روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ شرکت Cisco Systems جزئیاتی را از هک ماه می توسط گروه باجافزاری به نام Yanluowang فاش کرد که به اکانت گوگل دستکاریشدهی یک کارمند نفوذ کرده بود. این غول شبکه حمله مورد بحث را «دستکاری احتمالی» میخواند و در ادامه میگوید، «در طول بررسیها مشخص شد اطلاعات محرمانهی کارمند سیسکو بعد از اینکه مهاجم به اکانت گوگل شخصی او –جایی که اطلاعات شخصی در مرورگر قربانی ذخیره شده بود- دستکاری شده است».
اطلاعات و تحقیق بیشتر در مورد این حمله، محققین Cisco Talos را بر آن داشت تا حمله را به گروه تهدید Yanluowang نسبت دهند؛ گروه باجافزاری که هم به گنگ سایبری UNC2447 و هم Lapsus$ مربوط میشود. در نهایت Cisco Talos گفت دشمنان نتوانستند با موفقیت بدافزار باجافزار خود را بکار ببرند اما در نفوذ به شبکه سیسکو و کاشتن مجموعهای از ابزارهای هک متخاصم و نیز انجام شناسایی شبکه داخلی موفق بودند (گفته میشود اگر د بخش نفوذ موفقیت حاصل شود احتمالاً مهاجمین بعد از چند بار تلاش موفق خواهند شد باجافزار را در محیطهای قربانی به کار ببرند).
پیشتازی در MFA برای دسترسی ویپیان
نکته اصلی هک این بود که مهاجمین توانستند ابزار ویپیانِ سیسکوی کارمند مورد هدف را دستکاری کرده و با استفاده از آن نرمافزار ویپیان، به شبکه سازمانی دسترسی پیدا کنند. Cisco Talos اینطور نوشته است، «دسترسی اولیه به ویپیان سیسکو از طریق دستکاری موفق اکانت گوگل شخصی کارمند شرکت سیسکو حاصل شد (چون این دو با یکدیگر همگامسازی شده بودند)».
با در اختیار داشتن اطلاعات محرمانه، مجرمان سپس توانستند با تکنیکهای مختلف احراز هویت چندعاملی را –که به کلاینت ویپیان مربوط میشد- دور بزنند. از بین تکنیکها میتوان به فیشینگ صوتی و نوعی حمله به نام «خستگیِ احراز هویت چند عاملی[1]» اشاره کرد. Cisco Talos تکنیک حملهی خستگی MFA را اینطور توصیف میکند: «پروسهی ارسال حجم بالایی از درخواستهای زوری به دستگاه موبایل هدف تا زمانیکه در نهایت قربانی قبول کند؛ یا تصادفی و یا صرفاً در تلاشی برای خاموش کردن سر و صدای این همه نوتیفیکیشن تکراری و پشت هم که برایش میآید». حملات جعل MFA روی کارمند سیسکو در نهایت موفق شدند و مهاجمین تونستند نرمافزار ویپیان را با پوشش کارمند شرکت سیسکو اجرا کنند.
به نقل از محققین، «وقتی مهاجم دسترسی اولیه را بدست آورد یک سری دستگاههای جدید برای MFA ثبت کرد و با موفقیت در ویپیان سیسکو احراز هویت شد. مهاجم سپس مزایای ادمین خود را زیاد کرد و همین به او اجازه داد تا به چندین سیستم لاگین کند؛ همین باعث شد هشداری برای تیم [2]CSIRT بیاید؛ تیمی که در ادامه به این رخداد واکنش نشان داد». ابزارهای استفادهشده توسط مهاجمین عبارتند از LogMeIn، TeamViewer و نیز ابزارهای امنیتی متخاصم نظیر Cobalt Strike، PowerSploit، Mimikatz و Impacket. درحالیکه احراز هویت چندعاملی موضع امنیتی مهمی برای سازمانها تلقی میشود اما هنوز هم براحتی میتواند هک شود و این خبر خوبی نیست! ماه گذشته، محققین مایکروسافت یک کمپین فیشینگ عظیم را کشف کردند که میتواند اطلاعات محرمانه را حتی اگر کاربر احراز هویت چند عاملی را فعال کرده باشد بدزدد و تا کنون تلاش کرده بیش از 10000 سازمان را دستکاری کند.
واکنش سیسکو به این حمله
طبق گزارشات Cisco Talos، سیسکو در واکنش به این حمله بلافاصله ریست پسورد در کل سازمان انجام داد. «یافتههای ما و حفاظتهای امنیتی بعدی ناشی از آن تعاملات مشتری به ما کمک کرد پیشرفت مهاجم را کند و پروژه شرارتبار آن را مهار کنیم». این شرکت سپس دو امضای آنتیویروس Win.Exploit.Kolobko-9950675-0 و Win.Backdoor.Kolobko-9950676-0 را به عنوان پیشگیری از هر نفوذ احتمالی ساخت. نام این امضاها Clam است (یا ClamAV) و در حقیقت تولکیتی ضدبدافزار و چند پلتفرمه هستند قادر به شناسایی انواعی از بدافزارها و ویروسها. عاملین تهدید معمولاً از تکنیکهای مهندسی اجتماعی برای به خطر انداختن اهداف استفاده میکنند و علیرغم فراوانی چنین حملاتی، سازمانها همچنان با چالشهایی برای کاهش این تهدیدها مواجه هستند.
Cisco Talos نوشت، «آموزش کاربر در خنثی کردن چنین حملاتی بسیار مهم است، از جمله اطمینان از اینکه کارمندان از راههای قانونیِ تماس تیم پشتیبانی با کاربران اطلاع دارند تا بدینترتیب کارمندان بتوانند تلاشهای تقلبی برای به دست آوردن اطلاعات حساس را شناسایی کنند».
[1] MFA fatigue
[2] Cisco Security Incident Response Team
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.