IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

امنیت سایبری

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

5G در ایران، شناسایی آسیب پذیری جدید و مخاطرات پیش روی کاربر

 

با توجه به راه اندازی نسل جدید ارتباطات همراه در برخی مناطق پایتخت کشور و ارتقای شبکه، ایران اکنون در زمره کشورهای دارای فناوری نسل پنجم ارتباطات یا 5G قرار گرفته است. حال محققین در ساختار این نسل جدید آسیب پذیری جدی ای را کشف کرده اند که میبایست مورد توجه مسئولین و کاربران نیز قرار گیرد.

به طور خلاصه، آسیب پذیری شناسایی شده 5G، امکان استخراج داده ها و حملات DoS بین اسلایس های مختلف شبکه بر روی یک اپراتور تلفن همراه را فراهم می کند و مشتریان شرکت ها را در معرض حملات سایبری مخرب قرار می دهد.

محققان امنیت فناوری اطلاعات در ادپتیوموبایل یک آسیب پذیری بزرگ را در ساختار اسلایس شبکه 5G و توابع شبکه مجازی آن شناسایی کرده اند که در پی آن مشخص شده است این آسیب پذیری امکان دسترسی به داده ها و حملات Denial of Service یا DoS بین اسلایس های مختلف شبکه بر روی یک اپراتور تلفن همراه را فراهم می کند که باعث می شود مشتریان آن مجموعه در معرض حملات سایبری مخرب قرار گیرند.

 

5G چیست؟

5G شبکه تلفن همراه نسل 5 ، بعد از شبکه های 1G، 2G ، 3G و 4G که قبلاً معرفی شده بود، استاندارد جهانی ارتباط بی سیم جدید است. جای این نسل شبکه اهمیت پیدا میکند که بدانیم این نوع و نسل جدید شبکه، امکان اتصال تقریبا و همه و تمامی دستگاه ها و وسایل را از جمله ماشین آلات، اشیاء، دستگاه ها و غیره را فراهم می آورد.

فناوری 5G برای ارائه حداکثر سرعت داده های چند گیگابیت بر ثانیه، تأخیر بسیار کم، قابلیت اطمینان بیشتر، ظرفیت گسترده شبکه، افزایش در دسترس بودن و تجربه کاربری یکنواخت تر به بیشتر کاربران ارائه شده است.

 

اسلایس شبکه5G چیست؟

اسلایس شبکه در اصل به اپراتور تلفن همراه اجازه می دهد شبکه اصلی و رادیویی خود را به چندین بلوک مجازی مجزا تقسیم کند که منابع مختلفی را برای انواع مختلف ترافیک فراهم می نماید.

یک مزیت بزرگ اسلایس شبکه 5G برای اپراتورهای این شبکه، توانایی استفاده از توابع لازم برای پشتیبانی از مشتریان خاص و بخش های خاصی از بازار مانند خودروها، مراقبت های بهداشتی، زیرساخت های مهم و همچنین سرگرمی های آنلاین خواهد بود.

برخی از کشورهای پیشرو که از 5G استفاده می کنند نیز از جمله کره جنوبی، انگلستان، آلمان و ایالات متحده، بیشتر تحت تأثیر این آسیب پذیری قرار دارند زیرا شرکت های مختلفی در این کشورها شبکه مستقر کرده و دستگاه های سازگار با این نسل شبکه را می فروشند.

 

آسیب پذیری و سناریوهای حمله

طبق گزارشی که ادپتیوموبایل منتشر کرده است، سه سناریوی حمله خاص ممکن است به دلیل این نقص رخ دهد که با توجه به فناوری مشخص شده امروز، نمی توان سطح و حجم آن را کاهش داد. استخراج داده های کاربر؛ به ویژه ردیابی مکان، DoS در برابر عملکردهای دیگر شبکه و دسترسی به عملکرد شبکه و دسترسی سِری به اطلاعات مربوط به مشتری های دیگر.

علاوه بر این، اپراتور و مشتریان آنها نیز در معرض خطر هستند و داده های حساس موقعیت مکانی را از لو و نشت می دهند؛ که این امر باعث می شود اطلاعات مربوط به شارژ و حتی احتمال قطع شدن عملکرد اسلایس ها و عملکردهای شبکه، از دست برود.

دکتر سیلک هولتمنس، رئیس تحقیقات امنیت 5G در ادپتیوموبایل سکیوریتی پیشنهاد کرده است که:

"وقتی نوبت به امنیت 5G می رسد، صنعت مخابرات باید از یک رویکرد جامع و مشترک برای ایجاد امنیت شبکه ها در ارگان های استاندارد، گروه های کاری، اپراتورها و فروشندگان این خدمات استفاده کند".

"هرچه تعداد بیشتری از شبکه های اصلی به سمت ساختار ابری و معماری مبتنی بر فناوری اطلاعات حرکت می کنند، ابزارهای هک مناسب تری برای هکرها در دسترس قرار می گیرد".

"در حال حاضر، در عمل و حالت عرضه انبوه این نسل، تأثیر حملات به اسلایس های شبکه فقط به تعداد اسلایس های موجود در شبکه های 5G در سطح جهان محدود می شود. اگر این نقص اساسی در طراحی استانداردهای 5G کشف نشده و بدون اصلاح باقی بماند، خطرات قابل توجهی را در پی خواهد داشت".

"ما این موضوع را از طریق مجامع و فرآیندهای متناسب به اطلاع افراد و صنایع رسانیده ایم و خوشحالیم که با اپراتورهای شبکه تلفن همراه و جوامع بررسی استاندارد در جهت برجسته سازی این آسیب پذیری ها و بهبود اقدامات جهت رفع این آسیب پذیری ها در حال کار همکاری هستیم".

 

نتیجه گیری

حال نظر به اینکه نسل پنجم ارتباطات همراه یا 5G به تازگی در کشور عزیزمان ایران راه اندازی شده است، انتظار میرود که مسئولین امر نسبت به حل این مشکلات و پیشگیری از هرگونه آسیب پذیری در آینده به کاربران، جلوگیری به عمل آورده تا شاهد آسیب به زیرساخت های ارتباطی و کاهش سطح اعتماد کاربران نباشیم.

Babuk، تهدید باج افزاری جدید و در حال رشد

 

گروه باج افزاری Babuk که در آغاز سال 2021 کشف شده است، چندین بخش از جمله مراقبت های بهداشت و درمان، تولید و تدارکات را هدف قرار داده است. این شرکت اخیراً بسیار فعال بوده و از قربانیان خود هزاران دلار باج مطالبه کرده است.

takian.ir babuk ransomware locker

 

چرا بابوک یک تهدید رو به رشد است؟

مجرمان پشت پرده این باج افزار، تکنیک اخاذی مضاعف را اجرا می کنند، که در آن اپراتورها پس از سرقت اطلاعات، فایل ها را قفل می کنند. مطالبات پرداختی برای باج این باند بدافزاری از 60،000 تا 85،000 دلار متغیر است.

به گزارش سای‌ور، تنها در طی یک ماه، این باند به چندین سازمان از جمله هیوستون راکتز، فروشگاه تلفن همراه اسپانیا، اداره پلیس متروپولیتن و تلتون بیوتک حمله کرده است.

در این ماه، سازمان های ورزشی، ارتباطی و دولتی دیگر را نیز هدف قرار داده است. پیش از این، اهداف شناخته شده شامل نهادهای تولیدی نیز میبودند.

این باند اخیراً ویژگی های جدیدی را به مرحله اجرا درآورده است تا اطمینان حاصل کند دستگاه های قربانی می توانند قبل از استقرار باج افزار رمزگذاری شوند. علاوه بر این، این گروه وب سایتی را برای درز اطلاعات و فشار به قربانیان برای پرداخت باج و مطالبات مالی از آنها ایجاد کرده است.

 

انتقال دهندگان آلودگی

گروه Babuk از چندین وکتور برای گسترش و انتقال آلودگی استفاده می کند؛ از جمله آنها میتوان به فیشینگ ایمیل اشاره کرد که در آن، گروه ایمیل اولیه ای را که به یک بدافزار متفاوت مانند Trickbot یا Emotet لینک شده است، ارسال می کند و به شکل یک لودر عمل می کند.

باند باج افزار بابوک به سوءاستفاده از آسیب پذیری های افشا شده که پچ نشده و بروزرسانی نشده اند، شناخته میشود. این باج افزار بخصوص برای بهره برداری از نرم افزارهای دسترسی از راه دور، سخت افزارهای شبکه، سرورهای وب و فایروال ها نیز شناخته شده است.

این گروه با استفاده از حساب های معتبر در معرض خطر، در شبکه هدف قربانی رسوخ میکند. این کار معمولاً از طریق دسترسی RDP با محافظت ضعیف و با گواهینامه های معتبری که از طریق فروشندگان اطلاعات بدست می آورد، انجام می شود.

آسیب پذیری VPN، راهکار حمله هکرهای مرتبط با کره شمالی به موسسه تحقیقات هسته ای

takian.ir north korea exploited vpn flaw to hack south nuclear research institute main

یک سازمان تحقیقات انرژی هسته ای در کره جنوبی پس از انتشار گزارش هایی مبنی بر اینکه همسایه شمالی این کشور در نقض امنیت این مجموعه دست داشته است، اذعان کرد که در حال حاضر مشغول بررسی یک نقض امنیتی میباشد.

دادستان ها تائه‌کونگ که عضو کمیته اطلاعات پارلمانی است، به تحقیقات یک مجموعه ثالث اشاره کرد که حمله 14 ماه می را به گروه APT با نام Kimsuky مورد حمایت پیونگ یانگ نسبت داده است.

به گزارش رویترز، عقبه یکی از 13 آدرس IP مورد استفاده برای حمله (27.102.114[.]89) به انستیتوی تحقیقات انرژی اتمی کره (KAERI) به این گروه برمیگردد که از حدود سال 2012 در حال فعالیت است.

ها تایه‌کونگ در بیانیه ای گفته است: "این حادثه می تواند خطرات جدی امنیتی را در صورت نشت اطلاعات اصلی به کره شمالی ایجاد کند، چرا که KAERI بزرگترین اتاق فکر این کشور است که در حال مطالعه فن آوری هسته ای از جمله راکتورها و رادهای سوخت میباشد".

انستیتوی تحقیقات انرژی اتمی کره یا KAERI روز جمعه با صدور اعلانیه ای اذعان کرد که برخی از سیستم ها توسط "شخص خارجی ناشناس" از طریق آسیب پذیری VPN نقض شده است. متعاقبا پس از آن، آدرس IP عامل مخرب را مسدود کرده و باگ را وصله کرده اند.

مرکز KAERI افزود: "در حال حاضر انستیتو تحقیقات انرژی اتمی در حال بررسی موضوع هک و میزان خسارت و سایر ابعاد حادثه و موثر بودن آن با سازمان های مرتبط است".

این موسسه گفت که بیانیه قبلی مبنی بر انکار هرگونه حادثه هکری به اشتباه صادر شده است، و از هرگونه نگرانی که به دلیل این نقض به مردم تحمیل شده است، عذرخواهی کرد!

takian.ir north korea exploited vpn flaw to hack south nuclear research institute

 

تصور می شود کره شمالی پس از مذاکره با ریاست جمهوری ایالات متحده در سال 2019 که به بن بست خورد، در حال کار بر روی پلوتونیوم با گرید تسلیحات هسته ای میباشد.

به گفته مقامات آمریکایی، کیمسوکی نزدیک به یک دهه است که این دست اطلاعات را برای رژیم کره شمالی جمع آوری می کند و بیشتر به موضوعات سیاست خارجی و امنیت ملی، از جمله تحریم ها و سلاح های هسته ای می پردازد.

در اوایل این ماه، شرکت امنیت سایبری Malwarebytes موجی از حملات توسط مهاجمین برای حمله به مقامات عالی رتبه دولتی در کشور که با نصب بک‌دوری به نام AppleSeed در اندروید و ویندوز اقدام به جمع آوری اطلاعات ارزشمند میکردند را، افشا کرد.

در گذشته نیز این گروه مهاجم برای حمله به سازمانهایی از جمله موسسه Sejong چین، موسسه تجزیه و تحلیل دفاعی کره (KIDA) و وزارت وحدت ملی کره جنوبی مقصر شناخته شده است.

شایان ذکر است که از سویی دقیقا مشخص نیست از آسیب پذیری کدام VPN برای نقض شبکه استفاده شده است. اما باید بدین نکته توجه نمود که سیستم های VPN وصله نشده Pulse Secure ،SonicWall ،Fortinet FortiOS و Citrix در سال های اخیر مورد حمله چندین عامل تهدید قرار گرفته اند.

آسیب پذیری اجرای کد از راه دور در سیستم عامل Junos شرکت Juniper Networks

 

یک آسیب پذیری امنیتی به طور مستقیم بر سیستم عامل محصول شرکت جونیپز نتورکز با نام Junos تأثیر گذاشته و امکان حملات اجرای کد از راه دور را فراهم می کند. تامین کنندگان امنیت سایبری در کنار به اشتراک گذاشتن برخی راه حل ها، ظاهرا این اشکال را برطرف کرده اند.

 takian.ir juniper networks

 

آسیب پذیری سیستم عاملJunos شرکت جونیپر نتوکز

در گزارش اخیر شرکت جونیپر نتوکز جزئیات این آسیب پذیری مهم که بر سیستم عامل Junos این تأثیر می گذارد به اشتراک گذاشته شده است.

جونیپز نتورکز یک شرکت شبکه و امنیت مستقر در ایالات متحده است که محصولات مختلفی از جمله روترها و سوئیچ ها، نرم افزارهای شبکه و ابزارهای امنیتی را تولید می کند.

به گزارش لیتست هکینگ نیوز، با تشریح آسیب پذیری، تامین کنندگان امنیت توضیح دادند که این نقص در اعتبارسنجی اندازه بافر بر سیستم عامل Junos (سیستم عامل اصلی دستگاه های شبکه این شرکت) تأثیر گذاشته است.

سوءاستفاده از این آسیب پذیری می تواند به یک مهاجم تأیید و شناخته شده اجازه دهد که باعث حملات DoS شود یا حملات اجرای کد از راه دور را انجام دهد. این گزارش با توضیحات بیشتر در مورد این اشکال می افزاید:

"پکت های Overlay OAM توسط بسته هایی پوشیده شده ای مانند ping و traceroute که با پوشش ارسال می شوند، کنترل می کنند. این سرویس به صورت پیش فرض به عنوان root اجرا می شود و اتصالات UDP را در پورت 4789 بررسی می کند. این مسئله از اعتبارسنجی نامناسب اندازه بافر ناشی می شود که می تواند منجر به افزایش زیاد بافر شود. مهاجمان غیرمجاز می توانند بسته های دستکاری شده ویژه ای را برای ایجاد این آسیب پذیری ارسال کنند و در نتیجه امکان اجرای کد از راه دور را به وجود بیاورند.

این آسیب پذیری ، CVE-2021-0254 ، دارای نمره شدت بحرانی با نمره CVSS 9.8 است.

 

بروزرسانی عرضه شده

تامین کنندگان در پی گزارش Hoàng Thạch Nguyễn (d4rkn3ss) از طریق شرکت استار لَبز، از این اشکال مطلع شدند.

با شناسایی موضوع، جونیپر نتورکز اصلاحاتی را ایجاد کرد که متعاقباً با نسخه های نرم افزاری زیر منتشر کرده است.

نسخه های نرم افزاری زیر برای حل این مشکل خاص به روز شده اند: Junos OS 15.1X49-D240، 15.1R7-S9، 17.3R3-S11، 17.4R2-S13، 17.4R3-S4، 18.1R3-S12، 18.2R2-S8، 18.2R3-S7 ، 18.3R3-S4 ، 18.4R1-S8 ، 18.4R2-S7 ، 18.4R3-S7 ، 19.1R2-S2 ، 19.1R3-S4 ، 19.2R1-S6 ، 19.2R3-S2 ، 19.3R3-S1 ، 19.4R2-S4 ، 19.4R3-S1 ، 20.1R2-S1 ، 20.1R3 ​​، 20.2R2 ، 20.2R2-S1 ، 20.2R3 ، 20.3R1-S1 ، 20.4R1 ، و کلیه نسخه های بعدی.

علی رغم اینکه این مورد یک آسیب پذیری حیاتی و خطرناک است، تامین کنندگان تأیید کرده اند که هیچ بهره برداری فعالی از آن را پیدا نکرده اند.

با این حال، CISA ایالات متحده با هشدار به کاربران خواستار نصب سریع بروزرسانی ها یا پَچ ها شده است. شرکت تاکیان به کاربران توصیه میکند که در بروزرسانی سیستم ها با آخرین نسخه ها تعجیل به عمل آورند تا از تهدیدات سایبری در امان بمانند.

آسیب پذیری امنیتی شدید OpenSSL و ارائه دو به روزرسانی

takian.ir openssl

 

تیم ارائه خدمات و نگهداری OpenSSL برای دو نقص امنیتی بزرگ در نرم افزار خود به روزرسانی هایی را برای رفع مشکل ارائه کرده اند که این آسیب پذیری ها می توانند برای انجام حملات Denial of Service (DoS) و تأیید گواهی های bypass مورد استفاده قرار گیرند.

دو مورد با عنوان CVE-2021-3449 و CVE-2021-3450 مطرح شده اند، که این دو آسیب پذیری در به روزرسانی (نسخه OpenSSL 1.1.1k) که روز پنجشنبه گذشته منتشر شد، برطرف شده اند. در حالی که CVE-2021-3449 بر تمام نسخه های OpenSSL 1.1.1 تأثیر می گذارد، CVE-2021-3450 بر نسخه های OpenSSL 1.1.1h و جدیدتر موثر است.

OpenSSL یک مجموعه نرم افزاری متشکل از توابع رمزنگاری است که پروتکل Transport Layer Security را با هدف ایمن سازی ارتباطات ارسال شده از طریق شبکه رایانه ای پیاده سازی می کند.

طبق یک متن مشاوره ای که توسط OpenSSL منتشر شده است، CVE-2021-3449 مربوط به یک آسیب پذیری احتمالی DoS ناشی از بازگشت مجدد پوینتر NULL است که می تواند اگر در جریان تبادل مجدد کاربر پیام مخرب "ClientHello" در طول پیام بین کاربر و سرور انتقال داده شود، باعث خراب شدن سرور OpenSSL TLS شود. این معزل به عنوان بخشی از تغییرات مربوط به ژانویه 2018 معرفی شده است.

در متن مشاوره گفته شده است که: "اگر یک TLSv1.2 در طی ارسال پیام مجدد ClientHello پسوند signature_algorithms را حذف کند (در حالی که در ClientHello اولیه وجود داشته است)، اما شامل یک پسوند signature_algorithms_cert باشد که نتیجه آن به یک بازگشت مجدد پوینتر NULL منجر شود، نتیجتا این پدیده منجر به خرابی و حمله DoS می شود".

کمپانی نوکیا که گفته میشود این آسیب پذیری و نقص را در 17 ماه مارس سال 2021 گزارش کرده است ، با تغییر کد یک خطی، مشکل DoS را برطرف کرده است.

از طرفی دیگر، CVE-2021-3450 مربوط به یک فلگ X509_V_FLAG_X509_STRICT است که امکان بررسی مجدد امنیت certificate های موجود در یک زنجیره certificate را فراهم می کند. در حالی که این فلگ به طور پیش فرض تنظیم نشده است، اما یک خطا در پیاده سازی بدین معناست که OpenSSL نتوانسته است آنرا بررسی کند (گواهی های غیر CA نباید توانایی صدور سایر گواهی ها را داشته باشند) و در نتیجه باعث ایجاد با‌ی‌پس certificate می شود.

در نتیجه ، این نقص مانع مسدودسازی گواهی های TLS صادر شده که توسط CA های معتبر مرورگر تایید نشده اند، می شود.

OpenSSL اعلام کرده است که: "برای اینکه OpenSSL تحت تأثیر این آسیب پذیری قرار گیرد، یک برنامه باید مستقیما فلگ تأیید X509_V_FLAG_X509_STRICT را تنظیم کند و همچنین یا مقصدی برای تأیید گواهی تعیین نکند یا در مورد کاربر TLS یا استفاده از سرور، مقصد پیش فرض نادیده گرفته شود".

گفته می شود که بنیامین کادوک از آکامای این موضوع را در تاریخ هجدهم ماه مارس سال جاری به تیم خدمات و نگهداری OpenSSL گزارش داده است. این آسیب پذیری توسط شیانگ دینگ و همکاران وی در آکامای کشف شده و همچنین توسط مهندس اصلی نرم افزار سابق رِدهَت و توسعه دهندهOpenSSL ، توماش مراز، یک اصلاحیه نیز ارائه گردیده است.

اگرچه هیچ یک از این دو نقص و آسیب پذیری بر OpenSSL 1.0.2 تأثیر نمی گذارد، اما همچنین لازم به ذکر است که پشتیبانی این نسخه، از 1 ژانویه 2020 پایان یافته است و دیگر به روزرسانی نمی شود. شرکت تاکیان به کاربران نرم افزارهایی که به نسخه آسیب پذیر OpenSSL متکی هستند توصیه میکند که به روزرسانی ها را در راستای کاهش خطرات مرتبط با این نقایص و آسیب پذیری ها، در اسرع وقت نصب و اعمال نمایند.

آسیب پذیری بسیار شدید چیپ‌ست های NVIDIA Jetson

کمپانی NVIDIA، متخصص تراشه های گرافیکی ایالات متحده به منظور رفع مشکل در مجموع 26 آسیب پذیری تأثیرگذار بر سری Jetson system-on-module (SOM) خود که ممکن است توسط مهاجمان به منظور افزایش اختیارات و حتی امکان اجرای DoS و افشای اطلاعات، مورد سواستفاده قرار بگیرند، به روزرسانی های نرم افزاری ای را ارائه داده است.

موارد CVE‑2021‑34372 تا CVE‑2021‑34397 پیگیری شده اند و مشخص گردید که بر محصولات سری Jetson TX1 ،TX2 TX2 NX، سری AGX Xavier ،Xavier NX و Nano و Nano 2GB و همه مواردی که نسخه های Jetson Linux قبل از 32.5.1 را اجرا می کنند، تأثیرگذار هستند. این شرکت به دلیل ارائه گزارش همه مشکلات، به فردریک پریوت از اپل مدیا پروداکتز کردیت داده است.

takian.ir NVIDIA Jetson Nano

محصولات NVIDIA Jetson شامل ماژول های تعبیه شده در Linux AI و ماژول های محاسباتی ویژن رایانه ای و کیت های توسعه دهنده است که در درجه اول برنامه های دید رایانه ای مبتنی بر AI و سیستم های خودکار مانند ربات های متحرک و کوادکوپرها یا پهپادها را پشتیبانی می کند.

takian.ir NVIDIA Jetson Nano 2

 

مهمترین آسیب پذیری CVE ‑ 2021‑34372 score (امتیاز CVSS: 8.2) است که یک نقص سرریز بافر در محیط اجرایی امن Trusty یا (TEE) میباشد، که می تواند منجر به افشای اطلاعات، افزایش اختیارات و DoS یا Denial of Service شود.

هشت ضعف مهم دیگر شامل تخریب حافظه، سرریز استک ها و از دست رفتن باند چک ها در TEE و همچنین سرریزهای زیاد دیگریست که بر Bootloader تأثیر گذاشته و می تواند منجر به اجرای خودسرانه کد دستوری، Denial-of-Service و افشای اطلاعات شود. این شرکت خاطر نشان کرد که همچنین بقیه نقص های مربوط به Trusty و Bootloader، می توانند برای تأثیرگذاری بر اجرای کد دستوری، DoS و افشای اطلاعات مورد سواستفاده قرار گیرند.

کمپانی NVIDIA گفت: "نسخه های قبلی شاخه های نرم افزاری که از این محصول پشتیبانی می کنند نیز تحت تأثیر این آسیب پذیری قرار می گیرند. اگر از نسخه قبلی این محصولات استفاده می کنید، هر چه سریعتر آنرا به جدیدترین نسخه 32.5.1 ارتقا دهید؛ و اگر از نسخه 32.5.1 استفاده می کنید، هر چه سریعتر آنرا به جدیدترین پکیج های Debian به روز نمایید".

آسیب پذیری عظیم گزارش شده در Pulse Connect Secure VPN

takian.ir pulse secure vpn vulnerability 1

شرکت Ivanti که مسئول دستگاه های VPN Pulse Secure است، راهنمایی امنیتی برای آسیب پذیری بسیار جدی را منتشر کرده که ممکن است به مهاجم تایید شده از راه دور اجازه دهد که کد دلخواه خود را با اختیارات سطح دسترسی بالا اجرا نماید.

این شرکت در هشدار منتشر شده در تاریخ 14 ماه می، اعلام کرده است: "سرریز بافر در پروفایل های منبع فایل ویندوز درX.9 به کاربر تأیید شده از راه دور با اختیار دسترسی به فهرست اشتراک گذاری SMB اجازه می دهد تا کد دلخواه را به عنوان کاربر اصلی اجرا کند. از سویی، از نسخه 9.1 R3، این امکان به طور پیش فرض فعال نشده است".

این نقص که با نام CVE-2021-22908 شناخته می شود، دارای نمرهCVSS  هشت و نیم از حداکثر 10 است و بر نسخه های Pulse Connect Secure 9.0Rx و 9.1Rx تأثیر می گذارد. در گزارش جزئیات این آسیب پذیری، مرکز هماهنگی CERT گفته است که این مسئله از توانایی گیت وی برای اتصال به اشتراک گذاری فایل های ویندوز از طریق تعدادی از نقاط انتهایی CGI است که می تواند برای انجام حمله استفاده شود، نشات میگیرد.

مرکز هماهنگی CERT به طور دقیق در راهنمایی امنیتی آسیب پذیری که روز دوشنبه منتشر شد، اضافه کرد که با هدف قرار دادن اسکریپت CGI '/dana/fb/smb/wnf.cgi' قادر به ایجاد کد آسیب پذیر است: "در صورت تعیین یک نام طولانی سرور برای برخی از عملگرهای SMB، ممکن است برنامه" smbclt "به دلیل سرریز شدن بافر استک یا سرریز بافر heap، بسته به مدت زمان مشخص شدن نام یک سرور، کرش کند".

به کاربران Pulse Secure توصیه می شود که نسخه PCS Server 9.1R.11.5 را در مورد استفاده قرار دهند. در این میان، Ivanti یک فایل برای حل این مشکل ('Workaround-2105.xml') منتشر کرده است که می تواند با افزودن نقاط انتهایی URL آسیب پذیر به لیست مسدود شده ها، برای غیرفعال کردن ویژگی Windows File Share Browser استفاده شود و بنابراین برای محافظت در برابر این آسیب پذیری، اقدامات کاهنده لازم را فعال کند.

takian.ir pulse secure vpn vulnerability 2

 

این نکته حاکی از آن است که کاربرانی که از نسخه های سیستمی 9.1R11.3 یا پایینتر استفاده می کنند، باید فایل دیگری را با نام "Workaround-2104.xml" دریافت و اعمال کنند که این امر مستلزم آن است سیستم نسخه 9.1R11.4 را قبل از اعمال محافظت در "Workaround-2105.xml" اجرا کند.

در حالی که Ivanti توصیه به خاموش کردن جستجوگر فایل ویندوز در اینترفیس کاربری ادمین با غیرفعال کردن گزینه "Files, Windows [sic]" برای رول های کاربر مشخصی کرده است، مرکز هماهنگی CERT مشخص کرده است که در هنگام آزمایش برای محافظت در برابر نقص، انجام این مراحل کافی نیستند.

"نقاط نهایی آسیب پذیری CGI هنوز هم صرف نظر از اینکه نقش کاربر" Files، Windows "فعال باشد یا خیر، از طریق روش هایی قابل دسترسی هستند که باعث کرش کردن برنامه smbclt می شود".

"مهاجم برای دستیابی موفق به کد آسیب پذیر در سرور PCS که دارای پالیسی باز دسترسی به فایل ویندوز است، به یک مقدار معتبر DSID و xsauth از یک کاربر تأیید شده، نیاز دارد".

فاش شدن این نقص جدید هفته ها پس از آن صورت گرفت که شرکت نرم افزاری فناوری اطلاعات مستقر در یوتا، چندین آسیب پذیری امنیتی مهم در محصولات Pulse Connect Secure از جمله CVE-2021-22893، CVE-2021-22894، CVE-2021-22899 و CVE-2021-22900 را اصلاح کرد، که برای اولین مورد مشخص گردید، حداقل در دو عامل تهدید متفاوت از یکدیگر در فضای سایبری مورد بهره برداری قرار گرفته است.

آلودگی بیش از 100 میلیون دستگاه اینترنت اشیاء با آسیب پذیری NAME:WRECK

takian.ir iot security

محققان امنیتی 9 آسیب پذیری را شناسایی کرده اند  که با استفاده از چهار استک TCP/IP بیش از 100 میلیون دستگاه که توسط مصرف کنندگان شخصی و یا سازمانی استفاده میشوند، را تحت تأثیر قرار می دهد که این آسیب پذیری می تواند توسط مهاجم برای کنترل سیستم آسیب پذیر مورد سوءاستفاده قرار بگیرد.

به نقل از هکر نیوز، این نقصی که توسط فاراسکات و JSOF با عنوان "NAMED:WRECK" نام برده شده است، در ادامه آخرین سری تحقیقاتی است که به عنوان بخشی ابتکاری به نام Project Memoria برای بررسی امنیت استک های TCP/IP پرکاربرد که توسط تامین کنندگان مختلف جهت ارائه امکانات اتصال به اینترنت و شبکه در سیستم عاملها گنجانده شده، انجام پذیرفته است.

محققان گفته اند: "این آسیب پذیری ها مربوط به پیاده سازی DNS است که باعث DoS یا Denial of Service و یا اجرای کد از راه دور (RCE) می شود و به مهاجمین اجازه می دهد دستگاه های هدف را بصورت آفلاین یا کنترل از راه دور کنترل کنند".

این نام از این واقعیت ناشی می شود که تجزیه نام دامنه ها می تواند پیاده سازی DNS را در استک های TCP/IP بشکند (یعنی "خراب (wreck)" کند) و با اضافه کردن آسیب پذیری های اخیر مانند SigRed ، SAD DNS و DNSpooq از دفترچه تلفن اینترنتی به عنوان وکتوری برای حمله استفاده میکند.

آنها خاطر نشان کردند، این پنجمین بار است که نقاط ضعف امنیتی در استک های پروتکل ها که زیربنای میلیون ها دستگاه متصل به اینترنت هستند، شناسایی میشوند.

  • URGENT/11
  • Ripple20
  • AMNESIA:33
  • NUMBER:JACK

علی الخصوص جدیدترین تحقیقات پیشنهاد میکنند که باید نگاه ریزبینانه تری به "طرح فشرده سازی پیام" مورد استفاده در پروتکل DNS که با هدف کاهش اندازه پیام ها "از تکرار نام دامنه در پیام جلوگیری میکند" باعث کشف چندین نقص در FreeBSD (12.1)، استک هایIPnet (VxWorks 6.6) ، Nucleus NET (4.3) و NetX (6.0.1) میشود، داشت.

takian.ir iot hack

 

در یک سناریوی کامل حمله در حالت واقعی، مهاجمان می توانند با استفاده از این نقایص راه نفوذ خود را از طریق یک دستگاه سازمانی متصل به اینترنت که درخواست های DNS را به یک سرور صادر می کند پیدا کنند و اطلاعات حساس را از بین ببرند یا حتی از آنها به عنوان بنیانی برای خرابکاری در تجهیزات حیاتی استفاده کنند.

به استثنایIPnet ،FreeBSD ، Nucleus NET و NetX، همه بروزرسانی هایی را منتشر کرده اند که تامین کنندگان را ملزم مینماید دستگاه هایی را که از نسخه آسیب پذیر نرم افزاری بهره میبرند، با ارتقای نرم افزاری آنها و نصب بروزرسانی ها، به مشتریان خود عرضه کنند.

اما مانند نقایص قبلی، برای رفع این اشکالات چندین مانع وجود دارد؛ از جمله کمبود اطلاعات در مورد استک TCP/IP که روی دستگاه اجرا می شود؛ مشکل در ارائه بروزرسانی ها به دلیل اینکه دستگاه ها به طور یکپارچه و مرکزی مدیریت نمی شوند یا اینکه نمی توانند به دلیل نقش اصلی آنها در فرایندهای مهم ماموریتی و عملیاتی مانند مراقبت های بهداشتی و سیستم های کنترل صنعتی، آفلاین شوند.

به عبارت دیگر، علاوه بر تلاش لازم برای شناسایی همه دستگاه های آسیب پذیر، ممکن است زمان قابل توجهی طول بکشد تا بروزرسانی های امنیتی از تامین کننده استک به سیستم عامل دستگاه واصل شود.

حتی در بدترین حالت، در بعضی موارد تلاش برای بروزرسانی و یا پچ کردن هرگز عملی نخواهد بود، در نتیجه بسیاری از دستگاههای آسیب دیده به احتمال زیاد تا سالهای آینده یا تا زمانی که از رده خارج نشوند، در معرض حملات قرار می گیرند!

اگرچه ممکن است راه حلی سریع در حال حاضر در دسترس نباشد، اما نکته قابل توجه در این یافته ها وجود مواردی از کاهش خطر است که تشخیص تلاش برای استفاده از این نقص ها را آسان تر می کند. برای شروع، فاراسکات یک اسکریپت متن باز برای شناسایی دستگاه هایی که استک های آسیب دیده را اجرا می کنند، منتشر کرده است. علاوه بر این محققان همچنین توصیه کرده اند تا زمان نصب بروزرسانی ها، كنترل تقسیم بندی شبكه را اعمال کرده و تمام ترافیك شبكه را جهت بررسی بسته های مخربی كه سعی در سوءاستفاده از کاربرهایDNS ، mDNS و DHCP دارند، كنترل كنند.

همچنین انتظار می رود این مطالعه در کنفرانس Black Hat Asia 2021 در تاریخ 6 ماه می سال 2021 ارائه شود.

محققان اعلام کردند: "NAME:WRECK موردی است که در آن، پیاده سازی نادرست یک قسمت خاص از RFC می تواند عواقب فاجعه باری داشته باشد که در نقاط مختلف استک TCP/IP گسترش می یابد و سپس محصولات ز آن استک آسیب دیده استفاده میکنند".

محققین اضافه کردند که: "همچنین جالب است که عدم اجرای پشتیبانی از فشرده سازی (همانطور که به عنوان مثال در lwIP دیده می شود) یک عامل موثر در کاهش خطرات در برابر این نوع آسیب پذیری است. از آنجا که صرفه جویی در پهنای باند مرتبط با این نوع فشرده سازی در دنیای اتصال سریع تقریباً بی معنی است، ما معتقدیم که پشتیبانی از فشرده سازی پیام DNS در حال حاضر مشکلات بیشتری را در قیاس با مواردی که ممکن است حل کند، ایجاد می نماید".

آلوده شدن ربات ها به باج افزار، دور از انتظار نیست

به گزارش سایت securityweek.com، تا به حال گوشی های هوشمند و رایانه های شخصی دو هدف اصلی حملات هکری بوده اند، با افزایش استفاده از ربات ها شاهد تبدیل آنها به یک هدف دیگر برای حملات هکری خواهیم بود.Takian.ir attacked by ransomware

استفاده گسترده از ربات ها در شرکت های خودروسازی، فروشگاه ها، هتلها، فرودگاه ها، بیمارستان ها و مراکز درمانی می تواند فجایع جدی به بار آورد و حتی زندگی روزمره انسان ها را مختل کند.
ربات های پیشرفته حاوی اطلاعات زیادی در مورد فعالیت های روزمره هزاران انسان بوده و بسیاری از آنها به طور مداوم در حال تبادل هستند و لذا باج گیری از طریق قفل کردن این اطلاعات می تواند به یک کسب و کار پرسود برای هکرها و کلاه برداران اینترنتی مبدل شود.
از جمله اطلاعاتی که از این طریق قابل سرقت است می توان به انبوهی از فایل های صوتی و ویدئویی، داده های مربوط به مسافران، بیماران، مالکان کسب و کارهای حساس و غیره اشاره کرد.
یکی از ربات هایی که در جریان بررسی های موسسه امنیتی آی او اکتیو به شدت آسیب پذیر تشخیص داده شده NAO است که به طور گسترده برای انجام فعالیت های آموزشی و تحقیقاتی در بیش از ده هزار موسسه در نقاط مختلف جهان به کار گرفته می شود. یکی دیگر از این ربات ها به نام سافت بنکر که کارکرد تجاری دارد نیز توسط بیش از دو هزار موسسه و شرکت در حال استفاده است.

آلوده شدن سیستم کاربر با آسیب پذیری های نرم افزارهای محبوب که تنها با یک کلیک ایجاد میشوند

محققان امنیت فناوری اطلاعات در پازیتیو سکیوریتی و لوکاس اولر چندین آسیب پذیری که با یک کلیک در برنامه های مختلف نرم افزاری معروف اجرا میشوند را شناسایی کرده اند که می توانند به مهاجم اجازه دهند کد دلخواه را در دستگاه های هدف اجرا کند.

محققان در تحقیقات خود اظهار داشتند که مشخص شده است که برنامه های دسکتاپ، به ویژه برنامه هایی که URL های ارائه شده توسط کاربر را برای باز کردن برای اجرا به سیستم عامل انتقال میدهند، در مقابل اجرای کد با تعامل کاربر آسیب پذیر هستند.

محققان توضیح دادند اجرای کد زمانی امکان پذیر می شود که URL به یک برنامه اجرایی مخرب مانند .desktop ، .exe یا .jar هدایت شود که "در قسمت اشتراک فایل قابل دسترسی به اینترنت (NFS،WebDAV ، SMB،...)" میزبانی شده و باز شود یا اینکه از یک آسیب پذیری دیگر در کنترل کننده URL برنامه باز شده، استفاده شده باشد.

 

کدام برنامه ها آسیب پذیر هستند؟

این آسیب پذیری ها بر بسیاری از برنامه های معروف از جمله VLC ، Telegram ، LibreOffice ، Nextcloud ، Bitcoin/Dogecoin Wallets، OpenOffice، Mumble و Wireshark تأثیر می گذارند. این آسیب پذیری از اعتبارسنجی ناکافی ورودی URL ناشی می شوند.

بنابراین آنچه اتفاق می افتد این است که وقتی برنامه از طریق سیستم عامل باز می شود، به طور خودکار یک فایل مخرب را اجرا می کند. به گفته محققان، بسیاری از برنامه ها نتوانستند URL ها را اعتبارسنجی کنند. به همین علت است که آنها به مهاجم اجازه می دهند یک لینک ویژه طراحی شده را اجرا نماید که به بخشی از کد حمله مرتبط است و منجر به اجرای کد دستور راه دور می شود.

 

بروزرسانی ارائه شده برای برنامه های آسیب دیده

در پی پیروی از قوانین افشای مسئولیت، اکثر برنامه های آسیب دیده برای حل این مشکل بروزرسانی شده اند. برنامه های ذکر شده، شامل موارد ذیل هستند:

  • Nextcloud - نسخه 3.1.3 دسکتاپ کاربر در 24 فوریه اصلاح شد (CVE-2021-22879).
  • تلگرام – با یک تغییر از سمت سرور تا 10 فوریه رفع شد.
  • VLC Player - پچ نسخه 3.0.13 که هفته آینده منتشر می شود.
  • OpenOffice - مشکل موجود در نسخه 4.1.10 رفع شد (CCVE-2021-30245).
  • LibreOffice - نسخه ویندوز بروزرسانی شده اما Xubuntu همچنان آسیب پذیر است (CVE-2021-25631).
  • Mumble - نسخه 1.3.4 اصلاح شده و در 10 فوریه منتشر شده است (CVE-2021-27229).
  • Dogecoin - این مشکل در نسخه 1.14.3 که در 28 فوریه منتشر شد، حل شده است.
  • Bitcoin ABC - مشکلات موجود در نسخه 0.22.15 رفع شده و در تاریخ 9 مارس منتشر شده است.
  • Bitcoin Cash - نسخه 23.0.0 بروزرسانی شده و به زودی منتشر می شود.
  • Wireshark - نسخه 3.4.4 اصلاح شده و در 10 مارس منتشر شده است (CVE-2021-22191).
  • WinSCP - در نسخه 5.17.10 رفع شده و در تاریخ 26 ژانویه منتشر شده است (CVE-2021-3331).

 

اثبات مفهوم و جزئیات فنی

محققان یک پست وبلاگ مفصل به همراه جزئیات فنی و فیلم هایی منتشر کرده اند که نشان می دهد این آسیب پذیری ها چگونه برنامه های نرم افزاری که در بالا ذکر شده اند را تحت تاثیر قرار میدهند. (مطالعه جزئیات فنی)

اتهام کلاه برداری چندین میلیون دلاری جان مک آفی، از بزرگان آنتی ویروس مک آفی با سوء استفاده از رمزارزها

 

مک آفی در دادگاه فدرال به دلیل طرح هایی که تبلیغات ارزهای رمزارز را در رسانه ها گسترش، نشر و ارتقا میدهند، متهم به کلاه برداری شده است.

وزارت دادگستری ایالات متحده آمریکا روز جمعه گفت که جان مک آفی، پیشگام نرم افزار آنتی ویروس، که شرکت سابق وی هنوز نام او را یدک میکشد، به جرم کلاه برداری و اقداماتی در راستای پولشوئی حاصل از دو طرح رمزارز، متهم شده است.

مقامات رسمی، مک آفی و محافظ او (جیمی گیل واتسون جونیور) را متهم کرده اند که در ذیل توییت های مخاطبین عظیم اکانت توییتر مک آفی با الگوی pump-and-pump، برای آلت-کوین ها تورم مصنوعی ایجاد کرده و همچنین مبالغی که مک آفی از مشاغل استارتاپی برای تبلیغ رمزارزها دریافت کرده را مخفی و متعاقبا سواستفاده کرده است.

بنا به گفته وزارت دادگستری ایالات متحده، مک آفی و همدستانش بیش از 13 میلیون دلار از این طریق منتفع شده و برداشت کرده اند. کمیسیون معاملات آتی کالاها، اتهامات مدنی مربوطه را در رابطه با طرح ادعا شده pump-and-pump مطرح کرده است.

وکلای مک آفی و واتسون تا کنون مشخص و یا شناسایی نشده اند.

وزرات دادگستری اعلام کرده است که مک آفی پس از دستگیری در اسپانیا به اتهام فرار مالیاتی که در ماه اکتبر اعلام شده بود، هم اکنون نیز در بازداشت به سر میبرد. واتسون نویز پنجشنبه شب دستگیر شده است.

هر دوی آنها همچنین از سوی کمیسیون بورس و اوراق بهادار ایالات متحده، که در ماه اکتبر مک آفی را به پنهان کاری بیش از 23 میلیون دلار بخاطر ایجاد تورم مصنوعی هفت رمزارز در توییتر متهم کرده بود، با این اتهام هم روبرو هستند.

مک آفی در سال 2012 و پس از بازجویی از وی در مورد مرگ همسایه خود و هنگام فرار از خانه خود در بلیز، بشدت زیر ذره بین رسانه ها قرار گرفت. آنها در نهایت اعلام کردند که او دیگر مظنون نیست.

در پرونده رمزارزها، مقامات اعلام داشته اند که مک آفی دارایی های خود را از جمله Verge، Reddcoin و Dodgecoin در قالب طرح تبلیغاتی در قالب توییتر با نامهای "سکه روز" و یا "سکه هفته" از حدود دسامبر 2017 تا فوریه 2018 تبلیغ میکرده است.

مقامات افزوده اند که مک آفی از طریق توییت ها، سخنرانی ها و نقش خود به عنوان مدیرعامل یک شرکت رمزارز در بازار عمومی، خود را به عنوان یک متخصص امنیت سایبری و رمزارزها معرفی کرده است.

آنها همچنین وی را متهم کردند که  او به دنبال کنندگان خود حتی هنگامی که اظهار کرده است که آنها "جهان را تغییر خواهند داد"، گفته است که هیچ سهمی و نقشی در رمزارزها نداشته و ندارد.

ارتباط زنجیره‌وار حملات روز صفر کروم و ویندوز توسط مهاجمان ناشناس

takian.ir unknown attacker chains chrome and windows zero days 1
محققان امنیتی درباره مجموعه‌ای از حملات بسیار هدفمند که برای به خطر انداختن شبکه‌های قربانیان از طریق بهره‌برداری‌های روز صفر Google Chrome و Microsoft Windows هشدار داده اند.

تصور می‌شود مهاجمان ابتدا از باگ اجرای کد از راه دور CVE-۲۰۲۱-۲۱۲۲۴ در کروم که به تازگی پچ شده است، سواستفاده کرده اند.

کسپرسکی توضیح داده است که: "این آسیب‌پذیری مربوط به اشکال Type Mismatch در V۸ که یک موتور جاوا اسکریپت مورد استفاده توسط مرورگر‌های وب کروم و کرومیوم می‌باشد، بوده است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا از فرایند رندر کروم سواستفاده کنند. این دسته، شامل فرایند‌هایی هستند که مسئول بررسی آنچه در تب‌های کاربران اتفاق می‌افتد، می‌باشند".

به نقل اینفو سکیوریتی مگزین، مرحله دوم افزایش سطح بهره‌برداری با استفاده از اختیارات مربوط به دو آسیب‌پذیری جداگانه در هسته سیستم عامل مایکروسافت ویندوز بود. مورد اول، CVE-۲۰۲۱-۳۱۹۵۵ که می‌تواند منجر به افشای اطلاعات حساس هسته شود؛ و مورد دوم، CVE-۲۰۲۱-۳۱۹۵۶ که یک اشکال سرریز بافر مبتنی بر heap می‌باشد.

کسپرسکی ادعا کرده است که مهاجمان CVE-۲۰۲۱-۳۱۹۵۶ را همراه با Windows Notification Facility (WNF) برای ایجاد حافظه دلخواه خواندن/نوشتن موارد اولیه به کار گرفته و ماژول‌های بدافزار را همراه با امتیازات سیستم اجرا می‌کنند.

هنگامی که آن‌ها با بهره‌گیری از این سه نقص جایگاه خود را در شبکه‌های قربانی مستحکم کردند، ماژول‌های استیجر یک دراپر بدافزار مخرب پیچیده‌تر را از یک سرور از راه دور اجرا می‌کنند، که به متعاقب آن خود را بر روی فایل‌های اجرایی نصب می‌کند تا به عنوان جزئی از فایل‌های قانونی ویندوز شناخته شود.

کسپرسکی گفته است که یکی از این موارد یک ماژول shell از راه دور است که برای بارگیری و بارگذاری فایل‌ها، ایجاد پروسس‌ها، حفظ خود در حالت خوابیده برای دراز مدت و حذف خود از سیستم آلوده طراحی شده است.

در حالی که گوگل قبلاً این نقص کروم را برطرف کرده است، مایکروسافت نیز هر دو آسیب‌پذیری را در بروزرسانی امنیتی سه شنبه هفته گذشته پچ کرده است.

تیم تحقیقاتی هنوز حملات را با هیچ عامل تهدید شناخته شده‌ای مرتبط ندانسته اند و از این رو گروهی که در پس این حملات بوده اند را، "PuzzleMaker" مینامند.

بوریس لارین، محقق ارشد امنیت در تیم تحقیق و تجزیه و تحلیل جهانی کسپرسکی (GReAT) اینگونه استدلال کرد که: "به طور کلی، در اواخر سال، ما شاهد چندین موج از فعالیت‌های تهدید آمیز با سواستفاده‌های روز صفر بوده‌ایم. این یک زنگ هشدار برای ما است که روز صفر همچنان موثرترین روش برای آلوده کردن اهداف مدنظر مجرمان سایبری است".

وی افزود: "اکنون که این آسیب‌پذیری‌ها برای عموم شناخته شده اند، ممکن است که شاهد افزایش استفاده از آن‌ها در حملات توسط این عامل و سایر عوامل تهدید و خطر آفرین باشیم. این بدان معنی است که برای کاربران بسیار مهم است که جدیدترین و بروزترین پچ‌ها را از مایکروسافت در اسرع وقت بارگیری و دریافت نمایند".

از بین بردن سرورهای DNS معتبر به وسیله نقص جدید TsuNAME

 

محققان امنیتی روز پنجشنبه آسیب پذیری جدیدی را که بر Domain System Name (DNS) تأثیر می گذارد و می تواند توسط مهاجمان برای حملات DoS بازگشتیِ علیه nameserver های معتبر، مورد استفاده قرار گیرد را افشا نمودند.

این نقص که نام 'TsuNAME' به آن اطلاق شده است، توسط محققان SIDN Labs و InternetNZ کشف شد که به ترتیب دامنه های اینترنتی رده بالای ".nl" و ".nz" برای هلند و نیوزیلند را مدیریت می کنند.

محققان اعلام کرده اند که: "TsuNAME هنگامی رخ می دهد که نام های دامنه به شکل ناصحیح و به صورت چرخشی وابسته به رکوردهای DNS پیکربندی شده باشد و هنگامی که ریزالورهای آسیب پذیر به این تنظیمات نادرست دسترسی پیدا کنند، شروع تکرار لوپ میکنند و درخواست های DNS را به سرعت به سرورهای معتبر و سایر ریزالورها می فرستند".

ریزالور بازگشتی DNS یکی از مولفه های اصلی در Resolve DNS است. به عنوان مثال، تبدیل نام هاستی مانند www.google.com به آدرس IP قابل قبول برای کامپیوتر مانند 142.250.71.36. برای نیل به این هدف، تا مادامی که به DNS nameserver شناخته شده برای رکوردهای DNS مورد درخواست دسترسی پیدا کند، به درخواست کاربر برای یک صفحه وب، با ایجاد یک سری از درخواستها پاسخ میدهد. سرور معتبر DNS شبیه دیکشنری است که آدرس IP دقیق دامنه که جستجو شده را در خود جای داده است.

اما در مورد TsuNAME این ایده مطرح است که تنظیمات نادرست هنگام ثبت دامنه می تواند یک چرخه وابستگی ایجاد کند، به طوری که رکوردهای nameserver برای دو منطقه، به سمت یکدیگر تنظیم شوند و باعث میشود ریزالورهای آسیب پذیر به سادگی از قسمتی به قسمت دیگر برگردند، و درخواست های بی وقفه ای را به سرورهای معتبر هر دو نقطه مادر ارسال کنند که به موجب آن سرورهای معتبر منطقه مادر به آنها غلبه می کنند.

در مورد چگونگی وقوع این اتفاق میتوان گفت که زیرا ریزالورهای بازگشتی از چرخه غافل شده و رکوردهای نام وابسته به چرخه را ذخیره نمی نمایند.

takian.ir tsuname dns vulnerability

 

داده های جمع آوری شده از دامنه .nz نشان داده است که دو دامنه با پیکربندی اشتباه منجر به افزایش 50 درصدی حجم کلی ترافیک برای سرورهای معتبر .nz شده است. Google Public DNS (GDNS) و Cisco OpenDNS (که برای هدف قرار دادن دامنه های .nz و .nl در سال 2020 مورد سواستفاده قرار گرفتند) ، از آن زمان در نرم افزار ریزالور DNS خود به این مسئله اشاره کرده اند.

برای کاهش تأثیر TsuNAME در محیط سایبری، محققان ابزار متن بازی به نام CycleHunter منتشر کرده اند که برای اپراتورهای سرور DNS معتبر امکان شناسایی چرخه وابستگی ها را فراهم می کند. این مطالعه همچنین 184 میلیون دامنه را که شامل هفت دامنه بزرگ سطح بالا و 3.6 میلیون رکورد nameserver متمایز است، مورد تجزیه و تحلیل قرار داده است و 44 لوپ وابستگی مورد استفاده توسط 1435 نام دامنه را کشف کرده است.

محققان هشدار داده اند: "با توجه به اینکه سوابق NS می توانند در هر زمان تغییر کنند، هیچ راه حل دائمی برای این مشکل وجود ندارد. به عبارت دیگر، اگر یک منطقه DNS فاقد رکورد NS وابسته به چرخش در زمان t باشد، به این معنی است که این منطقه فقط در آن زمان خاص t آسیب پذیر نیست. از همین رو ما همچنین به ثبت کنندگان توصیه مینماییم به طور مثال، به عنوان بخشی از روند ثبت نام دامنه، CycleHunter را به طور منظم اجرا کنند".

از دسترس خارج شدن بزرگترین بازار فروش اطلاعات ورود به سیستم حساب های سرقتی آنلاین با نام Slilpp

takian.ir doj taken down largest dark web market slilpp 1

بزرگترین بازار فروش اطلاعات و اعتبارنامه های سرقتی ورود به سیستم حساب آنلاین با نام Slilpp است که بیش از 80 میلیون اعتبارنامه سرقت شده را برای بیش از 1400 مهاجم سایبری در سراسر جهان ارائه می دهد.

وزارت دادگستری آمریکا (DoJ)، بازار دارک وب Slilpp که در آن تجارت نام کاربری و رمزهای ورود به سرقت رفته صورت میپذیرفته را، تعطیل کرده است.

 

وزارت دادگستری زیرساخت های Slilpp را از بین برده است
"وزارت دادگستری حضور خود را در یک عملیات چند ملیتی شامل اقدامات لازم در ایالات متحده، آلمان، هلند و رومانی برای اخلال و از بین بردن زیرساخت های بازار آنلاین معروف به Slilpp اعلام میدارد".

بازار Slilpp که از سال 2012 عملیاتی شده بود، اطلاعات سرقت شده ورود به سیستم را شامل نام کاربری و رمزهای ورود برای حساب های بانکی، حساب های پرداخت آنلاین، حساب های تلفن همراه، حساب های خرده فروشی و سایر حساب های آنلاین را به فروش می رسانده است.

بازار با ارائه تالار گفتمان و سازوکار پرداخت برای اینگونه معاملات به فروشندگان اجازه می داد تا اعتبارنامه ورود به سیستم سرقتی را به فروش‌ رسانیده و همچنین مشتریان آنها می توانند اطلاعات ورود به سیستم به سرقت رفته را خریداری کنند. بر اساس گزارش وب سایت رسمی وزارت دادگستری ایالات متحده، خریداران Slilpp از آن اعتبارنامه های ورود به سیستم برای انجام معاملات غیر مجاز مانند انتقال وجه از حساب های مربوطه استفاده می کردند.

این گزارش اعلام کرده است که تا به اکنون بیش از دوازده نفر توسط نیروی امنیتی ایالات متحده در ارتباط با بازار Slilpp متهم یا دستگیر شده اند.

طی همکاری FBI با آژانس های مجری قانون خارجی در آلمان، هلند و رومانی، مجموعه ای از سرورها را که میزبان زیرساخت ها و دامنه های مختلف Slilpp بودند شناسایی و کنترل آنها را بدست گرفته شده است.

نیکلاس ال مک کوئید، دستیار دادستان کل کشور، از بخش جنایی وزارت دادگستری اشاره می کند که "بازار Slilpp متهم است که صدها میلیون دلار به قربانیان در سراسر جهان ضرر وارد کرده است، از جمله این که خریداران قادر به خرید هویت سرقت شده قربانیان آمریکایی بوده اند".

گفته می شود که بیش از 1400 دارنده حساب در بازار Slilpp برای فروش حضور داشته و در دسترس هستند. براساس تعداد اندکی از گزارش های موجود در مورد قربانیان ، اطلاعات سرقت شده ورود به سیستم از طریق Slilpp خسارتی بیش از 200 میلیون دلار را به ایالات متحده تحمیل کرده است و هنوز حجم و ابعاد کامل تأثیر Slilpp مشخص نشده است.

دستیار دادستان کل دادستان کل نیکلاس ال مک کوئید از وزارت دادگستری اعلام کرد: "این بخش اقتصاد زیرزمینی را برای هویت های به سرقت رفته قابل تحمل نخواهد بود و ما به همکاری با شرکای مجری قانون خود در سراسر جهان برای برهم زدن بازارهای جنایی در هر کجا و تا آنجا که بتوانیم، ادامه خواهیم داد".

چانینگ دی فیلیپس، سرپرست دادستانی ایالات متحده، از ناحیه کلمبیا گفت: "FBI و شرکای بین المللی پیام واضحی را به کسانی که طبق ادعای آنها اقدام به سرقت و تبادل در هویت های سرقت شده می کنند، ارسال میکنند: ما اجازه نخواهیم داد هیچ تهدید سایبری از دید ما پنهان بماند".

از این رو، Slilpp سومین بازاری است که پس از xDedic در ژانویه 2019 و DEER.IO در ژانویه 2021 که هر دو آنها برای خرید و فروش اعتبارنامه ورود به سیستم استفاده میشدند، توسط وزارت دادگستری از دسترس خارج شده اند.

از ظاهر تا عمل؛ زیر سوال بودن عملکرد CISO ها در دنیا

 

پس از تحقیقات جدید آشکار شده است که بسیاری از پرچمداران امنیت سایبری جهان در فضای آنلاین رفتارهای پر ریسک انجام می دهند و ممکن است به آنچه که تبلیغ می کنند و نشان میدهند، عمل نکنند.

شرکت کانستلا اینتلیجنس، بیش از 100 شرکت جهانی پیشرو و بزرگ امنیت آی تی را در زمینه های مختلفی مورد نظرسنجی قرار داده اند تا آخرین گزارش خود را با عنوان "مخاطرات فضای سایبری در دنیای فرامتصل امروز" جمع آوری کند.

به نقل از اینفو سکیوریتی مگزین، این گزارش رویه گسترده امنیتی ضعیفی را نشان داده است: یک چهارم (24%) اعتراف کرده اند که از رمز عبور مشابه برای کار و فعالیت های آنلاین شخصی استفاده می کنند و تقریباً نیمی از آنها (45%) بدون استفاده از VPN به شبکه های وای فای عمومی متصل می شوند.

تصور می شود Wi-Fi عمومی آنقدر خطرناک است که دفتر تحقیقات فدرال ایالات متحده به طور منظم به مردم هشدار می دهد که در مواقع حضور خارج از خانه به این شبکه ها وصل نشوند.

تعداد مشابهی (48%) از پاسخ دهندگان CISO گفته اند که آنها از سیستم کاری خود برای ورود به سایت های شبکه های اجتماعی استفاده می کنند و 77% آنها درخواست دوستی افرادی را که نمی شناسند قبول می کنند، از جمله لینکدین که جامعه ای 63 درصدی را به خود اختصاص داده است.

طبق اطلاعات سازمان امنیت داخلی انگلستان، جاسوسان خارجی طی پنج سال گذشته با استفاده از پروفایل های جعلی با بیش از 10 هزار شهروند انگلیس از طریق شبکه اجتماعی لینکدین تماس گرفته و ارتباط برقرار کرده اند.

دولت طی یک اقدام کارآگاهی که به تازگی انجام شده، اعلام کرده است: "عواقب و نتیجه تعامل با این پروفایل ها می تواند به مشاغل فردی و همچنین منافع سازمان شما و منافع امنیت ملی و سعادت کشور آسیب برساند".

پیشگامان و بزرگان امنیتی حتی اگر حملاتی که آنها را هدف قرار می دهند نیز افزایش یابد، همچنان به رفتارهای پرخطر خود ادامه می دهند.

بیش از نیمی (57%) از افراد این جامعه آماری در زندگی شخصی خود تحت حملات تصاحب حساب (ATO) قرار گرفته اند که عمدتا از طریق ایمیل (52%)، لینکدین (31%) و فیسبوک (26%) این مجموعه را تشکیل داده اند. تقریباً سه چهارم (74%) گفته اند که در طی 90 روز گذشته مورد حمله فیشینگ یا ویشینگ قرار گرفته اند. بر اساس این گزارش، در یک سوم (34%) موارد، عوامل تهدید هویت مدیرعامل خود را جعل کرده اند.

مدیر عامل شرکت کانستلا اینتلیجنس، کایلاش آمبوانی میگوید: "در میان افزایش حملات سایبری به سازمان ها، که بسیاری از آنها از طریق جعل هویت C-suite انجام می شود، اکنون آگاهی و هوشیاری کارمندان در حوزه امنیت سایبری به اندازه زیرساخت های امنیتی یک سازمان مهم و پر اهمیت است".

"هرچه زمینه های شغلی و شخصی به طور فزاینده و به شکل دیجیتالی در یکدیگر آمیخته می شوند، هم مدیران و هم کارمندان باید به نقشی که هر یک از آنها در بهداشت جمعی امنیت سایبری ایفا می کنند، توجه نماید".

استوریج های QNAP، آسیب پذیری 7zip و درآمد 250 هزار دلاری در پنج روز

 

یک گروه باج افزار با رمزگذاری از راه دور فایل ها در استوریج های QNAP با استفاده از نرم افزار بایگانی 7zip در فاصله 5 روز 250,000 دلار درآمد کسب کرده اند. کاربران QNAP NAS در سراسر جهان از روز دوشنبه و پس از بهره برداری با باج افزاری به نام Qlocker توسط مهاجمین و سوءاستفاده از آسیب پذیری های رایانه های آنها، متوجه شدند که فایلهایشان بدون اطلاع رمزگذاری شده است.

در حالی که اکثر گروه های باج افزاری مدت زمان زیادی را صرف تولید بدافزار خود می کنند تا آن را قدرتمند، مملو از ویژگی منحصر بفرد و در مقابل دفاع سایبری ایمن سازند، گروه Qlocker هیچگونه نیازی به این اقدامات پیشگیرانه و توسعه دهندگی پیدا نکرد. در عوض، آنها دستگاه های QNAP را که به اینترنت متصل شده بودند، اسکن کرده و آنها را با نقص هایی که به تازگی کشف شده بودند، دستکاری کردند.

به گزارش هکینگ نیوز، عوامل این حملات توانستند با سوءاستفاده ها از راه دور از ابزار بایگانی 7zip بهره برده و بر روی فایل های قربانیان در دستگاه های ذخیره سازی NAS برای رمزگذاری استفاده کنند. آنها با استفاده از یک الگوریتم رمزنگاری آزمایش که در ابزار بایگانی 7zip تعبیه شده بود، تنها در مدت پنج روز توانستند بیش از هزار دستگاه را رمزگذاری کنند. برای دسترسی به همه رایانه های یک قربانی و فاش نکردن اطلاعات سرقت شده آنها، باج افزارهایی که سازمان ها را هدف قرار میدهند، به طور معمول پرداخت باج از صد هزار تا 50 میلیون دلار را مطالبه میکنند.

از طرف دیگر Qlocker مخاطبان متفاوتی را انتخاب کرده است: مشتریان و شرکت های کوچک و متوسط (SME) ​​که از کامپیوترهای QNAP NAS برای ذخیره سازی شبکه استفاده می کنند. به نظر می رسد عوامل مهاجم درک خوبی از اهداف خود دارند زیرا مطالبات باج آنها فقط 0.01 بیت کوین یا حدود 500 دلار با نرخ حدودی بیت کوین امروز بوده است.

از آنجایی که باج افزار Qlocker از مجموعه ای از آدرس های بیت کوین استفاده می کند که به طور معمول تغییر میکنند، شرکت بلیپینگ کامپیوتر، آدرس ها را جمع آوری کرده و پرداخت های آنها را پیگیری می کند. جک کیبل، محقق امنیت، یک ضعف کوتاه مدت و مقطعی را کشف کرده است که به او امکان بازیابی رمزهای عبور 55 قربانی را به صورت رایگان داده است. او ده آدرس بیت کوین متفاوت از یکدیگر را جمع آوری کرد که توسط تهدیدکنندگان هنگام استفاده از این اشکال در بین قربانیان در حال چرخش بوده و آنها را با بلیپینگ کامپیوتر به اشتراک گذاشته است.

بلیپینگ کامپیوتر از آن زمان، ده آدرس بیت کوین دیگر نیز جمع آوری کرده است و تعداد کل آدرس های بیت کوین مورد استفاده عاملین تهدید Qlocker را به 20 رسانده است. 20 آدرس بیت کوین تا این زمان، پرداخت باجی در حدود 5.25735623 بیت کوین را دریافت کرده اند که معادل 258،494 دلار به پول امروز است. متأسفانه در حالی که کاربران تصمیم سختی برای پرداخت باج برای بازیابی و دسترسی مجدد به فایل های خود می گیرند، احتمالاً تعداد باج ها در آخر این هفته و هفته آینده افزایش می یابد.

این کمپین باج افزاری همچنان فعال است و روزانه قربانیان جدیدی از آن گزارش می شوند. شرکت تاکیان به کلیه کاربران توصیه مینماید برای بروزرسانی و رفع آسیب پذیری ها و دفاع در برابر این حملات باج افزاری، همه کاربران QNAP دستگاه های خود را به جدیدترین نسخه های کنسول چندرسانه ای، افزونه Media Streaming و Hybrid Backup Sync ارتقا دهند. از این طریق همچنین کاربران می توانند از دستگاه های NAS خود محافظت کنند تا امکان انجام حملات احتمالی دشوارتر صورت پذیرد.

اطلاعات یاندکس (Yandex) لو رفت!

شرکت اینترنت‌ محور یاندکس روسیه دچار نشت اطلاعاتی شد و نزدیک به ۵ هزار حساب ایمیل موجود در سیستم‌های آن در معرض خطر قرار گرفت.

takian.ir-yandex-leak-five-thousand-emails
به گزارش سکیوریتی بولوارد، یکی از بزرگ‌ ترین شرکت ‌های اینترنت ‌محور اروپا، خبر از نشت اطلاعاتی داد که ۴۸۸۷ حساب ایمیل را در معرض خطر قرار داد. منشاء این نشت اطلاعاتی، یکی از کارمندان این شرکت بود. یاندکس محبو‌بترین موتور جست و جو در روسیه و پنجمین موتور جست و جوی محبوب در جهان است. خط تولید محصولات مرتبط با اینترنت یاندکس شامل سرویس‌ های ایمیل، تبلیغات آنلاین و... است.

بر اساس یافته های یاندکس یکی از کارمندان این شرکت، برای به دست آوردن منافع شخصی، امکان دسترسی غیر قانونی مجرمان به میل باکس کاربران را فراهم کرده است. این کارمند، یکی از سه ادمین سیستمی است که پشتیبانی فنی میل باکس ها را بر عهده داشت.

طبق گفته یاندکس، تحقیقات در مورد این رخداد آغاز شده و تغییراتی در فرایند دسترسی ادمین ها به سیستم ایجاد شده است. این اقدام میتواند امکان به خطر انداختن داده های کاربران را به حداقل برساند.

تیم امنیتی یاندکس در هنگام بازبینی معمول خود از سیستم ها متوجه این نشت اطلاعاتی شد. این شرکت تاکید کرد که هیچ یک از داده های پرداختی کاربران در معرض خطر قرار نگرفته است.

این شرکت همچنین دسترسی غیرقانونی به میل باکس های در معرض خطر را مسدود کرده است. یاندکس گفت که ما با صاحبان این میل باکس ها تماس گرفته ایم و هشدارهای لازم برای تغییر گذرواژه را به آنها داده ایم.

طبق گزارش ها، ۳۰ درصد از نشت های اطلاعاتی سال ۲۰۲۰ به دلایل درون سازمانی صورت گرفته است. شرکت های سیسکو در ماه دسامبر، آمازون در ماه اکتبر و ADT  در ژانویه امسال نیز به دلایل درون سازمانی مورد هدف قرار گرفته اند.

افزایش تقاضای بازار نرم افزار محافظت از حملات DDoS در بازه 2020 تا 2028

 

حمله DDoS یا Distributed Denial of Service نوعی حمله مخرب است که با ایجاد فشار بیش از حد در وب سایت با میزان بازدید بیشتر از سرور، ترافیک منظم شبکه را مختل می کند. هدف اصلی این نوع حمله سایبری غیرفعال کردن و از کار انداختن وب سایت ها است.

طی سالهای اخیر، این نوع حملات روند رو به افزایش داشته است و متعاقبا تقاضا برای بهترین نرم افزارهای محافظت از DDoS را افزایش می دهد. بسیاری از قطع دسترسی های برنامه ریزی نشده از مرکز داده ها به دلیل حملات DDoS اتفاق افتاده است. درجه بالای خطر DDoS به دلیل دسترسی آسان به ابزارهای لازم برای حمله و سود بالقوه آن از طریق اخاذی است.

این حملات بطور مستقیم مشاغل را هدف قرار داده و منجر به خسارات مالی و جانی قابل توجهی می شود و داشتن راه حل های قوی و مستحکم برای حفاظت از DDoS، تبدیل به امری حیاتی شده است.

طبق گزارش موسسه مارکت ریسرچ ، پیش بینی می شود نرخ رشد مرکب سالانه (CAGR) بازار نرم افزارهای محافظت از حملات DDoS برای سال 2020 تا 2028 به 14 درصد برسد.

 

آماری مهم که نشان از تقاضای روزافزون برای نرم افزاری محافظتDDoS دارد

تقاضا برای بازار نرم افزار DDoS به دلیل افزایش تصاعدی حملات چند جانبه DDoS و سهولت دسترسی به نفرات برا استخدام در حملات DDoS، در حال افزایش است.

این آمار، رشد مداوم در حملات مرگبار DDoS و نیاز قریب الوقوع به داشتن یک فضای محافظت قوی از DDoS را نشان می دهد.

  • بین سالهای 2014 و 2017 افزایش محسوسی در حملات DDoS برای نرخ افزایش 2.5 برابری مشاهده شده است.
  • تا سال 2020 ، تعداد کل حملات DDoS به 17 میلیون نفر رسید که هزینه هر کدام از این حملات بین 20 تا 40 هزار دلار در ساعت بوده است.
  • در سه ماهه دوم سال 2018، میانگین حجم و اندازه چنین حمله ای 26.37 گیگابایت بر ثانیه بوده است، که 967٪ افزایش یافته و در سه ماهه اول سال 2019 به 100 گیگابیت بر ثانیه رسیده است.
  • بزرگترین حمله تاکنون، حمله به GitHub در ماه فوریه سال 2018 با 1.3 ترابابت بر ثانیه بوده است.
  • چین بالاترین رتبه در بین عاملین حملات DDoS در سه ماهه سوم سال 2020 را داشته و 70.20٪ از کل حملات را به خود اختصاص داده است.
  • در سه ماهه سوم سال 2020، چین با 72.83٪ حملات، کشور پیشرو در اهداف حملات بوده است.
  • میزان فعالیت حملات DDoS بین سه ماهه چهارم سال 2019 و سه ماهه اول سال 2020، 542% افزایش یافته است.

پیش بینی می شود که حجم جهانی محافظت و کاهش حملات DDoS با افزایش 14 درصدی نرخ رشد مرکب سالانه ، از 2.4 میلیارد دلار در سال 2019 به 6 میلیارد دلار تا سال 2028 برسد.

عوامل موثر در رشد بازار محافظت و کاهش حملاتDDoS

حملات سایبری در چند وقت اخیر افزایش یافته است که بیشتر به دلیل تغییر جهت دیجیتالی شدن، افزایش تعداد دستگاههای متصل به اینترنت و افزایش قدرت محاسباتی پردازنده ها است. برای کاهش این تهدیدات نیاز به توسعه راه حل های نرم افزاری به شدت احساس میشود.

از اصلی ترین عواملی که می تواند باعث رشد بازار محافظت و کاهش حملات DDoS را بین سالهای 2020 تا 2028 بشود، افزایش نفوذ اینترنت اشیا (IoT) و دستگاه های متصل به اینترنت و تقاضای شرکت های کوچک و متوسط ​​است.

سازمان ها متوجه تأثیر این حملات شده اند و می خواهند از قبل برنامه ای برای مقاومت در برابر این دست حوادث داشته باشند.

حفاظتDDoS چگونه کار می کند

بسیاری از شرکتها با این سوال روبرو هستند که چگونه از وب سایت خود در برابر حملات DDoS محافظت کنم؟ امروزه فروشندگان زیادی وجود دارند که راه حل های نرم افزاری مختلفی ارائه می دهند که از وب سایت ها در برابر این حملات محافظت می کنند.

از الگوریتم ها و نرم افزار پیشرفته ای برای مدیریت ترافیک ورودی به وب سایت استفاده می کند. دسترسی به ترافیک مشکوک را مسدود می کند و اجازه می دهد موارد غیرمشکوک از  فیلتر آن عبور کنند.

راه حل پیشگیری ازDDoS

برنامه حفاظت DDoS شامل خرید و مدیریت تجهیزاتی است که می توانند ترافیک دریافت کننده را غربال کرده و در برابر حمله مقاومت کنند. سرویس های امنیتی مبتنی بر ساختار ابری و دستگاه های شبکه هستند که تهدیدات و مخاطرات ورودی را کاهش می دهند.

انتظار می رود بین سالهای 2020-2028 ، راه حل ها و خدمات سخت افزاری برای اطمینان از اتصال شبکه و کاهش خرابی در صورت خرابی تجهیزات یا برق رشد کنند.

حالت های گسترش و استقرار محافظت ازDDoS

وقتی صحبت از گستردگی میشود، بازار محافظت و کاهش حملات DDoS به ساختار ابری ، درون ساختاری و ترکیبی تقسیم می شود. انتظار می رود مدل ترکیبی در دوره پیش بینی شده، حداکثر رشد را داشته باشد. این حالت به سازمانها اجازه می دهد تا داده های با اهمیت خود را در ساختار خود نگه دارند و داده غیر مهم را به فضای ابری منتقل کنند.

در دوران اخیر، بسیاری از حملات DDoS توسط راهکار های داخلی و مبتنی بر ابر قابل شناسایی نبوده و سازمان ها نمی توانستند آنها را شناسایی و خنثی کنند. بنابراین آنها در حال تغییر به سمت یک مدل استقرار ترکیبی هستند.

بازیگران اصلی ارائه راه حل های تشخیص و کاهشDDoS

با افزایش حملات DDoS، تعداد عوامل ارائه دهنده راه حل های نرم افزاری برای شناسایی و کاهش حملات افزایش پیدا کرده اند.

بزرگترین عوامل حاضر در بازار عبارتند از نت‌اسکات، اینداسفیس مینیجد DDoS میتیگیشن، آکامای تکنولوژیز، کلودفلیر، لینک11، هوآوی تکنولوژیز، وریساین، نکسوس گارد.

بزرگترین سهم بازار در بازار محافظت و کاهشDDoS

طبق گزارش مجموعه مارکت ریسرچ، آمریکای شمالی بیشترین و بزرگترین سهم را در بازار محافظت و کاهش حملات DDoS در دوره پیش بینی شده داشته است. محرک های اصلی برای داشتن یک بازار بزرگ این است که این یکی از ابتدایی ترین راه حل های محافظت و کاهش DDoS بود و هیچ ارائه دهنده دیگری در این زمینه وجود ندارد. بسیاری از مشاغل در آمریکای شمالی برای در نطفه خنثی کردن این تهدیدات، راهکارهای محافظت و کاهش حملات DDoS را به عمل درمی آورند.

آسیا و اقیانوسیه (APAC) نیز شاهد افزایش رشد بازار خود را به دلیل رشد اقتصادی سریع و ثبات در کشورهای در حال توسعه و اصلاحات نظارتی بهتر خواهند بود.

در دوران اخیر و پیش رو، با تغییر روند تهدیدات و تاثیر حملات شبکه های DDoS در طول زمان، حملات DDoS بیشتر و پیچیده تر می شوند. اگرچه حجم حملات کاملا یکسان است، تعداد حملات به برنامه های خاص و هدف های حساب شده، به مقدار قابل توجهی افزایش می یابد.

هدف از راه حل های نرم افزاری حفاظت از حملات DDoS، کاهش بازه زمان خرابی حاصل از این حملات و افزایش در دسترس بودن وب سایت ها در راستای حفظ تولید و کارآیی مشاغل است. راه حل های نرم افزاری درون ساختاری، ابری و ترکیبی برای شرکت های کوچک، متوسط و بزرگ، قطعا بسیار راهگشا است.

افزایش حملات به شرکت های کوچک و متوسط و ناآگاهی کاربران

 

حملات سایبری به طور مکرر و بسیار جدی به ویژه بر شرکت های کوچک و متوسط (SME)، روند فزاینده ای را از خود نشان میدهند. متخصصان حوزه امنیت سایبری ارزیابی کرده اند که حملات سایبری در 5 سال آینده بیش از 5 تریلیون دلار هزینه به سازمان ها و نهادها تحمیل خواهد کرد.

ساده انگارانه است اگر تصور کنید که سرمایه گذاری های مستقل و هدف گذاری شده، تمرکز خود را از مجرمان سایبری دور نمایند، اما به طرز بسیار نامطلوبی، این نکته نمی تواند دور از حقیقت باشد. هر ساله تعداد زیادی از سازمان های کوچک قربانی حملات برنامه های مبتنی بر وب می شوند، بدین معنی که وقتی مجرمان برای دسترسی به سرور یا پایگاه داده از آسیب پذیری های کدگذاری سوءاستفاده می کنند، این نوع تهدیدات مخرب سایبری به عنوان برنامه های مبتنی بر وب شناخته می شوند.

به گزارش سایت ریکان‌ویت‌می، در مقایسه با حملات علیه سازمانهای بزرگتر، تعداد این حملات کمتر به نظر می رسد زیرا آنها معمولاً دارای یک تیم امنیتی داخلی هستند که به طور مداوم امنیت این نهادها را تامین میکنند و حتی اگر حمله ای صورت گیرد، توسط اخبار و دستگاه های رسانه های اجتماعی تحت پوشش قرار می گیرند، در حالی که حمله به شرکت های کوچکتر مورد توجه قرار نمی گیرد و تحت حمایت چندانی قرار نمیگیرند. این می تواند به نهادهای سرمایه گذاری خصوصی این احساس ناخوشایند را بدهد که همه دنیا در شرایط ایده آلی قرار دارند که از امنیت سایبری کافی برخوردار هستند. با این حال، شرکتهای کوچک در بیشتر موارد نسبت به شرکتهای بزرگ ناتوانتر هستند زیرا دارای سرمایه کمتری جهت اعمال تعهد امنیتی هستند.

 

مخاطرات قرار گرفتن تحت حملات سایبری

حملات سایبری خطری واقعی برای شرکتهای خصوصی هستند. این موضوع توسط موسسه پونمون در سال 2018 از طریق یک نظرسنجی بزرگ در زمینه امنیت سایبری تأیید شد. این بررسی شامل 1،045 سازمان کوچک و متوسط ​​در ایالات متحده آمریکا و انگلیس است.

در اینجا به برخی از یافته های اساسی اشاره شده است:

67% از پاسخ دهندگان در سال 2018 حداقل یک بار متحمل حمله سایبری شده اند. (در مقایسه با 61٪ در سال قبل).

کمی بیشتر از نیمی از پاسخ دهندگان که اطلاعات خود را از دست داده بودند و ادعا کردنده اند دلیل آن خطای کاربر انسانی ناآگاه یا یک کاربر بیرون از سازمان است.

سهم عظیمی از پاسخ دهندگان با حمله مهاجمان یا بدافزار مواجه شدند که مانع یافتن علت این اختلال یا مشکل آنتی ویروس سازمان آنها شده است.

دستگاه های تلفن همراه آسیب پذیرترین نقاط ورودی به شبکه های رایانه ای شرکت ها محسوب میشوند.

 

نوع حملات

  • بدافزار: بدافزار نام جمعی برای تعدادی از انواع نرم افزارهای مخرب است، از جمله ویروس ها، باج افزارها و جاسوس افزارها. اختصاریست برای نرم افزارهای مخرب؛ بدافزار به طور معمول شامل کدی است که توسط مهاجمان سایبری تهیه شده و برای آسیب رسانی گسترده به داده ها و سیستم ها یا دستیابی غیر مجاز به شبکه طراحی شده است.
  • فیشینگ: فیشینگ یک جرم سایبری است که در آن هدف یا هدفهای حملات، از طریق ایمیل، تلفن یا پیام متنی توسط شخصی که در شکل یک نهاد و سازمان قانونی برای جلب افراد جهت ارائه داده های حساس مانند اطلاعات شناسایی شخصی، اطلاعات بانکی و کارت اعتباری و رمزهای عبور است، مورد هجمه قرار میگیرند.
  • عدم پذیرش حملات مدیریتی: حمله ای برای خاموش کردن دستگاه یا شبکه که آن را برای کاربران مورد نظر خود غیرقابل دسترسی می کند. حملات DoS جهت نیل به هدف خود، با ارسال حجم زیادی ترافیک یا ارسال اطلاعات، باعث از دسترس خارج شدن آنها می شوند. در هر دو مورد، حمله DoS کاربران مجاز (کارمندان، اعضا یا دارندگان حساب) را از سرویس یا منابعی که امکان دریافت خدمات داشته اند، محروم می کند.
  • حملات مرد میانی یا Man-in-the-center: در حمله مرد میانی، یک هکر خود را در بین تو مرکز تبادل داده قرار میدهد تا اطلاعات را گردآوری و سرقت نماید.
  • تزریق SQL: این حمله شامل کدهای مخربی است که در یک عملگر SQL اعمال می شود (نوعی برنامه ریزی مدیریت پایگاه اطلاعات ایجاد شده توسط مایکروسافت).
  • سوءاستفاده Zero-day: این مورد حمله ای است که بین زمان آشکار شدن ضعف و تا رفع شدن آن اتفاق می افتد.

حملات می تواند از داخل یا خارج سازمان شما به وقع بپیوندد: حملات در داخل به طور منظم توسط نفرات ناسالم عضو مجموعه اجرا می شود. حملات بیرونی نیز ممکن است توسط کلاهبردارانی که در هر جای کره زمین یافت می شوند، انجام شود. حتی برخی از آنها ممکن است توسط agent های شرکت های دولتی انجام شوند.

 

تاثیر این حملات بر مشاغل کوچک

در یک حمله سایبری، پارامترهای متعددی میتوانند بر یک کسب و کار تاثیر بگذارند:

  1. آسیب رسیدن به یا از دست دادن اطلاعات الکترونیکی و دیجیتال: یک حمله می تواند به اطلاعات دیجیتالی موجود در رایانه های شخصی شما آسیب برساند. برای مثال یک آلودگی (بدافزار) می تواند سوابق تجاری شما را از بین ببرد، که به طبع تولید مجدد آنها یک چرخه طولانی و انرژی بر است که شامل تفکیک کردن مستندات و اطلاعات قدیمی است.
  2. هزینه های اضافی: این حملات برای ادامه روند کار ممکن است هزینه های اضافی ایجاد کنند. مثلا یک هکر به دو رایانه شخصی آسیب می رساند و شما را مجبور به جایگزینی دو ایستگاه دیگر می کند تا حداقل بتوانید تجارت خود را تا زمان برطرف شدن مشکل آنها رایانه های اسیب دیده، ادامه دهید.
  3. از دست دادن درآمد: ممکن است دچار مشکلات مالی و کاهش سرمایه شوید. به طور مثال حمله به زیرساخت مدیریتی، شما را وادار می کند تا تجارت خود را به مدت دو روز تعطیل کنید. این تعطیلی دو روزه باعث می شود هم درآمد و هم مشتری خود را از دست بدهید.
  4. مشکلات حقوقی امنیت شبکه و حریم خصوصی آن: به احتمال زیاد یک مجرم دیجیتال اطلاعات را از ساختار رایانه شما به سرفت میبرد و آن اطلاعات در اختیار طرف دیگری قرار میدهد (مثلا مشتری خاص خود)؛ این جمع آوری اطلاعات ممکن است باعث ثبت شکایت از شرکت شما و متهم شدنتان بشود. برای مثال یک برنامه نویس اطلاعات مربوط به تغییرات یا اقدامات آینده مشتری را می گیرد. این اطلاعات به دلیل سرقتی که رخ میدهد در اختیار یک هکر قرار میگیرد. متعاقبا مشتری از شما به اتهام اینکه بی احتیاطی شما باعث ایجاد یک ضرر مالی در سازمانش شده است و عدم توانایی در تأمین اطلاعات شکایت می کند.
  5. ضررهای تحمیلی: یک هکر کلاه سیاه اطلاعات حساس (شما یا شخص دیگری) را می دزدد و بعد از آن از شما 50 هزار دلار به عنوان باج مطالبه مینماید و در غیر اینصورت اقدام به ارسال آن اطلاعات در اینترنت می کند. سپس دوباره، شما به طور تصادفی باج افزاری را بارگیری می کنید که اطلاعات شما را رمزگذاری می کند و آن را غیرقابل دسترس و استفاده مینماید. مهاجم در ازای ارائه رمز الکترونیکی، تقاضای پرداخت پول می کند تا به شما امکان بدهد که به فایل های رمزگذاری شده دسترسی پیدا کنید.
  6. هزینه های اطلاع رسانی: همچنین به عنوان هزینه های اخطار نیز شناخته می شود؛ اکثر کشورها قوانینی را تصویب کرده اند که شما را ملزم مینماید تا به افرادی که اطلاعاتشان در زمان در اختیار داشتن آنها توسط شما مورد حمله قرار گرفته است، مشاوره و خدمات ارائه دهید. به همین ترتیب شما ملزم خواهید بود که در مورد گام هایی که نیاز است و در راستای حل مشکلات برمی دارید، اشاره کنید.
  7. آسیب رسیدن به اعتبار شما: یک حمله سایبری می تواند به شدت به جایگاه و اعتبار سازمان شما آسیب برساند. مشتری های احتمالی ممکن است از کار با شما خودداری کنند، زیرا اعتماد شما به چالش کشیده شده است و سازمان شما از کنترل ساختار داخلی خود ناتوان است یا حتی هرگونه ارتباط گرفتن و رابطه داشتن با شرکت شما به جایگاه و اعتبار آنها آسیب می رساند.

افزایش حملات سازمانی بدلیل عدم بروزرسانی و اعتماد بیش از حد به Endpoint ها

امروزه در معرض خطر قرار گرفتن سازمان ها از نظر امنیت سایبری، موضوعی دور از انتظار نیست اما یک مطالعه جدید منتشر شده توسط موسسه Ponemon نشان داد که میزان سازمان هایی که در معرض خطر قرار دارند، کاملا هشدار دهنده است.Takian.ir Endpoint Attacks Increase as Patching Slows
این تحقیق که در سال 2018 در مورد وضعیت امنیتی Endpoint ها انجام شده است، از افزایش تعداد شرکت هایی که در طی 12 ماه گذشته با حملات ناشی از اعتماد بیش از حد به Endpoint هامواجه شده اند، خبر میدهد.
نظرسنجی تحت حمایت Barkly شامل 660 متخصص فناوری اطلاعات و امنیت بود. همه شرکت کنندگان حملات Zero day و ناگهانی را به عنوان مهمترین و نگران کننده ترین تهدیدها میدانند واز بین همه شرکت کنندگان، نزدیک به دو سوم سازمان ها در 12 ماه گذشته به خطر افتاده اند.
در نتیجه 70 درصد از شرکت کنندگان گفتند که در 12 ماه گذشته راه حل های آنتی ویروس را جایگزین کرده اند و یا قصد جایگزینی در 12 ماه آینده را دارند. برای شناسایی بیشترین چالش هایی که در مورد شکاف های امنیتی وجود دارد، پاسخ دهندگان به بررسی حجم زیاد False Positive ها، حمایت ناکافی و پیچیدگی بالای مدیریتی به عنوان موارد نگران کننده در مورد استفاده از Endpoint ها اشاره کردند.
علاوه بر این، چهار نفر از پنج شرکت کننده گفتند که تلاش می کنند تا از Patch ها استفاده کنند و به طور متوسط ​​تاخیر 102 روزه برای Patch های مرتبط با Endpoint ها گزارش شده است. با وجود شیوع حملات Zero Day، این بررسی نشان داد که 43 درصد از پاسخ دهندگان گفتند که زمان بیشتری برای تست و تست شدن در نظر می گیرند.
برای آن دسته از شرکت هایی که در 12 ماه گذشته از یک حمله مرتبط با Endpointرنج می برند، هزینه حملات نیز افزایش یافته است. شرکت هایی که گزارش دادند حملات مرتبط با Endpoint ها که به درستی تشخیص داده نشده اند در سال گذشته افزایش 42 درصدی را داشته اند، که میانگین هزینه یک حمله را برای یک سازمان به 7،120،000 دلار در سال 2018 رساند. این مبلغ به 440 دلار برای هر Endpoint نصب شده بر روی هر کلاینت می رسد و قیمت آن تقریبا دوبرابر شده است که برای کسب و کار کوچک تا متوسط ​​تقریبا ​​763 دلار هزینه در بر داشته است.
لری پونونون، رئیس و بنیانگذار موسسه Ponemon، در یک نشست مطبوعاتی گفت: "این افزایش حملات موفقیت آمیز وجود یک شکاف عمیق در امنیت سازمان ها را نشان میدهد و راه حل ها و فرآیندهای موجود جوابگو نبوده است." سازمان ها بر این باورند که آنتی ویروس های فعلی تنها 43٪ از حملات را مسدود می کند و این نشان از یک نیاز برای مقابله و جلوگیری از حملات Zerodayاست و از طرفی عدم بروزرسانی دائمی سرویس های سازمانی نیز مزید بر علت ناامن بودن شبکه سازمان ها شده است.

افشای ارتباط گروه تحت حمایت دولت و باج افزار Hades با حملات اخیر مایکروسافت Exchange

 

کارشناسان امنیتی، باج افزار Hades و گروه تحت حمایت دولت با نام Hafnium را که در پشت پرده حملات اولیه به سرورهای Microsoft Exchange بوده است، با یکدیگر مرتبط دانسته اند.

پرسنل این باج افزار همچنین مسئول حملات به یکی از بزرگان صنعت حمل بار با نام فوروارد ایر و تعداد انگشت شمار دیگری از شرکت ها بوده اند. این مسئله مرتبط با گروه عملیاتی روسی بدنام فعال در زمینه جرایم سایبری با نام اویل کورپ (Indrik Spider) بوده است که به شکل گونه جدیدی از باج افزار WasterdLocker خود، که برای کمک به گروه های دور زننده تحریم هایی که موجب دلسردی و انصراف قربانیان از پرداخت هزینه ها می شود، طراحی شده است.

با این حال ، گزارش جدیدی از اویک سکیوریتی، ادعا می کند دامنه ای را برای command-and-control در حمله Hades در ماه دسامبر سال 2020، درست قبل از کشف حملات سرور Zero-day Exchange پیدا کرده است.

جیسون بویس، معاون اویک سکیوریتی، توضیح داد: "تیم ما پس از به خطر افتادن و رمزگذاری جهت بررسی وضعیت حادث شده، ورود کردند و در این مورد خاص، دامنه هافنیوم به عنوان عامل ایجاد خطر در طی حمله Hades شناسایی شد".

وی افزود: "علاوه بر این ، این دامنه با یک سرور Exchange مرتبط بود و در روزهای منتهی به حادثه رمزگذاری برای command-and-control استفاده می شده است".

وی همچنین ادعا کرد که در کل دو احتمال وجود دارد: یک عامل تهدید کننده بسیار حرفه ای، در پوشش Hades در در این کار دست دارد و یا اینکه چند گروه مستقل به دلیل ضعف امنیتی، به طور تصادفی از همان محیط استفاده می کنند.

یافته های دیگر Hades را به عنوان یک گروه باج افزار غیرمعمول معرفی و مشخص می کند. تعداد بسیار کمی از قربانیان شناسایی شده اند و بیشتر به نظر می رسد از بخشهای صنایع تولیدی باشند.

بویس همچنین به "پیچیدگی بسیار کمی" در سایت های نشت راه اندازی شده توسط این گروه اشاره کرد، شامل حساب توییتر خود، صفحه ای در هک‌فرومز و صفحات پیج‌بین و هیست‌بین که متعاقبا حذف شده اند.

وی افزود: "همانطور که متخصصین این دست حوادث می دانند، برای عاملین و گردانندگان باج افزار بسیار معمول است که سایت هایی را برای نشت داده های خود ایجاد کنند، اما آنچه در مورد Hades جالب بود این است که آنها از روش هایی برای نشت و سایت های خود استفاده کردند که معمولا در مدت زمان بسیار کوتاهی از دسترس خارج شده اند".

"ما می دانیم که عامل حملات مبلغی در حدود 5 تا 10 میلیون دلار به عنوان باج درخواست کرده و جالب اینکه در پاسخ‌دهی به افراد، بسیار کند عمل میکند. در بعضی موارد، ممکن است اصلاً پاسخی نداده باشند. در موردی نیز، یکی از کاربران توییتر حتی اعلام کرده است "TA هرگز پاسخ نمی دهد". اگر فقط چند سازمان مورد حمله قرار گرفته بودند، چرا باید پاسخگویی به درخواست های باج برای این همه مدت طولانی زمان ببرد؟ آیا انگیزه بالقوه دیگری در این حمله وجود داشته است؟ چرا از آن زمان تا کنون خبری از Hades نبوده است؟".

بویس همچنین خاطر نشان کرد که داده های فاش شده در سایت ها بسیار کمتر از اطلاعاتی است که در اصل گروه به سرقت برده است، که مربوط به مراحل دقیق و جزئیات تولید است.

این گزارش همچنین به بازماندگان فعالیتهایی در گروه باج افزاری TimosaraHackerTerm (THT) در برخی از محیط های کاربری قربانیان Hades، چند هفته قبل از سری حملات ثانویه اشاره داشت. این موارد شامل استفاده از Bitlocker یا BestCrypt برای رمزگذاری، اتصال به آدرس IP کشور رومانی و استفاده از VSS Admin برای پاکسازی نسخه های shadow copy در دستگاه اصلی است.

اقداماتی که شرکت ها می توانند برای مقابله با انواع جعل (Fraud) های رایج انجام دهند

 

جعل کردن یک اصطلاح کلی است که برای محتوا و موارد متفاوتی مورد استفاده قرار میگیرد. با اینکه خیلی از ما این اصطلاح به نحوهای مختلف به گوشمان خورده و یا شنیده ایم، اندک افرادی از ما لحظه ای را تامل کرده و با خود اندیشیده ایم که جعل واقعا چیست و چه معنایی میتواند داشته باشد.

جعل کردن میتواند معانی متفاوتی نه تنها در خود بلکه برای هر شخص را، در بر بگیرد. به همین خاطر زمانی که سعی میکنیم تا به یک استنباط اولیه از مفهوم جعل کردن برسیم، ابتدا باید به انواع مختلف جعل بپردازیم. در این مقاله ما میخواهیم تا سه نوع جعل کردن را مورد بررسی قرار دهیم:

  1. تصاحب حساب (ATO)
  2. افتتاح حساب (AO) که گاهی به آن برنامه های جعل (FRAP) نیز گفته میشود.
  3. پرداخت یا جعل پرداخت

ورای درک اولیه از هر یک از این نوع جعل ها، ما میخواهیم اقداماتی که شرکت ها میتوانند برای کاهش محسوس ریسک و کاستن احتمال از دست رفتن اطلاعات اعمال کنند را بررسی نماییم.

تصاحب حساب یا ATO:

همانگونه که انتظار دارید، جعل ATO زمانی اتفاق می افتد که فرد جعل کننده یا جاعل کنترل یک حساب و شناسه قانونی که متعلق به شخص دیگری می باشد را در اختیار میگیرد. در حالیکه این کار از طرق مختلفی انجام میشود، در اینجا برخی موارد رایج آن اشاره شده است:

  1. سرقت اعتبارنامه ها از طریق فیشینگ و سایت های فیشینگ
  2. سرقت اعتبارنامه ها از طریق کدهای آلوده (مانند بدافزارهای Keylogging)
  3. جعل Session و Man-in-the-Middle

با توجه به حجم اعتبارنامه های سرقت شده و میزان سرقت آنها، امکان پیگیری حساب هایی که به خطر افتاده اند را اگر غیرممکن ندادیم، اما امکانی غیر عملی خواهد بود. یک رویکرد عملی تر، جستجوی و بررسی علائم تصاحب حساب میباشد. این علائم بسیار زیاد هستند، اما چند مورد قابل توجه آنها عبارتند از:

  1. فعالیتهای غیر عادی در سابقه کاربر (مانند مشاهده صفحات غیرمعمول و یا صفحاتی که امکان مشاهده آنها بسیار بعید است)
  2. رفتار غیر معمول در نشست ها کاربر (مانند برش و چسباندن (Cut and Paste) بیش از حد، حرکات نامنظم ماوس، سرعت کلیک و غیره)
  3. فاکتورهای محیطی غیر معمول (مانند اتصال از طریق یک وسیله جدید یا ناشناس، ASN و منطقه زمانی ناسازگار، زبان ناآشنا یا تنظیمات کاربری متفاوت)

قطعا به دنبال این علائم، شرکت ها میبایست دارای کنترل کامل و همچنین توانایی نظارت قوی بر جعل کردن ها باشند حتی اگر هیچ از موارد فوق قابل مشاهده نباشند. هر دوی این قابلیتها، نیازمند برنامه استراتژیک، پیاده سازی مجدانه و تمرکز ممتد میباشند. به علاوه تشخیص ATO یک بخش موضوع و عملکرد مناسب برای جلوگیری و مسدودسازی هرگونه تبادل تقلبی و جعل گونه نیز موضوعی به کل مجزا میباشد.

هنگامی که به ATO فکر میکنیم، ممکن است به یاد حساب بانکی یا سایر شناسه های مالی بیفتیم. توجه به این نکته مهم است که در حقیقت هر حساب آنلاینی را می توان در اختیار گرفت و تصاحب کرد. اغلب حساب های مسافرتی یکی از نمونه های نوع حساب های غیر مالی هستند که عموما قربانی َATO میشوند. به همین خاطر تعداد شرکت هایی که نیازمند محافظت از خود در برابر ATO هستند، بسیار بیشتر از حد قابل تصور است.

افتتاح حساب (AO):

جعل افتتاح حساب یا AO که گاهی اوقات به آن جعل FRAP نیز اطلاق میشود، که درگیر افتتاح و فعالسازی شناسه ای کاملا جدید میباشد. به طبع جعل کننده ها به اسم افرادی دیگر و با اطلاعات سایر اشخاص اقدام به این کار می نمایند. اما افراد جعل کننده، این اطلاعات را از کجا به دست می آورند؟ پاسخ کوتاه است، از: دارک وب. به علت تعداد بالای نشت اطلاعات در ده سال اخیر، حجم بسیار زیادی از این قبیل اطلاعات کاربران یا PII با مبالغ بسیار اندک در اختیار کلاه برداران و افراد جعل کننده قرار میگیرد.

هنگامی که افراد جعل کننده به PII دیگران دسترسی پیدا میکنند، آنها اقدام به ایجاد شناسه جدید میکنند. در بعضی موارد آنها مستقیما از PII دزدیده شده افراد حقیقی استفاده مینمایند. در دیگر موارد آنها ممکن است که PII را به صورت تلفیقی و با در هم آمیختن اطلاعات افراد مختلف و بعضا غیرواقعی دست به چنین اقدامی بزنند. هرچند که آنها از اطلاعات دزدی فرد استفاده مینمایند، زمانی که موفق به ساخت یک شناسه و حساب کاربری جدید میشوند، به راحتی میتوانند از منافع و مزایای آن حساب بهره برداری کنند.

شناسه های کاربری که افراد جعل کننده علاقمند به ساخت و بهره برداری از آنها هستند چیست؟ انواع مختلفی از این موارد وجود دارد که به برخی از آنها در ذیل اشاره شده است:

  1. مزایای بیکاری (ثبت نام و دریافت مزایای بیکاری با استفاده از PII شخص دیگر یا PII شخص جعلی ایجاد شده از PII افراد مختلف)
  2. کارتهای اعتباری (افتتاح حساب کارت اعتباری و استفاده از آن کارتهای اعتباری)
  3. بازپرداخت مالیات بر درآمد (ثبت مالیات با استفاده از PII شخص دیگر و دریافت بازپرداخت مالیات)

همانند ATO ، شناسایی و جلوگیری از AO به کنترل کامل و امکان نظارت قوی بر جعل کنندگی ها را نیاز دارد.

پرداخت یا جعل پرداخت:

جعل پرداخت جز آن دسته از مواردی است که افراد آشنایی بیشتری با آن دارند. هنگامی که شرکت ها اقدامات مناسب در راستای نظارت بر جعل ها را اتخاذ ننمایند، دقیقا آغازی بر مرحله انجام تبادلات جعلی می باشد. در این صورت جعل پرداخت، زمانی شناسایی میشود که یک مشتری متوجه یک تبادل جعلی در حساب خود شده و به آن موسسه اطلاعرسانی نماید. مشخصا در این شرایط آن پول از دست رفته است و آن شرکت متوجه ضرر مالی بخاطر جعل پرداخت شده است. بهتر است که شرکت ها از وقوع جعل پرداخت پیشگیری کرده و تدابیری را برای شناسایی این دست جعل ها قبل از شروع زنجیره جعل اتخاذ کنند؛ قبل از آنکه جعل کننده شانس و فرصت اقدام برای جعل پرداخت را داشته باشد.

در حالیکه متاسفانه انواع متفاوتی از جعل وجود دارد، ما سعی بر آن داشتیم تا معرفی پایه ای از سه نوع رایج آن داشته باشیم. شناسایی و جلوگیری از ATO، AO و جعل پرداخت مستلزم این است که شرکت ها کنترل لازم را در کنار نظارت قوی و کامل بر جعل ها اعمال نمایند. شرکت هایی که از این دو عامل و فاکتور مهم محروم باشند به سرعت درگیر روند فزاینده از دست رفتن سرمایه و ثروت بر اثر جعل میشوند. مراحلی وجود دارند که میتوان قبل از وقوع جعل، آن را کشف و از آن جلوگیری کرد و ما امید بر این داریم که با افزایش آگاهی از این شرایط، برای مرتفع کردن آن نیز اقدام شود.

امکان کنترل از راه دور تلفن شما با اشکالات جدید واتساپ

 

نرم افزار متعلق به فیس بوک با نام واتساپ، به تازگی دو آسیب پذیری امنیتی را در برنامه پیام رسانی خود برای اندروید برطرف کرده است که می توانست برای اجرای کدهای مخرب از راه دور بر روی دستگاه و حتی نشت اطلاعات حساس مورد سوءاستفاده قرار بگیرند.

هدف این اشکالات، دستگاههایی است که نسخه های اندروید تا نسخه 9 میباشد که با بهره گیری از حملاتی که با نام "man-in-the-disk" شناخته می شوند و این امکان را برای مهاجمین فراهم می کند تا با استفاده از داده هایی که در بین نرم افزار و حافظه خارجی رد و بدل می شود، برنامه را به خطر بیندازند.

امروز محققان آزمایشگاه های کنسوس اعلام کردند: "دو آسیب پذیری واتساپ که در بالا اشاره شده اند، امکان جمع آوری از راه دور موارد رمزنگاری TLS را برای سشن های TLS 1.3 و TLS 1.2 برای مهاجمان فراهم کرده است".

"با اسراری که در TLS وجود دارد، ما نشان خواهیم داد که چگونه حمله مرد میانی (MitM) می تواند منجر به در خطر افتادن ارتباطات واتساپی شده و اجرای کد از راه دور بر روی دستگاه قربانی و استخراج کلیدهای پروتکل نویز که برای رمزگذاری end-to-end در ارتباطات کاربر استفاده میشود را امکان پذیر نماید".

به طور خاص، این نقص (CVE-2021-24027) از پشتیبانی کروم از ارائه دهندگان محتوا در اندروید (از طریق طرح URL "content://") و بای‌پس پالیسی مشابه در مرورگر (CVE-2020-6516) استفاده می کند؛ بدین ترتیب به مهاجم اجازه می دهد تا یک فایل HTML ساخته شده مخصوص از طریق واتساپ را برای قربانی ارسال کند، که با باز شدن در مرورگر وی، کد موجود در فایل HTML را اجرا نماید. (مشاهده ویدئو در یوتوب)

از این بدتر می توان از کد مخرب برای دسترسی به منابعی که در حافظه ذخیره سازی خارجی محافظت نشده است، استفاده کرد، شامل آنهایی که از جانب واتساپ است و برای ذخیره جزئیات کلیدی سشن TLS در زیر شاخه ها، بین مابقی آنها و در نتیجه اطلاعات حساسی که هر نرم افزار دیگری اجازه خواندن و تغییر دادن آنها از طریق حافظه خارجی دارد.

کریتون کارامیتاس، محقق آزمایشگاه های کنسوس گفت: "تمام کاری که یک مهاجم باید انجام دهد این است که قربانی را مجبور به باز کردن پیوست یک فایل HTML کند. واتساپ این پیوست را از طریق ارائه دهنده محتوا در کروم ارائه می کند و در نتیجه کد جاوا اسکریپت مهاجم می تواند کلیدهای سشن ذخیره شده TLS را به سرقت ببرد".

یک مهاجم به عنوان شخصی که به رمزها دسترسی دارد، می تواند حمله مرد میانی را انجام دهد تا به اجرای کد از راه دور دست یابد یا حتی جفت کلیدهای پروتکل نویز را از بین ببرد (که برای اجرا کردن یک کانال رمزگذاری شده بین کاربر و سرور برای انتقال لایه امنیتی استفاده می شود و نه پیام های خود، که با استفاده از پروتکل سیگنال رمزگذاری می شوند) که با ایجاد عمدی خطا در خارج از حافظه و از راه دور بر روی دستگاه قربانی انجام شده که توسط برنامه برای اهداف تشخیصی و مشکل یابی جمع آوری شده اند.

هنگامی که این خطا برطرف شود، مکانیسم اشکال زدایی واتساپ جفت کلیدهای رمزگذاری شده را به همراه لاگ های برنامه، اطلاعات سیستم و سایر محتوای حافظه در یک سرور اختصاصی که به لاگ های خطاها تخصیص داده شده است (crashlogs.whatsapp.net) وارد و بارگذاری می کند. اما شایان ذکر است که این تنها در دستگاه هایی رخ می دهد که نسخه جدیدی از برنامه را اجرا می کنند و "کمتر از 10 روز از تاریخ انتشار نسخه فعلی گذشته باشد".

اگرچه فرایند اشکال زدایی به منظور فراخوانی خطاهای بزرگ در برنامه طراحی شده است، اما ایده پشت حملات MitM، ایجاد برنامه ای متفاوت است که باعث جمع آوری داده ها و غیر فعال کردن امکان آپلود می شود و فقط برای قطع ارتباط و افشای همه اطلاعات حساسی که قرار بود به زیرساخت های داخلی واتس اپ ارسال شوند، انجام میشود.

برای دفاع در برابر چنین حملاتی، گوگل در اندروید نسخه 10، ویژگی ای را به نام "scoped storage" معرفی کرد که به هر برنامه یک منطقه ذخیره سازی جداگانه در دستگاه تخصیص می دهد، به گونه ای که هیچ برنامه دیگری که روی همان دستگاه نصب شده باشد، نمی تواند مستقیماً به داده های ذخیره شده توسط برنامه های دیگر دسترسی داشته باشد. (مشاهده ویدئو در یوتوب)

این شرکت امنیت سایبری گفت که هیچ اطلاعی در مورد سوءاستفاده های انجام شده بخاطر این نوع حملات ندارد، اگرچه در گذشته از نقص واتساپ برای تزریق نرم افزارهای جاسوسی به دستگاه های هدف و جاسوسی از روزنامه نگاران و فعالان حقوق بشر سوءاستفاده شده بود.

به کاربران واتساپ توصیه می شود برای کاهش خطر بخاطر این نقص، برنامه خود را به نسخه 2.21.4.18 بروزرسانی کنند. هنگامی که به نتیجه رسیدند، این شرکت دوباره تأکید کرد "کلیدهایی" که برای محافظت از پیام های افراد استفاده می شود در سرورها بارگذاری نمی شوند و اطلاعات ورود به سیستم شناسایی خرابی، اجازه دسترسی به محتوای پیام را نمی دهد.

سخنگوی این شرکت به خبرگزاری ها اعلام نمود: "ما به طور مرتب با محققان امنیتی همکاری می کنیم تا روشهای بی شماری را که واتساپ از پیامهای مردم محافظت می کند، بهبود بخشیده و گسترش دهیم. ما از اطلاعاتی که این محققان با ما به اشتراک گذاشته اند ، قدردانی می کنیم. اطلاعاتی که در گذشته به ما کمک کرده است در مواردی که کاربر اندروید از وب سایت مخربی در کروم بازدید می کند، واتساپ را بهبود ببخشیم. اگر شفاف صحبت کنیم، رمزگذاری end-to-end همانطور که در نظر گرفته شده است کار می کند و پیام ها ایمن و بدون آسیب باقی می مانند".

کارامیتاس گفت: "سیستم های فرعی بیشتری در واتساپ وجود دارد که ممکن است مورد توجه مهاجم واقع شود. ارتباط با سرورهای بالادستی و پیاده سازی رمزگذاری E2E دو مورد قابل توجه برای ما هستند. علاوه بر این، علی رغم این واقعیت که این کار روی واتساپ، سایر برنامه های پیام رسان معروف اندروید (مانند وایبر و مسنجر فیسبوک) یا حتی بازی های تلفن همراه متمرکز بود، ممکن است به شکل ناخواسته باعث سطح مشابهی از برای حملات کنترل از راه دور در معرض مهاجمین قرار دهد".

اینترنت و فضای سایبری عرصه تازه‌ای برای سیاست

واقعیت این است که بر خلاف آنچه اکثریت مردم گمان می‌کنند، فضای سایبری فضایی مجازی و غیرواقعی نیست. درواقع، کاربرد کلمات مجازی موجب گمراه کردن افراد و تغییر مسیر ایده‌ها در این حوزه شده است. فضای سایبری حوزه جدیدی برای اثرگذاری محسوب می‌شود و نتیجه دوستی، همکاری، رقابت، دشمنی و حتی جنگ بین کشورها و دیگر عوامل به شمار می‌رود. این موارد به روشنی نشان می‌دهد که اینترنت و فضای سایبری عرصه تازه‌ای برای سیاست پدید آورده است؛ فضایی که عوامل فعال و سیاست‌گذاران آن را افراد، گروه‌ها و دولت‌ها تشکیل می‌دهند.Takian.ir CyberSpace

در کشورهای نوظهور، فضای سایبری پایه‌ای برای رشد اقتصادی و همچنین سرعت پیشرفت صنعتی و فنی در بسیاری از بخش‌ها محسوب می‌شود؛ اما در برخی از کشورها (نظیر چین)، این فضا به عنوان تهدیدی برای نظام سیاسی حاکم به شمار می‌رود و این امر به‌طورکلی به کاربرد فیلترها و موانعی برای کنترل دسترسی به اینترنت و استفاده از آن منجر می‌شود. برای برخی از کشورها، فضای سایبری ممکن است چالشی ژئوپلیتیک در توسعه روابط بین‌المللی باشد؛ به نظر می‌رسد که تصمیم گروه بریکس برای راه‌اندازی یک شبکه فیبری زیردریا در اطراف امریکا نیز از همین نگرانی نشئت گرفته است.
بنابراین، برخی از این کشورها با ایجاد یک درگاه (پورت) مستقل، در حال تلاش برای کنترل نقاط دسترسی به اینترنت هستند. اگرچه این رویکرد با طرح کلی اینترنت برای دسترسی به کلیه شبکه‌ها ناسازگار است، می‌تواند از سیاست داخلی کشورها (کنترل کردن محتوای اطلاعاتی فرامرزی) و همچنین سیاست خارجی کشورها (آمادگی دفاعی در برابر حملات احتمالی تحت چهارچوب دفاعی) بهره‌مند شود.

در عرصه فضای سایبری، جمهوری خلق چین، علاوه بر نظارت و کنترل اینترنت، سیاست دیگری را نیز در پیش گرفته است:
توسعه فعالیت‌های تهاجمی عبارت است از قابلیت‌های جاسوسی سایبری، خنثی‌سازی یا از کار انداختن موقت سامانه‌های اطلاعاتی ملی.
از سال 2006، رویدادهایی به وقوع پیوسته است که نشان می‌دهد که سرویس‌های چینی مشغول جاسوسی از سامانه‌های مختلف کشورهای غربی (امریکا، سازمان ملل و غیره) بوده‌اند و تحلیل‌های صورت گرفته توسط شرکت‌های امنیت سایبری نشان می‌دهد که یک یا حتی چند عملیات جاسوسی سایبری علیه دولت‌ها، شرکت‌های چندملیتی و تعدادی از سازمان‌های جهانی در حال انجام است.

در حال حاضر، سوءاستفاده روزافزون از نقص‌ها و کمبودهای سامانه‌های اطلاعاتی و شبکه‌های سایبرنتیک و تشدید تبعات آن، هدف گرفتن زیرساخت‌های حساس، ارتش و دولت موجب بروز فعالیت‌های مخرب در حوزه جرائم سایبری شده است. شروع جنگ در نظر گرفته می‌شود و به انتقام جنگی یا سایبری منتهی می‌شود. به همین صورت، کاخ سفید در سند «راهبرد بین‌المللی فضای سایبری» بر حق دفاع از خود در برابر حملات سایبری تأکید می‌ورزد. این مؤلفه‌ها به احتمال ایجاد اختصاصات، سلاح‌ها و سازمان‌هایی منجر شده است که قلدری سایبری را در بافت گسترده‌تری از اسناد راهبردهای دفاع سایبری هدف می‌گیرد؛ به‌طوری‌که هدف اصلی و نهایی آن باید انتقال از راهبرد دفاعی مستحکم بر مبنای خطوط دفاع مغناطیسی و ایجاد رویکردی با راهکارهای امنیتی گسترده باشد.
بنابراین، بسیاری از کشورها تقریباً اعلام کرده‌اند که توسعه قابلیت‌های دفاع سایبری خود را یک ضرورت می‌دانند (یعنی می‌خواهند که به فرماندهی و تجهیزات ضدحمله مجهز شوند) تا بتوانند به حملاتی که احتمالاً زیرساخت اصلی بخش‌ها را هدف می‌گیرد، پاسخ مناسب نشان دهند.
تکامل قابلیت‌های سایبری شامل امکان توسعه عملیات‌های تهاجمی علیه افراد و سازمان‌هایی می‌شود که ممکن است درگیر فعالیت‌های خصمانه شوند، به‌ویژه تهدید به انتقام‌گیری از مهاجمان بالقوه صورت می‌گیرد تا ضمن اثرگذاری بر محاسبات راهبردی آنها، از اقدام آنها برای انجام فعالیت‌های مخرب ممانعت به عمل آورد.

مطمئناً ارائه چنین راهبرد سایبری مستلزم بازتعریف راهبردهای کشورهای غربی در حوزه امنیت سایبری است؛ یعنی، بازتعریف سلاح‌هایی که باید برای واکنش به مسائل امنیت سایبری فعلی و آتی توسعه داده شود؛ و همچنین بازتعریف فلسفه اساسی مسائل امنیت سایبری به گونه‌ای که همکاری عملیاتی بین بخش‌های مختلف از جمله بخش‌های خصوصی، اجرایی و نیروهای امنیتی و حتی دولتی میسر شود.

درواقع، مبنای سیاست سایبری چین بر پایه جذب فناوری‌های اطلاعاتی و ارتباطی به‌منظور دستیابی به مزایای اقتصادی و همچنین پایه‌ریزی راهبرد جنگ اطلاعاتی شکل گرفته است که در آن، سامانه‌ها امکان دسترسی ارتش آزادی‌بخش خلق چین را به سامانه‌های متصل به اینترنت فراهم می‌کنند و در نتیجه، امنیت زیرساخت‌ها، مبادلات و داده‌های ذخیره شده توسط دولت‌ها، به‌ویژه دولت‌ها و کاربران غربی در معرض تهدید قرار می‌گیرد. از این چشم‌انداز، می‌توان گفت که چین از مدت‌ها قبل دارای سامانه بازدارنده سایبری بوده است که ظاهراً ابزاری برای جاسوسی سایبری در جهان به شمار می‌رود.

باج افزار Lorenz، تهدید امنیتی جدید برای سازمان ها

 

یک تهدید امنیتی دیگر در اکوسیستم باج افزاری به قصد هدف قرار دادن مشاغل و شرکت ها ظاهر شده است. این بدافزار که به نام Lorenz شناخته میشود، یک باج افزار جدید است که از استراتژی باج گیری مضاعف برای درآمدزایی استفاده می کند.

 

درباره بدافزارLorenz

لیتست هکنیگ نیوز گزارش داده که بلیپینگ کامپیوتر اخیراً جزئیات باج افزار Lorenz (لورنز) را که به تازگی ظاهر و شناسایی شده را به اشتراک گذاشته است. حدود یک ماه از آغاز فعالیت این باج افزار میگذرد و از آن زمان شرکت های زیادی را هدف حملات باج افزاری خود قرار داده است.

به طور خلاصه، این باج افزار درست مانند بقیه، با در اختیار گرفتن شبکه های آنها، از کسب و کارها و شرکت ها باج می گیرد. پس از آلودگی، لورنز به صورت جانبی بر روی شبکه هدف گسترش یافته و پخش میشود تا درنهایت به اعتبارنامه مدیر دامنه ویندوز برسد.

همانطور که این باج افزار گسترش می یابد، داده های رمزگذاری نشده قربانی را مرتباً اضافه و نگهداری می کند و به سرورهای خود می فرستد. به همین سادگی لورنز به لیست باج افزارهای دیگری که باج گیری دو یا سه برابری انجام می دهند، اضافه میشود.

لورنز پس از تثبیت خود و سرقت داده ها، ضمن افزودن پسوند ".Lorenz.sz40" به نام فایل ها، داده ها را رمزگذاری می کند.

گرچه همه اینها برای یک باج افزار معمول و رایج به نظر میرسد اما لورنز نیز برخی از استراتژی های منحصر به فرد را در این زمینه میتواند به نمایش بگذارد.

در ابتدا لورنز یک بدافزار سفارشی سازی شده قابل اجرا برای قربانی هدف خود ارائه داده و در سیستم هدف اجرا میکند. همچنین، گروه بدافزاری برای هر قربانی یک سایت اختصاصی پرداخت بر پایه Tor ایجاد می کند.

علاوه بر این، بدافزار برخلاف سایر باج افزارها، فرایندها یا سرویس های ویندوز را قبل از رمزگذاری از بین نبرده و غیرفعال نمیکند.

در مورد باج نیز، این باند معمولاً تقاضای زیادی و بین 500 تا 700 هزار دلار مطالبه میکند. عدم پرداخت این باج، مهاجمان را به سمت آغاز فرایند انتشار اطلاعات سرقت شده در دارک وب هدایت می کند.

در ابتدا گروه لورنز، فروش داده ها به رقبا را در اولویت قرار میدهند. سپس تا پایان مهلت پرداخت باج، شروع به بایگانی داده های محافظت شده با رمز عبور می کنند. بعد از پایان مهلت، آنها به راحتی رمز عبور را نیز منتشر می کنند و به طبع آن داده ها را در دسترس عموم قرار می دهند.

باز هم، آنچه لورنز را منحصر به فرد می کند این است که آنها نه تنها اطلاعات سرقت شده را فاش می کنند. بلکه آنها دسترسی به شبکه داخلی قربانی را نیز نشت داده و افشا میکنند.

 

ظاهرا این بدافزار نوعیThunderCrypt است

در حالی که لورنز رفتار تا حدودی متمایز از خود نشان می دهد، به نظر می رسد که این باج افزار اساساً نوع دیگری از باج افزار ThunderCrypt است.

در حال حاضر تاکنون با ادامه تجزیه و تحلیل این باج افزار، جزئیات زیاد و جدیدی در مورد لورنز در دسترس قرار نگرفته است. با این وجود در مدت زمان کوتاهی، سایت نشت و افشای اطلاعات متعلق به آنها نشان می دهد که باج افزار تا کنون حدود 12 قربانی مختلف را هدف قرار داده است. در این میان، آنها اطلاعات سرقت شده از 10 مورد را فاش و منتشر کرده اند!

باز بودن درب پشتی بر روی مودم های زایکسل

به گزارش هک رید؛ شرکت امنیت سایبری نیو اسکای (NewSky)، طی گزارشی از وجود بات نت جدید در حوزه اینترنت اشیا خبر داد. این بات نت که نام آن «DoubleDoor» است، فایروال های را نشانه گرفته و از طریق درب پشتی موجود به این فایروال نفوذ می کند.Takian.ir DoubleDoor

این بات نت از طریق دور زدن ویژگی های امنیتی و تأیید های معمول به سیستم قربانی نفوذ می کند.

در این نوع از حمله با توجه به دور زدن تأیید هویت های معمول می توان کنترل کامل تجهیزات هوشمند را در اختیار گرفت.

آسیب پذیری موجود در فایروال های یاد شده با کد آسیب پذیری CVE-2015-7755 شناسایی می شود. همچنین آسیب پذیری دیگری همانند مورد یاد شده در مودم های «Zyxel» شناسایی شده که از طریق درب پشتی موجود در این مودم به سیستم ها نفوذ می کنند و آسیب پذیری مودم های زایکسل با کد CVE-2016-10401 شناسایی می شوند. از طریق این آسیب پذیری از راه دور هم می توان به سیستم نفوذ کرد، گفتنی است از طریق هر نام کاربری با استقاده از گذرواژه « <<< %s(un=’%s’) = %u» می توان به مودم های زاکسل نفوذ کرد.

از طرفی فایروال ها را می توان از طریق نام کاربری «netscreen» و گذر واژه «zyad5001» مورد حمله قرار داد.

در نهایت از طریق آسیب پذیری درب پشتی فایر وال و آسیب پذیری موجود در مودم های زایکسل میتوان حتی از راه دور به سیستم های کامپیوتری نفوذ کرد.

باگ اینستاگرام، مشاهده تصاویر‌ و اطلاعات کاربران بدون نیاز به دنبال کردن آنها!

takian.ir instagram data breach

اینستاگرام یک نقص جدید را ظاهرا اصلاح کرده است که به هر شخصی این امکان را می دهد پست های آرشیو شده و استوری های آپلود شده توسط حساب های خصوصی و پرایوت را بدون نیاز به دنبال کردن آنها، مشاهده نماید.

مایور فرتاد امروز در یک پست روزانه ​​اعلام کرد: "این اشکال می توانست به کاربر خرابکار امکان مشاهده محتوای کاربر هدف در اینستاگرام را بدهد. مهاجم می توانست جزئیات پست های خصوصی و بایگانی شده، استوری ها، ریلز و IGTV را بدون نیاز به دنبال کردن کاربر با استفاده از Media ID مشاهده کند.

مایور فرتاد این موضوع را در تاریخ 16 ماه آپریل سال2021 برای تیم امنیتی فیسبوک فاش کرد و به دنبال آن، این نقص به تازگی و در 15 ماه ژوئن برطرف گردیده است. وی همچنین به عنوان بخشی از برنامه جایزه اشکال یابی این شرکت، مبلغ 30،000 دلار جایزه دریافت نمود.

takian.ir instagram data breach 1

takian.ir instagram data breach 2

 

اگرچه این حمله مستلزم دانستن شناسه رسانه ای (Media ID) مرتبط با یک تصویر ، ویدئو یا آلبوم است، اما با بهره گیری بی وقفه از شناساگرها، مایور فرتاد نشان داد که می توان درخواست POST را برای اندپوینت (Endpoint) GraphQL ساخته و داده های حساس را بازیابی کرد.

در نتیجه این نقص، مهاجم جزئیاتی از قبیل like/comment/save count ،display_url و image.uri مربوط به شناسه رسانه را می توانست حتی بدون دنبال کردن کاربر مورد نظر استخراج کرده و در کنار آن نیز صفحه فیسبوک مرتبط و لینک شده با یک حساب اینستاگرام‌ را کشف و مشاهده نماید.

فرتاد افزود که وی همچنین در 23 ماه آوریل اندپوینت دومی را کشف کرده است که همان مجموعه اطلاعات کاربری را فاش مینموده است. فیسبوک از آن زمان تا به اکنون هر دو اندپوینت نشت یافته را اصلاح کرده است.

باگ جدید اجرای کد از راه دور در تجهیزات PLC شرکت زیمنس

takian.ir a new bug in siemens plcs could let hackers run malicious code remotely 1

 

کمپانی زیمنس روز جمعه بروزرسانی هایی برای رفع آسیب پذیری شدید در Programmable Logic Controller (PLC)های SIMATIC S7-1200 و S7-1500 ارائه کرد. این آسیب پذیری ها می توانند توسط عامل مخرب مورد سوءاستفاده قرار بگیرد تا از راه دور به قسمت های محافظت شده حافظه دسترسی پیدا کند و امکان اجرای بدون محدودیت و بدون شناسایی کدهای دستوری را بدست بیاورد؛ محققان از آن با عنوان"جام مقدس" مهاجم نام برده اند.

آسیب پذیری bypass محافظت از حافظه که به صورت CVE-2020-15782 بیان می شود (امتیاز CVSS: 8.1) توسط شرکت امنیتی فناوری عملیاتی کلاروتی با مهندسی معکوس زبان بایت MC7 / MC7+ برای اجرای برنامه های PLC در ریزپردازنده کشف و پیدا شد. در حال حاضر هنوز مدرکی دال بر سوءاستفاده از این آسیب پذیری در فضای سایبری گزارش نشده است.

در یک مشاوره امنیتی صادر شده توسط زیمنس، شرکت اتوماسیون صنعتی آلمان گفت: مهاجم از راه دور غیرمجاز با دسترسی شبکه به TCP پورت 102 پتانسیل این را دارد که بتواند داده ها و کد دلخواه خود را در قسمت های محافظت شده حافظه بنویسد یا داده های حساس را برای حملات آینده خود خوانده و آنالیز نماید.

تال کرن، محقق کلاروتی گفت: "دستیابی به امکان اجرای کد بومی بر روی یک سیستم کنترل صنعتی مانند یک PLC، هدف نهایی است و تقریبا تعداد کمی از مهاجمان پیشرفته به این امکان دست یافته اند". وی افزود: "این سیستم های پیچیده دارای سیستم های محافظتی درون حافظه ای متعددی هستند كه یک مهاجم برای عبور از آنها باید با موانعی روبرو شود تا بتواند نه تنها كد مورد نظر خود را اجرا كند، بلكه قابل شناسایی نیز نباشد".

takian.ir a new bug in siemens plcs could let hackers run malicious code remotely 2

 

این نقص جدید نه تنها به عامل تهدید اجازه می دهد تا کد محلی را در PLC های S7 زیمنس به دست آورد، بلکه در حمله پیچیده همچنین مهاجم با فرار از سندباکس کاربر برای نوشتن داده ها و کد دلخواه به طور مستقیم در قسمت های محافظت شده حافظه، از شناسایی توسط سیستم عامل اصلی یا هر نرم افزار تشخیصی جلوگیری می کند.

هر چند کلاروتی خاطرنشان کرده است که این حمله نیاز به دسترسی شبکه به PLC و همچنین اجازه دانلود PLC را دارد. در مورد جلیبرک کردن سندباکس بومی PLC، این شرکت گفت که این مهاجم در طی این آسیب پذیری می تواند یک برنامه مخرب در سطح کرنل را به سیستم عامل و به گونه ای که امکان اجرای حتمی کد از راه دور را فراهم نماید، تزریق کند.

این مورد بسیار متفاوت از دفعات اولی است که امکان اجرای ناشناس کدها در تجهیزات PLS زیمنس فراهم شده بود. در سال 2010، وُرم معروف استاکس نت با استفاده از اصلاح کد در PLC های زیمنس برای جاسوسی سایبری و خرابکاری های مخفی، از اشکالات متعدد ویندوز برای برنامه ریزی مجدد سیستم های کنترل صنعتی و ایجاد اغتشاش استفاده کرد.

سپس در سال 2019، محققان سطح جدیدی از حملات به نام "Rogue7" را شناسایی کردند كه از نقاط ضعف موجود در پروتكل ارتباطی S7 اختصاصی خود استفاده کند تا برای ایجاد یك استیشن مهندسی تقلبی كه می تواند TIA را به PLC بدل کند و هرگونه پیام دلخواهی را که مورد نظر مهاجم است، تزریق نماید، از آن بهره ببرد.

زیمنس به شدت به کاربران توصیه می کند که برای کاهش مخاطرات، دستگاه های خود را به آخرین نسخه بروزرسانی کنند. این شرکت گفت که بروزرسانی های بیشتری را نیز ارائه می دهد و از مشتریان خود می خواهد اقدامات متقابل و راه حل های امنیتی لام را برای محصولاتی که هنوز قابل بروزرسانی نیستند، اعمال کنند.

بالاخره دلیل اصلی بزرگترین نشت اطلاعاتی سولارویندز مشخص شد!

 

در حالی که محققان امنیت سایبری به حمله گسترده علیه زنجیره تامین SolarWinds ادامه میدهند، مدیران ارشد شرکت خدمات نرم افزاری مستقر در تگزاس، یک کارآموز را مقصر آسیب رمز عبور مهمی میدانند که برای سال ها مورد توجه قرار نگرفته بود.

takian.ir solarwinds blames intern for weak password that led to biggest attack in 2020

در ابتدا اعتقاد بر این بوده است که رمز عبور "SolarWinds123" از 17 ژوئن سال 2018 و قبل از پیکربندی ناصحیح در 22 نوامبر 2019 از طریق داده های Github در دسترس عموم بوده است.

اما در جلسه استماع که در روز جمعه و در برابر کمیته های نظارت، اصلاحات و امنیت داخلی مجلس در SolarWinds برگزار شد، مدیرعامل مجموعه (سوداکار راماکریشنا) شهادت داد که رمز عبور از اوایل سال 2017 مورد استفاده قرار گرفته است.

در حالی که تحقیقات مقدماتی در مورد این حمله نشان داد اپراتورهایی که عامل جاسوسی بوده اند موفق شده اند از اوایل اکتبر 2019 با ایجاد نرم افزار و همچنین ایجاد زیرساخت امضای کد از پلت فرم SolarWinds Orion برای تحویل بسته به Sunburst Backdoor بهره ببرند، حال آنکه تلاش های Crowdstrike برای پاسخگویی با استناد به یک جدول زمان بندی تجدید نظر شده نشان میدهد که اولین نقص شبکه SolarWinds در 4 سپتامبر 2019 ایجاد شده است.

تا به امروز دستکم 9 سازمان دولتی و 100 شرکت خصوصی به عنوان یکی از پیچیده ترین و برنامه ریزی شده ترین عملیات شامل نفوذ و رسوخ عامل مخرب به سیستم عامل نرم افزار Orion با هدف به خطر انداخت مشتریانشان، تخلف کرده و تحت حمله قرار گرفته اند.

اشتباهی که یک کارآموز مرتکب شد

کتی پورتر ، نماینده کالیفرنیا ، گفت: "من رمز عبور قوی تری نسبت به "solarwinds123" دارم تا بچه هایم را از تماشای YouTube بیش از حد در iPad خود بر حذر دارم"؛ "شما و شرکت شما قرار بود مانع خواندن ایمیل های وزارت دفاع توسط روس ها شوید".

راماکریشنا در پاسخ به پورتر گفت: "به زعم بنده، این رمز عبوری بوده است که یک کارآموز در سال 2017 در یکی از سرورهای وی استفاده شده که به تیم امنیتی ما گزارش شد و بلافاصله برداشته و حذف شده است".

مدیر عامل سابق مجموعه، کوین تامپسون اظهارات راماکریشنا را در هنگام شهادت تکرار کرد و گفت: "این مربوط به اشتباهی بود كه یك كارآموز مرتكب شد. آنها خط مشی و اصول رمز عبور ما را نقض كردند و این رمز عبور را در حساب خصوصی GitHub خود قرار دادند". وی افزود: "به محض اینکه شناسایی این مورد شد و به اطلاع تیم امنیتی من رسید، آنها این نقص قانون را حل و فصل کرده و از این آسیب جلوگیری کردند".

محقق امنیتی، وینوت کومار در ماه دسامبر افشا کرد که وی به شرکتی به داده های GitHub دسترسی عمومی دارد، اطلاع داده است به وضوح اعتبارنامه های FTP اطلاعات وب سایت دانلود شرکت نشت پیدا کرده است و افزون بر آن، یک هکر می تواند از اعتبارنامه برای بارگذاری یک دستور و کد اجرایی مخرب استفاده کند و متعاقبا آن را در بروزرسانی های SolarWinds بارگذاری کند.

در هفته های پس از افشای اطلاعات ، SolarWinds در ژانویه 2021 با یک دادخواست طبقاتی روبرو شد که ادعا می کند این شرکت نتوانسته است اعلام کند که "از اواسط سال 2020، محصولات نظارت بر SolarWinds Orion دارای آسیب پذیری ای بوده اند  که به هکرها اجازه داده است تا سرور مورد نظر خود را به خطر بیاندازند و بروزرسانی های سرور SolarWinds دارای پسوردی بسیار ساده بوده اند (solarwinds123) که به متعاقب آن هدف تحت آسیب بسیار جدی قرار گفته است.

ناسا و سازمان هواپیمایی فدرال نیز هدف قرار گرفته اند

اعتقاد بر این است که حداکثر 18000 مشتری از SolarWinds به روزرسانی تروجان Orion را دریافت کرده اند، اگرچه عامل اجرایی و تهدید کننده این عملیات، با دقت اهداف خود را انتخاب کرده و تصمیم گرفته بوده است تنها در موارد با ضریب آسیب پذیری بالا با استفاده از بدافزار Teardrop مبتنی بر اینتل در هنگام شناسایی اولیه ، حملات را فقط در چند مورد در محیط هدف برای حساب های با ارزش بالا اقدام کند.

به گزارش واشنگتن پست، علاوه بر نفوذ به شبکه های مایکروسافت، CrowdStrike، Malwarebytes، FireEye و Mimecast، گفته میشود که مهاجمان از SolarWinds به عنوان سکوی پرشی برای نفوذ به اداره ملی هوا و فضا (NASA) و سازمان هواپیمایی فدرال (FFA) استفاده کرده اند.

هفت سازمان متخلف دیگر نیز شامل وزارت امور خارجه، دادگستری، بازرگانی، امنیت داخلی، انرژی، خزانه داری و موسسات ملی بهداشت هستند.

ریاست مایکروسافت، برد اسمیت در جلسه استماع گفت: "علاوه بر این برآورد، ما قربانیان دیگری در دولت و بخش خصوصی در کشورهای دیگر شناسایی کرده ایم و معتقد هستیم که به احتمال زیاد قربانیان دیگری که هنوز شناسایی نشده اند، از قلم افتاده اند. شاید علی الخصوص در مناطقی که مهاجرت ابری به اندازه کشور آمریکا پیشرفته نیست این موارد بیشتر نیز باشد".

ادعا میشود که گروه مهاجم روس تبار باشند با استفاده از مانیکرهای مختلف شامل UNC2452 (FireEye)، SolarStorm (Palo Alto Unit 42)، StellarParticle (CrowdStrike)، و Dark Halo (Volexity)  تحت تعقیب و ردیابی قرار گرفته اند.

آن نیوبرگر، معاون مشاور امنیت ملی ماه گذشته در جلسه توجیهی کاخ سفید گفت: هکرها این نفوذ هک را از داخل ایالات متحده آغاز کرده اند، که این امر امکان نظارت بر کار آنها را برای دولت آمریکا دشوارتر کرده است". همچنین وی افزود: "این یک عملیات پیچیده است که آنها تمام تلاش خود را برای پنهان کردن مسیرهای اقدامات خود به کار بسته اند. ما معتقدیم که برنامه ریزی و اجرای این عملیات، ماه ها طول کشیده است".

اتخاذ رویکرد "امنیت در طراحی"

اسمیت حمله سایبری SolarWinds را به "یک سری حملات نفوذی خانگی" تشبیه کرده است و خواستار تقویت زنجیره های تامین نرم افزار و سخت افزار بخش فناوری و همچنین ترویج به اشتراک گذاری گسترده تر اطلاعات تهدید و نفوذ برای انجام پاسخ های بی درنگ به هنگام چنین حوادثی، شده است.

بدین منظور، مایکروسافت پرسش های متن باز CodeQL را برای جستجوی فعالیت Solorigate مورد استفاده قرار داده است، که به گفته آن میتواند توسط سازمان های دیگر برای تجزیه و تحلیل کد منابع در مقیاس خود و بررسی شاخص های سازش یا IoCs و الگوهای رمزگذاری مرتبط با جمله مورد استفاده قرار گیرد.

در یک طرح توسعه مرتبط نیز، محققان امنیت با سایبری وال استریت ژورنال صحبت کرده و فاش کردند که هکرهای روسی مظنون، از مراکز داده رایانش ابری آمازون برای ایجاد و اتصال قسمت اصلی این کمپین استفاده کرده اند و بدین ترتیب حملات و تاکتیک هایی که توسط مهاجمین استفاده شده را تا حدودی برملا و مشخص کرده اند. هر چند که این غول تکنولوژی تا کنون اطلاعات بیشتری در مورد فعالیت هکرها علنی نکرده است.

در انتها SolarWinds به نوبه خود گفته است که دانش به دست آمده از این حادثه را برای تبدیل شدن به یک شرکت "Secure by Design" یا امنیت در طراحی به کار گرفته و از این نرم افزار برای حفاظت از دیگر تهدیدات و همچنین شناسایی و حذف تهدیدها در تمام نقاط شبکه خود شامل اقدامات برای حفاظت از محیط توسعه خود، به کار میگیرد.

بدافزار Gozi ISFB در سال 2018 بطور گسترده فعالیت خواهد کرد

به گزارش سایت scmagazineuk.com ؛ طبق تحقیقات صورت گرفته توسط شرکت امنیت سایبری «Talos» تروجان بانکداری «Gozi ISFB» به طور گسترده توسط بات نت «Dark Cloud» منتشر شده است و مؤسسات مالی را هدف قرار داده است.Takian.ir Gozi ISFB

این بدافزار که کار اصلی اش مانیتورینگ و سرقت اطلاعات است از شش ماه گذشته در حال انتشار و گسترش بوده است. این بدافزار در سطح وسیعی بین بانک ها و مؤسسات مالی منتشر شده است.

شروع فعالیت این بدافزار از سه ماهه چهارم سال 2017 کلید خورد است و در جریان نفوذ این بدافزار در اوایل فعالیت های خود ایمیلی حاوی یک فایل «Microsoft Word» ارسال می کرد که در پشت آن بدافزار مذکور قرار دارد.

کارشناسان اظهار کردند که این بدافزار روی سامانه ها و سیستم های قدیمی ظعیف بوده و نمیتواند کار خود را درست انجام دهد و روی دامنه ها و آدرس آی پی های جدید به سرعت گسترش یافته است.

بسیاری از بدافزار ها برای نفوذ به سیستم قربانیان از روش فیشینگ استفاده می کنند، لذا این هوشیاری را از تمامی کاربران می طلبد تا از دانلود فایل های ناشناس و کلیک روی لینک های مخرب خود داری نمایند.

1 2 3