روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مجرمان سایبری می‌توانند با اکسپلویت کارمندان طمع‌کار یا غافل، پول کل شرکت‌ها را اصطلاحاً بالا بکشند. این دقیقاً اتفاقی است که برای سیستم بلاکچین Ronin Networks ساخت شرکت  Sky Mavis (برای بازی درآمدزای[1] Axie Infinity) افتاد. یک کارمند شرکت  Sky Mavis فایل پی‌دی‌افی را با جاسوس‌افزاری که در آن مخفی شده بود دانلود کرد و همین باعث شد بزرگ‌ترین سرقت ارز دیجیتال رخ دهد. این شرکت مبلغ 173 اتریوم و 25.5 میلیون USDC (حدود 540 میلیون دلار در زمان بروز این رخداد) از دست داد. در ادامه با ما همراه شوید تا این رخداد سایبری را مورد بررسی قرار دهیم.

مقدمه‌ای برای Axie Infinity و Ronin Networks

Axie Infinity در واقع گیم ویدیویی آنلاین است که در آن، بازیکنان با کمک موجودات خیالی به نام axis ارز دیجیتال دریافت می‌کنند. این ارزها را می‌توان در رقابت‌ها استفاده کرد و به سایر بازیکنان فروخت. Axis برای بازیکنان حکم حیواناتی بغل‌کردنی و دوست‌داشتنی دارند اما آن‌ها در اصل توکن‌های غیرقابل‌تعویضند (NFTها). Axie Infinity که در سال 2018 منتشر شد خیلی زود مخاطبین خود را پیدا کرد. بازیکنان در اوج فعالیت این بازی توانستند آنقدری پول درآورند که در برخی کشورها مانند کشورهای آسیای جنوب شرقی به شغلی تمام وقت تبدیل شد. این گیم در رکوردشکنی‌اش در نوامبر 2021 روزانه 2.7 میلیون بازیکن داشت و سال گذشته هفته‌ای 215 میلیون دلار به دست آورد (تابستان 2022 اما به هفته‌ای 1 میلیون دلار در هفته کاهش یافت). پرداخت‌ها در اکوسیستم  Axie Infinity با استفاده از ارز درون بازیِ Smooth Love Potion (SLP) مبتنی بر بلاکچین اتریوم صورت می‌گیرند. توسعه‌دهندگان برای اینکه به کاربران اجازه دهند خرید و فروش SLP راحتی با ارزهای دیجیتال معمول داشته باشند (و نیز بدون کارمزدهای بالا) پلت‌فرم Ronin را ساختند. همین پلت‌فرم بود که توجه مجرمان سایبری را به خود جلب کرد.

پیشنهادی چرب و نرم: چطور اسکمرها توسعه‌دهندگان را فریب دادند؟

مهاجمین برای رسیدن به این پلت‌فرم حمله هدف‌دار را روی کارمندان Sky Mavis انجام دادند. آن‌ها اطلاعاتی را در مورد این شرکت جمع کرده و اسکمی را حول محور یک پیشنهاد کاری با دستمزد بسیار بالا دست و پا کردند. این نقشه شامل ارسال پیشنهاد کاری وسوسه‌انگیز (به احتمال زیاد در لینکدین) برای یک مهندس ارشد کم‌دقت می‌شد. کارمند که همه مراحل گزینش را با موفقیت پشت سر گذاشته بود –آنطور که مهاجمین حدس می‌زدند-پیشنهاد کاری چرب و نرمی را در قالب فایل پی‌دی‌اف دریافت کرد. وقتی این فایل دانلود شد، جاسوس‌افزار داخل آن در شبکه شرکت پخش شد.

جاسوس‌افزارِ فعال: برداشت وجوه!

مجرمان سایبری از این بدافزار برای دسترسی به رمزهای خصوصی اعتبارسنجی شبکه یعنی نودهایی که تراکنش‌های رمزارز را اعتبارسنجی و تأیید می‌کنند استفاده کردند. در Ronin Networks (در زمان حمله) تعداد نُه اعتبارسنج وجود داشت و برای انجام انتقال وجه دست کم باید پنج اعتبارسنج آن را تأیید می‌کردند. در نهایت مهاجمین تصمیم گرفتند چهار اعتبارسنج را در داخل خود شرکت و پنجمی را از سازمان غیرمتمرکز مستقل  Axie DAO دستکاری کنند. کاشف بعمل آمد که نوامبر 2021 به دلیل حجم بالای تراکنش‌ها و لود اعتبارسنج‌ها، شرکت به Axie DAO اجازه تأیید تراکنش‌ها و انتقال وجوه را داده بوده است. بعد از یک ماه این حجم کمتر شد و دیگر نیازی به کمک Axie DAO نبود- اما هنوز حق تأیید تراکنش‌ها در آن غیرقعال نشده بود و همین راهی باز کرد برای مانور مجرمان سایبری. هکرها با نفوذ به سیستم Sky Mavis همچنین به Axie DAO (که پنجمین اعتبارسنج لازم را برای برداشت وجوه را از سایر اکانت‌ها به اکانت خود ارائه می‌داد) دسترسی پیدا کردند.

واکنش Sky Mavis

Sky Mavis وقتی از این رخداد باخبر شد مسئولانه اقدامات امنیتی را انجام داد. این شرکت مسئله را به دست متخصصین امنیت برون سازمانی سپرد –از Verichains  گرفته تا CertiK – و ممیزی کامل روی Ronin Networks انجام داد. Sky Mavis همچنین تعداد اعتبارسنج‌های لازم را به 11 عدد رساند و تضمین داد به تدریج این تعداد را به دست کم 100 اعتبارسنج خواهد رساند. هرقدر تعداد کل اعتبارسنج‌ها بیشتر باشد تعداد بیشتری از آن ها باید از سوی مهاجمین دستکاری شود تا تراکنش‌های غیرمجاز صورت گیرد. پس افزایش این تعداد به لحاظ تئوریک پیش بردن چنین حملاتی را به مراتب پیچیده‌تر می‌کند. از آنجایی که وجوه سرقتی در واقع به بازیکنان Axie Infinity تعلق دارد، شرکت Sky Mavis در تاریخ 28 ژوئن پرداخت خسارت را آغاز کرد. برای پرداخت این خسارت شرکت مجبور شد از منابع خود استفاده کرده و همچنین 150 میلیون دلار پول Binance که اوایل آوریل بدست آورده بود خرج کند.

راهکارهای امنیتی

مجرمان سایبری موقع برنامه‌ریزی حملات هدف‌دار، به دقت قربانی را بررسی می‌کنند تا نقاط ضعشفش دستشان بیاید. اینها می‌توانند هم حفره‌های امنیتی در دستگاه‌ها و نرم‌افزارها باشند هم خود عامل انسانی. حتی متخصص آی‌تی باتجربه هم در چنین مواردی می‌تواند فریب بخورد. از این رو توصیه می‌کنیم راهکارهای امنیتی زیر را انجام دهید:

•         به پیشنهادات غیرمنتظره و سخاوتمندانه اعتماد نکنید: خواه شغل رویایی‌تان باشد با حقوقی بالا، خواه یک جایزه و خواه ارثی از آشنایی دور یا هر پیشنهاد چرب و نرم دیگر.
•         از دانلود فایل‌ها یا دنبال کردن لینک‌‌ها در ایمیل‌ها و پیام‌هایی از سوی فرستنده‌های ناشناس خودداری کنید. اگر در شبکه اداری هستید و فایل‌ها و لینک‌ها به کار ارتباطی ندارند حتی بیش از قبل حواستان را جمع کنید.
•         از راهکار امنیتی مطمئنی استفاده کنید که نمی‌گذارد بدافزار روی دستگاهتان اجرا شود.

[1] play-to-earn game

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.