تهدیدهای پیشرفته و مستمر یا APT (Advanced Persistent Threats)، یا همان روشهای پیشرفته و مخفیانه حملات سایبری که برای عملی نمودنش نیاز به ابزارها و هکرهای حرفهای دارند، این روزها از داغترین موضوعات برای بررسی از سوی کارشناسان و متخصصین حوزه امنیت اطلاعات است. اگرچه شاید این حملات تاکنون برای کاربران عادی جذابیتی نداشته است. بهرحال شرکتکسپرسکی* در گزارشی به شرح سناریوی پیشرفته و حرفه ای حملات Carbanak پرداخته که در ادامه ضمن کسب اطلاعات بیشتر راهکارهای این شرکت را نیز برای مشتریان خود و سایر ارگانها ملاحظه مینمایید.
شاید تاکنون چنین حملاتی برای عام کاربران همانند داستانها یا فیلمهای جاسوسی بوده چراکه هدف اصلی این حملات ارگانهای دولتی و سازمانهای بزرگ کشورهای گوناگون بودهاند که به دلیل تأثیر و بازخورد احتمالی اخبار مربوطه بصورت محرمانه باقی مانده است. اما اخیراً با رشد روزافزون حملات سایبری پیشرفتهی APT و خسارات جالب توجه آنها شاید توانسته باشند نظر این عده از کاربران را نیز به خود جلب نموده باشند.
بهرحال، اوضاع کمی تغییر کرده و اهداف این دسته از حملات به بخش بازرگانی و اگر بخواهیم دقیقتر بگوییم به بخش بانکداری گرایش پیدا کرده و بررسی آن نیز کار دشواری نیست. خیلی خلاصه میتوان نتیجه خسارات وارده از سوی حملات پیشرفته سایبری (APT) به مؤسسات مالی چند کشور را گزارش داد که مجموع آن به عدد 1 میلیارد دلار رسیده است.
سناریوی حملات Carbanak
ابزار مورد استفاده ی هکرها برای نفوذ به شبکه های اینترانت این بانک ها، ایمیل های فیشینگ بوده است که کاربران که اغلب کارمندان بانک بوده اند را ترغیب به بازکردن ایمیل، و کلیک روی فایل ضمیمه یا لینک های موجود مینموده و بلافاصله سیستم های قربانی به یک بدافزار آلوده میشده است. سپس یک Backdoor (درب پشتی) روی سیستم آلوده با استفاده از کد مخرب Carberp نصب می شده و به همین دلیل است که این دسته از حملات Carbanak نام گرفته است.
با استفاده از روش backdoor و کد مخرب، سودجویان کنترل سیستم آلوده را به دست گرفته و حملات خود را آغاز نمودند. بدین ترتیب از طریق شبکه اینترانت سایر سیستم های بانک را نیز آلوده نموده تا به سیستمی برسند که توانایی دسترسی به سیستم های مالی اصلی بانک را داشته باشد.
پس از آن مجرمین سایبری از روشهای مختلفی نظیر Keyloggers یا بدافزارهای ثبت کلیدهای تایپی و همچنین بدافزارهایی که بصورت مخفیانه از صفحه نمایش سیستم ها تصویر یا screenshot میگیرند، استفاده نمودند تا به اطلاعات و روشهای دسترسی به سیستم های مالی دست پیدا کنند.
هکرها سپس برای اختتام این حملات، اقدام به برداشت مبلغ های گزاف از آن مؤسسات و بانک ها مینمودند. این اقدام به یک روش انجام نمیگرفته است و بصورت یک به یک از آسانترین روش تا دشوارترین را استفاده نموده اند، که برخی از رایج ترین آنها عبارتند از انتقال وجه از طریق سیستم سوئیفت (سیستم یا انجمن مالی جهانی SWIFT)، ایجاد حسابهای جعلی و واریز و برداشت از آنها با کنترل دستگاههای ATM بوده است.
در تصویری زیر سناریوی این حملات را بصورت تصویری مشاهده مینمایید که عبارت است از سه مرحله اصلی:
1- آلوده نمودن سیستم یکی از کارمندان بانک یا مؤسسه مالی؛ نفوذ به سیستم ادمین یا مسئول شبکه داخلی بانک
2- جاسوسی و سرقت اطلاعات محرمانه از روی سیستم ادمین که به سیستم های مالی اصلی دسترسی دارد
3- نفوذ به سیستم های اصلی بعنوان ادمین، و اقدام به برداشت مبلغ به روشهای گوناکون
بطور متوسط این برداشت ها و خالی کردن حساب بانکهای قربانی از روز اول حمله و آلوده شدن سیستم اول تا آخرین برداشت وجه بین 2 تا 4 ماه زمان میبرد.
خسارت تخمینی
این مجرمین از هر بانک حدوداً بین 2.5 تا 10 میلیون دلار سرقت نمودند که البته در برخی از موارد بسیار بیشتر بوده است. بهرحال با توجه به اینکه بسیاری از این سازمان های مالی (حدود صد مورد) بخاطر این حملات APT، بودجه خود را بطور کامل از دست دادند، خسارت نهایی این حملات حدود 1 میلیارد دلار برآورد شده است.
در تصویر زیر بزگترین قربانی های این حملات را ملاحظه مینمایید:
بر اساس اطلاعات موجود از شرکت امنیتی کسپرسکی، اولین نمونه های بدافزارهای مورد استفاده در این حملات (ملقب به حملات Carbanak)، در آگوست سال 2013 ساخته شده، اولین موارد آلودگی سیستم به ماه دسامبر 2013 برمیگردد و اولین حمله مؤفقیت آمیز این گروه بین ماههای فوریه و آوریل 2014 گزارش شده که اوج این حملات نیز در ماه ژوئن بوده است.
آنگونه که مشخص است، این مجرمین تا زمان دستگیری قصد توقف این حملات را ندارند و به سرقت های میلیون دلاری خود ادامه خواهند داد. هم اکنون ارگانهای دفاعی سایبری ملی و بین المللی بسیاری از جمله اینترپل یا پلیس بینالملل، یوروپل و همچنین تیم تحقیق و بررسی جهانیکسپرسکي (GReAT) بمنظور تحقیقات گسترده تر در این خصوص بسیج شده اند تا هرچه زودتر این حملات سایبری و خسارات میلیون دلاری را متوقف نمایند.
چگونه از گزند حملات Carbanak در امان باشید؟!
- در نهایت شرکت کسپرسکی به ارائه راهکارها و اطلاعاتی مفید در این خصوص برای مشتریان و سازمان های مربوطه میپردازد:
- لازم به ذکر است تمامی محصولات و راهکارهای امنیتی شرکتی کسپرسکی قادر به شناسایی نمونه های بدافزارهای Carbanak میباشند که برخی از آنها عبارتند از Backdoor.Win32.Carbanak و همچنین Backdoor.Win32.CarbanakCmd.
- برای اطمینان از اینکه سطح حفاظتی و امنیتی محصولات شرکتی در بالاترین سطح ممکن است، فعال بودن ماژول Proactive Protection را بررسی نمایید.
- همچنین راهکارهای عمومی برای مقابله با این دسته از حملات و هر نوع دیگر حملات سایبری عبارت است از:
- هرگز ایمیل های مشکوک را باز نکنید، بویژه ایمیلهایی که حاوی فایل پیوست میباشند.
- همواره نرم افزارهای مورد استفاده خود (علاوه بر دیتابیس محصولات آنتی ویروس و امنیتی) بروزرسانی نمایید. بعنوان مثال همین حملات اخیر از باگ zero-day استفاده ننموده است بلکه از طریق باگها یا آسیبپذیریهایی که حتی نسخه اصلاحی و بروزرشده آنها نیز توسط شرکتهای نرم افزاری مربوطه منتشر شده بوده است وارد عمل شده و به سیستم کارمندان نفوذ نموده است.
- سیستم شناسایی هوشمند (heuristic detection) را در آنتی ویروس خود فعال نمایید: این قابلیت شانس شناسایی زودهنگام نمونه های بدافزار را افزایش میدهد.
منبع: کسپرسکی آنلاین
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.