprise استفاده می‌کنند. با این حال، در هر مورد، بازیگران Daixin با بهره‌برداری از شبکه خصوصی مجازی (VPN) سازمان، به قربانیان، دسترسی اولیه پیدا می‌کنند. پس از دسترسی، بازیگران دایکسین از شبکه‌ها عبور می‌کنند و داده‌های مربوطه را که می‌توانند برای انجام حمله باج‌افزار استفاده کنند، جمع‌آوری می‌کنند.

در یک مورد تاییدشده، تیم دایکسین از یک آسیب‌پذیری اصلاح‌نشده در VPN سازمان قربانی، سوءاستفاده کرد.

در مورد دیگر، مهاجم، از اعتبارنامه‌های قبلا به‌خطرافتاده، برای دسترسی به سرور VPN قدیمی‌ناامن استفاده کرد.

اعتقاد بر این است این اعتبارنامه‌ها با استفاده از یک ایمیل فیشینگ با یک پیوست مخرب به دست آمده که پس از ورود به سیستم، امکان تخلیه اعتبار را فراهم می‌کند. سروری که بعدا با این اعتبارنامه‌ها در معرض خطر قرار گرفت، احراز هویت چندعاملی (MFA) را فعال نکرد، بنابراین دسترسی غیرقانونی عامل تهدید، بررسی نشد.

دسترسی کامل با اعتماد کامل، توسط یک VPN ناامن فعال شده، به عوامل تهدید دایکسین اجازه می‌دهد تا به صورت جانبی در شبکه سازمان حرکت کرده، داده‌ها را بازیابی و رمزگذاری کنند و آنها را برای باج نگه دارند. بازیگران از پروتکل‌های پوسته امن (SSH) و دسکتاپ از راه دور (RDP)، به عنوان ابزارهای حرکت در سیستم‌های درون‌ سازمان استفاده می‌کنند. تخلیه اعتبار به آنها اجازه می‌دهد تا به حساب کاربری ممتاز، دسترسی پیدا کرده و اعتبارنامه‌ها را برای استفاده و بهره‌برداری در آینده استخراج کنند.

هنگامی‌که حساب‌های دارای امتیاز نقض می‌شوند، برای دسترسی به VMware vCenter Server و بازنشانی رمزهای عبور حساب برای سرورهای ESXi در محیط استفاده می‌شوند سپس دایکسین می‌تواند از دسترسی SSH برای اتصال به سرورهای در معرض خطر و استقرار باج‌افزار استفاده کند.

بر اساس گزارش نهاد ثالث، باج‌افزار تیم دایکسین بر اساس کد منبع فاش‌شده، Babuk Locker است که به طور خاص سرورهای ESXi را هدف قرار می‌دهد و باج‌افزار فایل‌های واقع در /vmfs/volumes/ را با پسوندهایی که در ادامه خواهد آمد رمزگذاری می‌کند: vmdk.، vmem.، vswp.، vmsd.، vmx.، و vmsn. همچنین یک یادداشت باج نیز در /vmfs/volumes/ نوشته می‌شود. جزییات بیشتر درباره TTPهای مورداستفاده و شاخص‌های سازش (IOC) را می‌توان در وب‌سایت CISA دنبال کرد.

 

توصیه‌هایی برای کاهش تاثیرات دایکسین

تیم مشاوره مشترک FBI، CISA و HHS برای کمک به محافظت در برابر دایکسین و فعالیت‌های مخرب مرتبط، برخی اقدامات کلیدی را توصیه کردند. این اقدامات عبارتند از:

– نرم‌افزار و سیستم‌ها را با تمرکز ویژه بر نرم‌افزارهای دسترسی از راه دور و ماشین‌های مجازی به‌روز نگه دارید. استفاده از MFA در همه سیستم‌ها الزامی‌است.

– با محدودیت دسترسی به شبکه‌های داخلی، پروتکل دسکتاپ از راه دور (RDP) را ایمن کرده و بر آن نظارت کنید.

– پورت‌ها و پروتکل‌هایی را که برای اهداف تجاری استفاده نمی‌شوند، غیرفعال کنید.

– SSH و سایر رابط‌های مدیریت دستگاه شبکه را غیرفعال کنید. در صورت فعال بودن، با رمزهای عبور قوی، ایمن کنید.

– پیاده‌سازی، بخش‌بندی شبکه چندلایه، قرار دادن حیاتی‌ترین ارتباطات و داده‌ها در امن‌ترین و قابل اطمینان‌ترین لایه را مدنظر قرار دهید.

– برای محدودیت دسترسی و اطمینان از عدم دستکاری بسته‌های داده توسط هجوم انسانی در حین انتقال، برای نقاط پایانی که باید به شبکه متصل شوند، احراز هویت مداوم را حفظ کنید.

– از حساب‌های کاربری استاندارد در سیستم‌های داخلی استفاده کنید. همچنین حساب‌های مدیریتی را محدود کرده و «حداقل دسترسی» را در سراسر شبکه ارتقا دهید.

– از ابزارهای نظارتی برای مشاهده اینکه آیا دستگاه‌های مختلف متصل به دلیل سازش، رفتار نامنظم دارند، استفاده کنید.

– با برنامه‌های واکنش به حوادث سایبری و بکاپ داده‌ها، به طور منظم برای آمادگی در برابر حملات باج‌افزار تمرین کنید.

استفاده از Zero Trust برای کاهش حملات
بسیاری از توصیه‌های CISA برای کاهش این حوادث و حملات، اصول اولیه اتخاذ دسترسی به شبکه زیرو تراست (ZTNA) به جای تکیه بر فناوری سنتی VPN است که به شدت در برابر TTPهای شناسایی‌شده در مشاوره چند سازمان حساس است.

کلید این استراتژی، تضمین یک قفل محکم بین راه‌حل ZTNA و عوامل امنیتی نقطه پایانی است. این روش، یک رویه lock-step را برای استفاده از مدیریت دسترسی و امنیت نقطه پایانی تقویت می‌کند. در یک گام به جلو، احراز هویت مجدد اجباری کاربر هنگام دسترسی به منابع خصوصی، استفاده از احراز هویت مداوم برای مدیریت انتشار اطلاعات را تضمین می‌کند. اتخاذ حداقل دسترسی، همچنین میزان «runway» را که می‌تواند یک عامل تهدید از طریق حساب‌های در معرض خطر به دست آورد، به حداقل می‌رساند.

حفاظت داخلی از تهدید، از طریق سیستم تشخیص نفوذ (IDS)، می‌تواند این سپر دفاعی را تقویت و به شناسایی فعالیت‌های مخرب و تجزیه و تحلیل مقصد کمک کند. مدافعان شبکه این توانایی را به دست می‌آورند که بفهمند آیا عواملی از مقاصد مخرب شناخته‌شده، تلاش می‌کنند به منابع شبکه -حتی زمانی که مهاجمان، هویت کاربران تاییدشده با اعتبار سرقت‌شده را جعل می‌کنند – دسترسی پیدا کنند یا خیر؟

این اصول اولیه zero trust با هم کار می‌کنند تا با اطمینان از کنترل دسترسی گرانول و تقسیم‌بندی شبکه چند لایه، تهدیدها را به چالش بکشند و حیاتی‌ترین محافظت را برای حیاتی‌ترین داده‌ها و ارتباطات فراهم کنند. زمانی که ZTNA به صورت جامع اجرا شود، یک عامل بازدارنده در برابر باج‌افزار، چراغ‌های فرمان و کنترل (C2)، افزایش امتیازات و استخراج داده‌ها خواهد بود. این کار، انسجام سطح را برای حمله کاهش می‌دهد، از حرکت جانبی و کشف برنامه‌های ناخواسته جلوگیری می‌کند و دید بیشتری را در فعالیت شبکه برای منابع داخلی و ابری فراهم می‌سازد.

در این زمینه، بلک‌بری به رویکرد چندمستاجری و بوم ابری برای ZTNA اعتقاد دارد تا راه‌حل سریع، قابل اعتماد و انعطاف‌پذیر برای شرکت‌های مدرن ارایه دهد که تحول کسب‌وکار دیجیتال را در عین ایمن نگه داشتن شبکه‌ها و نقاط پایانی قدرتمند می‌کند. این موضوع، باید با راه‌حل‌های امنیت سایبری همراه شود که از هوش مصنوعی و یادگیری ماشین در سطح جهانی برای حمایت از یک استراتژی موثر پیشگیرانه استفاده می‌کند. منابع:gbhackers.com – blackberry.com

 منبع: عصر ارتباط