8 تهدید پیشرفته در سال 2022 بر اساس پیشبینی Kaspersky
تیم تحریریه- ۲۳ بهمن ۱۴۰۰
انواع تهدید پیشرفته، دائماً در حال تکامل هستند. امسال، شرکت Kaspersky توانست با زیر نظر گرفتن چندین نمونه از تهدیدات مداوم پیشرفته، شکل این تهدیدها را در آینده، پیشبینی کند.
تهدیدهای دائمی پیشرفته (APT) که هدف بیشتر آنها جاسوسی سایبری است، تهدیدی همیشگی برای افراد و سازمانهای زیادی مانند شرکتها، حکومتها و فعالان مدنی هستند. با افزایش مهارتهای عوامل پشت پردۀ این تهدیدها، اینگونه فعالیتها نیز به طور مستمر رشد کرده و تکامل مییابند.
شرکت Kaspersky پیشبینی خود را از تهدیدهای پیشرفتۀ سال 2022 منتشر کرد و چشمانداز جالبی را از سال آینده به اشتراک گذاشت. در ادامه هشت تهدید پیشرفته پیشبینی شده، آورده شدهاند.
ورود عوامل جدید APT
در پروندههای اخیر حقوقی که علیه شرکتهای امنیتی تهاجمی مانند NSO مطرحشدهاند، استفاده از نرمافزار نظارتی مورد بررسی قرار گرفت. NSO، شرکتی اسرائیلی است که خدماتی از قبیل امنیت تهاجمی را ارائه میکند. این شرکت متهم شده است که نرمافزارهایی جاسوسی برای حکومتها تهیه میکند که علیه خبرنگاران و فعالین مدنی به کار میروند.
به دنبال این امر، وزارت بازرگانی ایالات متحده طی بیانیهای مطبوعاتی اعلام کرد که فعالیت NSO را به فهرست فعالیتهای مغایر با امنیت ملی یا منافع سیاست خارجی ایالات متحده، افزوده است. این وزارتخانه سه شرکت دیگر را به این فهرست اضافه کرد: Candiru (اسرائیل)، Positive Technologies (روسیه) و omputer Security Initiative Consultancy PTE LTD (سنگاپور).
بازار بهرهبرداری از آسیبپذیریهای ناشناختۀ روز صفر (zero-day) در حال رشد است و روزبهروز، فروشندگان بیشتری قابلیتهای تهاجمی را به فروش میگذارند. از آنجایی که این تجارت بسیار سودمند است، حداقل تا زمانی که دولتها برای قانونمند کردن استفاده از آن اقدامی نکنند، این بازار پر رونقتر میشود.
شرکت Kaspersky گفت :«فروشندگان بدافزارها و صنعت امنیت تهاجمی قصد دارند در فعالیتهای خود هم از بازیگران و عوامل قدیمی و هم عوامل جدید، پشتیبانی کنند».
هدفگیری تلفنهای همراه
به خطر انداختن تلفنهای همراه موضوعی قدیمی اما همچنان حساس است. Kaspersky به تفاوت مهمی میان دو سیستم عامل تلفنهای همراه اشاره کرده است: اندروید و iOS. اندروید راحتتر اجازه میدهد که نرمافزارهای شخص ثالث نصب شوند و در نتیجه، محیط بدافزاریِ ویژۀ جرمهای سایبری، بیشتر فراهم میشود در حالیکه iOS بیشتر هدف جاسوسی سایبری پیشرفتۀ دولتی قرار میگیرد. مورد جاسوسافزار پگاسوس که در سال 2021 توسط عفو بینالملل فاش شد، ابعاد تازهای به حملههای بدون کلیک (بر روی لینکهای آلوده) و روز صفر بخشید.
در واقع جلوگیری و شناسایی آلودگی بدافزاری در تلفنهای همراه، سختتر است، زیرا دادۀ آن معمولاً تلفیقی از دادههای شخصی و حرفهای است که هرگز از مالک خود جدا نمیشود. IT، تلفنهای همراه را هدف بسیار خوبی برای حملهکنندگان APT ساخته است.
Kaspersky نتیجه گرفت: «ما در سال 2022 شاهد افشا و بسته شدن پروندههای حملات پیشرفتهتری علیه تلفنهای همراه خواهیم بود که با انکار اجتنابناپذیر مرتکبین این حملات، همراه خواهند بود».
حملات بیشتر به زنجیرۀ تأمین
امسال شاهد بودیم که گروه باجافزار REvil/Sodinokibi، شرکتهای خدمات پشتیبانی شبکه (MSP) را هدف حمله قرار داد. این نوع حملات بسیار مخرب هستند زیرا به مهاجم امکان میدهد که پس از یکبار حملۀ موفقیتآمیز به شرکت پشتیبانی، به راحتی و همزمان وارد تعداد زیادی شرکت دیگر شود و به آنها آسیب برساند.
به گفتۀ Kaspersky، حملات زنجیرۀ تأمین، در سال 2022 و پس از آن روند روبهرشدی خواهند داشت.
کار در منزل، فرصتهایی برای حمله فراهم میکند
به دلیل قوانین قرنطینۀ همهگیری کرونا، بعضی کارمندان مجبور هستند که در منزل کار کنند و احتمالاً این امر در آیندۀ قابلپیشبینی هم ادامه داشته باشد. این شرایط فرصتهایی را برای مهاجمان فراهم میکنمد تا به شبکههای شرکتی، آسیب برسانند. ممکن است از حملههای مهندسی اجتماعی و جستجوی فراگیر برای به دستآوردن اطلاعات محرمانۀ خدمات شرکت استفاده شود. استفاده از تجهیزات شخصی در منزل به جای استفاده از دستگاههای حفاظت شده توسط تیم IT شرکت، کار را برای مهاجمان آسانتر میکند.
مهاجمان به دنبال فرصتهای جدیدی هستند که از طریق آنها وارد کامپیوترهای شخصی کاملاً patch یا حفاظت نشده بشوند تا از این راه بتوانند برای اولین بار وارد شبکههای شرکت شوند.
ژئوپلتیک: افزایش حملات APT در منطقۀ META
منظور از منطقۀ META، خاورمیانه، ترکیه و آفریقاست. افزایش تنشهای ژئوپلتیکی در خاورمیانه و ترکیه و رشد سریع شهرنشینی در آفریقا که سرمایۀ زیادی را جذب کرده است، عوامل تعیینکنندهای هستند که باعث میشوند تعداد حملات مهم ATP در منطقۀ META و به خصوص در آفریقا، افزایش یابند.
امنیت ابری و خدمات برونسپاری شده در معرض خطر هستند
امنیت ابری، مزایای فراوانی برای شرکتهای سراسر جهان فراهم کرده است اما هنوز دسترسی به این نوع زیرساختها از طریق یک رمزعبور ساده و یا کلید API است. به علاوه خدمات برونسپاری شده مانند مدیریت آنلاین اسناد یا ذخیرۀ فایل، حاوی دادههایی هستند که میتوانند برای عامل تهدید APT بسیار جذاب باشد.
بنا بر اعلام Kaspersky این موارد توجه عوامل تهدید دولتی را به خود جلب میکنند و هدف اولیۀ حملات پیشرفته خواهند بود.
بازگشت به بوتکیتها
مهاجمان اکثراً بوتکیتهای سطح پایین را نادیده میگیرند زیرا احتمال زیادی وجود دارد که باعث خرابی سیستم شوند. همچنین ایجاد آنها انرژی و مهارت بسیار زیادی میطلبد. مطالعات مخرب دربارۀ بوتکیتها به خوبی در جریان است و باید منتظر کاربردهای پیشرفتهتری از این نوع بدافزار بود. Kaspersky گفت: «با رایجتر شدن بوت امن، مهاجمان نیاز دارند راههای نفوذ یا آسیبپذیریهایی را در این سازوکارهای امنیتی پیدا کنند تا آن را دور بزنند و ابزارهای خود را مستقر کنند».
شفافسازی فعالیتهای سایبری تهاجمی قابل قبول
در سال 2021 جنگ سایبری باعث شد که کیفرخواستهای قانونی، حکم نوعی سلاح را در نزاع میان طرفین پیدا کنند.
در عین حال، حکومتهایی که فعالیتهای APT را بیشتر محکوم میکنند، همزمان در حال انجام چنین اقداماتی هستند. این کشورها باید بین حملات سایبری قابل قبول و غیرقابل پذیرش، تمایز ایجاد کنند. Kaspersky معتقد است بعضی از کشورها در سال 2022 طبقهبندی خود از حملات سایبری را منتشر خواهند کرد و در آن جزئیات حملات و رفتارهای غیرمجاز را شرح میدهند.
بعضی از تهدیدات امنیت سایبری که در سال 2021 رخ دادند
در این سال انواع تهدیدهای گوناگونی رخ دادند که برای جامعۀ امنیت سایبری تکاندهنده بودند. در ادامه 6 تهدید سایبری که طبق گفتۀ Kaspersky شاهد آن بودیم، آورده شدهاند.
پیوند بیشتر میان APT و دنیای جرایم سایبری
چندین عامل تهدید باجافزار، دقیقاً از روش مهاجمان APT استفاده میکنند: آسیب به هدف، حرکت جانبی درون شبکه، افزایش امتیازات و استخراج داده (پیش از رمزگذاری آن). به تازگی، شرکت Blackberry ارتباطی میان سه عامل تهدید را گزارش کرده که به شکلی غیرمعمول از یک دلال دسترسی اولیه یکسان (Initial Access Broker) استفاده میکنند. دو عامل از این سه عامل تهدید که از یک سرویس استفاده میکنند، فعالیتهایی در زمینۀ جرایم سایبری مالی را دنبال میکردند و سومی در واقع یک عامل تهدید APT بود که StrongPity نامیده میشود.
استراتژی سایبری: کیفرخواست به جای راههای دیپلماتیک
کشورها در جایی که امکانش وجود دارد، شروع به استفادۀ بیشتر از قانون کردهاند تا عملیاتهای تخاصمی را مختل و محکوم کنند. Kaspersky چندین نمونه ارائه کرده است؛ به عنوان مثال، کاخ سفید، روسیه را برای حمله به زنجیرۀ تأمین SolarWinds متهم کرده است. به وضوح قابل مشاهده است که اکنون کیفرخواستهای APT به جای روشهای دیپلماتیک پیشین، از طریق راههای قانونی دنبال میشوند.
اقدامات بیشتر علیه دلالان روز صفر
بازار روز صفر، هیچ وقت به مانند سالهای اخیر آشکار نبوده است. اکنون چندین شرکت، راههای بهرهبرداری روز صفر را به حکومتها یا شخص ثالث میفروشند و یکی از این شرکتها هدف دعوای حقوقی مشترکی قرار گرفته است که فیسبوک، مایکروسافت، گوگل، سیسکو و دل آغاز کردهاند.
هدفگذاری لوازم شبکه، رشد خواهد کرد
در سال 2021، عامل تهدید APT31 از شبکهای از رهیابهای آسیبدیدۀ SOHO (مدلهای Pakedge RK1، RE1 و RE2) استفاده کرد. این رهیابها به عنوان پروکسی برای فعالیتهای APT خود به کار میرفتند اما بعضی مواقع به عنوان سرورهای فرمان و کنترل نیز استفاده میشدند. طبق مطلب تازهای از Sekoia، این عامل تهدید ممکن است به تعداد دیگری از لوازم شبکۀ زیرساخت خود، آسیب رسانده باشد. به علاوه، خدمات VPN هم همچنان هدف تهدیدات هستند. عامل تهدید APT10، با استفاده از آسیبپذیریهای Pulse Connect Secure، کنترل جلسات VPN را به دست گرفت.
اختلال بیشتر
حملۀ باجافزار به خط لولۀ Colonial Pipeline، نمادینترین رویداد سال 2021 بود. تحت تأثیر این حمله، تولید و عرضه در ایالات متحده دچار مشکل شد و زیرساختها مجبور به پرداخت 4/4 میلیون دلار باج شدند. خوشبختانه وزارت دادگستری ایالات متحده، توانست 3/2 میلیون دلار از این مبلغ را بازگرداند. در مورد دیگری در سال 2021، بد افزار MeteorExpress، سیستم ریلی ایران را از کار انداخت.
سوء استفاده از همهگیری
موضوع کووید-19 به طور گسترده از جمله در چندین حملۀ APT مورد استفاده قرار گرفت. این موضوع میتواند برای آسیبرسانی اولیه به اهداف، به عنوان مثال در کمپینهای کلاهبرداری نیزهای، استفاده شود.
جدیدترین اخبار هوش مصنوعی ایران و جهان را با هوشیو دنبال کنید
