از پیش بینی های سال گذشته تاکنون، تغییرات بسیار زیادی در دنیا رخ داده است. حملات و تهدیدات سایبری نه تنها کمتر نشده بلکه با توجه به شرایط پیش رو در جهان افزایش نیز خواهد داشت. فرقی نمی کند که حملات کجا پیش می آید همه مردم در سراسر جهان باید برای تهدیدات سایبری جدید آماده باشند. یک تمرین مفید در این زمینه، تلاش برای پیشبینی روندهای آینده و رویدادهای مهمی است که ممکن است در آینده نزدیک رخ دهد.
متخصصین کسپرسکی گروهی (GReAT team) تشکیل داده و تعدادی از داده های کلیدی مهاجمین APK در مورد آنچه در سال 2023 بر روی آن متمرکز هستند را جمع آوری کرده است. ابتدا بررسی میکنیم که آنها چگونه براساس پیش بینی 2022 عمل کرده اند.
آنچه در سال 2022 پیش بینی شد:
قرار گرفتن موبایلها در معرض حملات گسترده
در سال 2022 هیچ رخدادی در مقیاس اتفاق Pegasus که تعدادی آسیب پذیری Zero-day بود و همچنان نیز توسط مهاجمین مورد بهره برداری قرار میگیرند، نبوده است.
پس از بررسی حملات و رخدادهای دیگر نهایتا به این نتیجه رسیدیم که حوادثی وجود داشته اما از اهمیت بالایی برخوردار نبودند.
پشتیبانی بخش خصوصی از نفوذ مهاجمین جدید APK
در برخی از حملات موبایلی تعدادی از شرکتهای خصوصی نرم افزارهای مخربی را ارائه کرده بودند. در سال 2022 GReAT team با بررسی های خود به ابزارهای مثل SilentBreak و همینطور یک بدافزار جاسوسی اندرویدی بنام MagicKarakurt در حملات رسیدند. ابزارهای دیگری مثل BruteRatel و CobaltStrike نیز توسط مهاجمین سایبری استفاده می شوند.
پس این پیش بینی دقیقا اتفاق افتاده است.
تامین زنجیره حملات بیشتر
پیش بینی سال گذشته این بوده است که مهاجمان متوجه پتانسیل عظیم تامین زنجیره حملات در سال 2022 خواهند شد. بر همین اساس مشاهداتی مبنی بر حملات از طریق توزیع بسته های مخرب Python از طریق آرشیو PyPl وجود داشت و نه تنها Python بلکه NPM، NuGet یا RubyGems نیز کاندیدهای مناسبی برای این حملات بوده اند و چه چیزی برای یک توسعه دهنده می تواند از به خطر افتادن اعتبار آنها، بدتر باشد.
با افزایش تهدیدات ویژه توسعهدهندگان، IBM تحقیقات قابلتوجهی را در نسخه امسال BlackHat ارائه کرد که نشان میدهد چگونه مدیریت کد منبع یا سیستمهای یکپارچهسازی، به طور مداوم توسط مهاجمان قابل استفاده است.
از دیگر موارد تامین زنجیره حملات کامپوننت های نرم افزاری Open-source هستند که ممکن است شامل آسیب پذیری هایی نیز باشند. آسیب پذیری Zimbra Zero-day یکی از این مدل آسیب پذیری ها بود که در سال 2022 به طور گسترده مورد بهره برداری قرار گرفت.
پس با این حساب این پیش بینی نه به طور کامل اما تا حدودی درست رخ داده است.
ادامه بهره برداری از دورکاری ها
این پیش بینی ناشی از اثرات کووید 19 و دورکاری هایی بود که در پی این ویروس پیش آمد و پیش بینی میشد که تا 2022 نیز این روش کار ادامه داشته باشد. این دورکاری ها منجر به استقرار سریع ابزارهای دسترسی از راه دور مختلف برای کارمندان شد. در چنین پیاده سازی هایی ممکن است تنظیمات ناقص و اشتباه وجود داشته باشد و یا به موارد امنیتی لازم به اندازه کافی توجه نشود که همین موارد باعث سوءاستفاده از آسیب پذیری ها و کاستی های موجود می شود مخصوصا در دستگاهها و سیستم هایی که مرتبا به روز رسانی نشده اند. بررسی های تیم کسپرسکی نیز نشان می دهد که حملات دسترسی از راه دور Brute-Force در سال 2022 از حملات غالب بوده است.
پس این پیش بینی نیز دقیق درآمده است.
افزایش نفوذ APT در مناطق META
اواخر سال قبل، در واقع شاهد افزایش تعداد حملات مداوم و پیچیده ای بوده ایم که کشور های مختلف در META و به ویژه آفریقا را هدف قرار می دهند همچنین در کشورهای دیگری نیز شاهد حملات هکری گسترده و غیرقابل پیش بینی ای بوده ایم.
این پیش بینی نیز درست بود.
انفجار حملات علیه امنیت ابری و خدمات برون سپاری شده
یکی از حوادث سایبری بزرگ سال 2022 که در اوایل سال رخ داد هک Okta بود که از طریق یکی از ارائه دهندگان خدمات خود در معرض نفوذ قرار گرفت. این موضوع نشان میدهد که نفوذ مهاجمان پیچیده به پلتفرمهای اصلی چقدر آسان است (و به احتمال زیاد ناشناخته باقی میمانند). Okta یک ارائه دهنده خدمات احراز هویت است که به طور گسترده مورد استفاده قرار می گیرد و می توان فرض کرد که هکری که شبکه آنها را کنترل می کند می تواند هر یک از مشتریان آنها را نیز آلوده کند.
این پیش بینی نیز درست بود.
بازگشت حملات سطح پایین مثل Bootkitها
MoonBounce و CosmicStrand از جمله Bootkitهای جدیدی بودند که امسال معرفی شدند و میتوانستند کامپوننتها مخرب را تا عمیقترین لایههای دستگاه کاربر ویندوز منتشر کنند. امن پرداز همچنین گزارشی درباره برنامه مخربی به نام iLOBleed منتشر کرد که بر روی یک ماژول مدیریتی موجود در سرورهای اچ پی تأثیر می گذارد و باید در همان دسته قرار گیرد. چنین ایمپلنت های بسیار پیچیده ای نادر بوده و مشاهده سه مورد مختلف در یک سال قابل توجه است.
پس این پیش بینی نیز درست از آب درآمد.
مشخص شدن شیوه های قابل قبول تخلفات سایبری در کشورهای مختلف
با توجه به افزایش حملات سایبری و هک، پیش بینی می شد که کشورها سیاست های تازه ای در برابر اقدامات سایبری در پیش بگیرند. اما با توجه به وجود مسائل سیاسی مختلف در سراسر جهان، نسبت به این دیپلماسی های سایبری اقدام خاصی انجام نشد و این پیش بینی محقق نشد.
پیش بینی های سال 2023
افزایش حملات مخرب
سال 2022 جهان شاهد تغییرات سیاسی زیادی بود که برای سالهای آینده نیز تکرار خواهد شد. تجربه نشان میدهد که چنین تغییراتی اغلب منجر به افزایش فعالیتهای سایبری – گاهی به منظور جمعآوری اطلاعات، گاهی بهعنوان وسیلهای برای سیگنالهای دیپلماتیک –میشود. پس پیش بینی می شود سال 2023 حملات سایبری بسیار گسترده تر شود.
پیش بینی می شود که رکورد تعداد حملات سایبری مخرب در سال آینده شکسته شود و بر بخش دولتی و صنایع کلیدی تأثیر میگذارد. که به احتمال زیاد، نسبتی از آنها به راحتی قابل ردیابی در حوادث سایبری نیستند. مابقی نیز به شکل عملیات باج افزاری یا هک خواهند بود.
تبدیل سرورهای ایمیل به اهداف اولویت دار
در سال گذشته، شاهد بوده ایم که محققان آسیب پذیری به طور فزاینده ای بر نرم افزار ایمیل تمرکز می کنند. دلیل ساده است: آنها بسته های نرم افزاری عظیمی هستند که باید از پروتکل های زیادی پشتیبانی کنند و برای عملکرد صحیح نیازمند اتصال به اینترنت هستند.
لیدرهای این بازار، مایکروسافت Exchange و Zimbra هر دو با آسیبپذیریهای حیاتی (RCEهای پیش از احراز هویت) مواجه شدهاند که قبل از انتشار وصله های امنیتی مربوطه، گاهی اوقات به طور گسترده توسط مهاجمان مورد سوء استفاده قرار میگرفتند.
محققین اعتقاد دارند که تحقیق در مورد آسیبپذیریهای نرمافزارهای ایمیل تازه شروع شده است. سرورهای ایمیل اطلاعات کلیدی مورد علاقه مهاجمین APT را در خود جای داده و پتانسیل بزرگترین سطح حمله قابل تصور را دارند.
سال 2023 به احتمال زیاد سالی پر از آسیب پذیری Zero-day برای همه نرم افزارهای ایمیل اصلی خواهد بود. به مدیران سیستم توصیه می شود که حتما از راهکارهای نظارتی و حفاظتی برای این سیستم های استفاده کنند، زیرا بعید است که وصله شدن (حتی به موقع) برای محافظت از آنها کافی باشد.
WannaCry بعدی
از نظر آماری، برخی از بزرگترین و تاثیرگذارترین اپیدمی های سایبری هر 6 تا 7 سال یکبار رخ می دهد. آخرین حادثه از این دست، کرم باجافزار WannaCry بود که از آسیبپذیری EternalBlue برای گسترش اتوماتیک به ماشینهای آسیبپذیر استفاده کرد.
خوشبختانه، آسیبپذیریهایی که امکان ایجاد کرمها را فراهم میکنند، نادر هستند و برای مناسب بودن باید شرایط مختلفی فراهم باشد (قابلیت اطمینان اکسپلویت، پایداری ماشین هدف و غیره). پیشبینی اینکه چه زمانی چنین اشکالی در آینده کشف میشود بسیار دشوار است، اما احتمال اینکه زمان آن سال آینده باشد، زیاد است. یکی از دلایل بالقوه افزایش احتمال وقوع چنین رویدادی این واقعیت است که پیچیده ترین مهاجمان در جهان احتمالا حداقل یک سوء استفاده مناسب از این نوع را دارند و تنش های فعلی احتمال هک و نشت به سبک ShadowBrokers را افزایش می دهد.
اهداف APT به سمت فناوری های ماهواره ای، تولیدکنندگان و اپراتورها می رود.
قبلا نمونه های زیادی از تداخل در ماهواره، از بین بردن و سرقت آنها وجود داشته است. احتمالاً عوامل تهدید APT به طور فزایندهای توجه خود را به دستکاری و تداخل با فناوریهای ماهوارهای در آینده معطوف میکنند که امنیت چنین فناوریهایی را بیش از پیش مهم میکنند.
هک و نشت اطلاعات
این روش عملیاتی شامل نقض و هک یک هدف و انتشار عمومی اسناد و ایمیلهای داخلی آنهاست. گروههای باجافزار به این تاکتیک به عنوان راهی برای اعمال فشار بر قربانیان متوسل شدهاند، اما APTها ممکن است از آن برای اهداف کاملاً مخرب استفاده کنند. در گذشته، دیدیم که مهاجمین سایبری اقدام به انتشار اطلاعات گروه های رقیب خود یا ایجاد وبسایتهای جهت پخش اطلاعات فردی و شخصی نموده اند.
در حالیکه که ارزیابی اثربخشی این موارد دشوار است اما شکی نیست که در سال 2023 تعداد چنین پرونده های هک و نشت اطلاعات زیاد خواهد بود.
گروه های APT بیشتری از CobaltStrike به سایر جایگزین ها کوچ می کنند.
CobaltStrike در سال 2012 منتشر شد و یک ابزار تقلید تهدید است که کمک میکند تا بتوان روش هایی که یک مهاجم می تواند برای نفوذ به شبکه را استفاده کند، درک کرد. متأسفانه، از آن زمان همراه با Metasploit Framework، به یک ابزار انتخابی برای گروه های سایبری و APT تبدیل شده است. اما به احتمال زیاد برخی از مهاجمین سایبری از ابزار جایگزین استفاده خواهند کرد.
یکی از این جایگزین ها Brute Ratel C4 است که ابزاری تجاری برای شبیه سازی حملات بوده و به این دلیل خطرناک است که به گونه ای طراحی شده که توسط آنتی ویروس و EDR قابل شناسایی نباشد و یک ابزار منبع باز است.
یکی دیگر از این ابزارها Manjusaka است که از فریم ورکهای CobaltStrike تقلید می کند. ایمپلنت های این ابزار به زبان Rust برای ویندوز و لینوکس نوشته شده است، یک نسخه کاملا کاربردی C&C نوشته شده در Golang به صورت رایگان در دسترس است و می توان به راحتی ایمپلنت های جدید با تنظیمات سفارشی ایجاد کرد. ابزار دیگر Ninja است که مجموعه بزرگی از دستورات را ارائه می دهد و به مهاجمین اجازه کنترل از راه دور سیستم ها را می دهد در حالیکه غیرقابل شناسایی است و به اعماق شبکه هدف نفوذ می کند.
به طور کلی، بنظر می رسد که CobaltStrike توجه بیش از حد سخت افزارها و نرم افزارهای دفاعی و حفاظتی را به خود جلب نموده است (مخصوصاً در مورد زیرساخت) و APT ها تلاش می کنند از مجموعه ابزارهای متنوعی استفاده کنند تا شناسایی نشده، باقی بمانند.
بدافزار SIGNIT
تقریباً 10 سال از افشاگری هایی در مورد سیستم هک FoxAcid/Quantum مورد استفاده توسط NSA می گذرد. هک مذکور یکی از قویترین حمله های قابل تصور است، زیرا قربانیان بدون هیچ گونه تعاملی آلوده میشوند. در سال 2022 نیز حمله ای با این تکنیک در چین رخ داد و مسلما بسیاری از گروه های هکری برای استفاده از این قابلیت تلاش کرده اند. این گونه حملات به سختی قابل شناسایی هستند و پیش بینی می شود که در سال 2023 گسترده تر خواهد شد.
هک Drone
سال به سال، پهپادهای در دسترس عموم مردم و تجاری، برد و قابلیت های بیشتری پیدا می کنند. نصب یکی از آنها تنها با یک نقطه دسترسی Wi-Fi یا گیرنده IMSI امکان پذیر بوده و کار زیادی لازم نیست. سناریوی دیگر حمله، استفاده از Droneها برای انداختن کلیدهای آلوده USB در مناطق محدود یا خاص است به این امید که رهگذری آن را برداشته و به سیستم متصل کند و بتواند یک هدف حمله شود. این روش احتمالاً توسط مهاجمان جسور یا متخصصانی که قبلاً در اختلاط نفوذ فیزیکی و سایبری مهارت داشتند، استفاده می شود.
منبع : https://securelist.com/
