حمله گسترده به وبگاه های دولتی سراسر جهان

به گزارش کارگروه حملات سایبری سایبربان، به نقل از «securityaffairs»؛ شرکت-آی‌بی (Group-IB)، یک فعال جهانی که در جلوگیری از حملات سایبری تخصص دارد، بیش از 40 هزار مورد نفوذ به  اعتبارنامه‌های کاربران خدمات آنلاین دولتی را در 30 کشور کشف کرد.

بر اساس آمار بیشترین میزان قربانی‌ها، در ایتالیا با 52 درصد، عربستان سعودی 22 درصد و پرتغال با 5 درصد بودند. ممکن است داده‌های کاربران به انجمن‌های هکرهای زیرزمینی فروخته شده ، در حملات هدفمند مورد استفاده قرار گرفته یا برای استخراج اطلاعات حساس به کار رفته باشند. گروه پاسخگویی حوادث رایانه‌ای شرکت گروه آی بی (CERT-GIB)، با شناسایی این اطلاعات، به گروه‌های پاسخگویی حوادث رایانه‌ای کشورهایی که تحت تأثیر قرار گرفته‌اند درباره‌ی تهدیدات هشدار داد تا خطرات احتمالی کاهش یابد.

بخش هوش تهدید شرکت نام برده (Group-IB Threat Intelligence)، حساب‌های کاربران وب‌‎سایت‌های دولتی را یافته است که توسط مجرمان سایبری، در 30 کشور مورد نفوذ واقع شده‌اند. درگاه‌های رسمی دولتی از جمله «gov.pl» لهستان، «gov.ro» رومانی، «admin.ch» سوئیس، وب‌سایت‌های وزارت دفاع ایتالیا «difesa.it» ، ارتش رژیم صهیونیست «idf.il» ، دولت بلغارستان «government.bg»، وزارت مالی گرجستان «mof.ge» ، اداره‌ی مهاجرت نروژ «udi.no»، وزارت امور خارجه رومانی و ایتالیا و بسیاری از سازمان‌های دولتی دیگر تحت تأثیر نقض داده‌ها قرار گرفتند.

کارمندان دولت، شهروندان نظامی و غیرنظامی که در درگاه‌های رسمی دولت فرانسه (gouv.fr)، مجارستان (gov.hu) و کرواسی (gov.hr) حساب داشته‌اند، قربانی این شکاف اطلاعاتی شدند. در مجموع، سامانه هوش تهدید گروه ای بی، بیش از 40 هزار حساب کاربری، از بزرگ‌ترین وب‌سایت‌های دولتی از 30 کشور مختلف را در طول یک سال نیم گذشته کشف کرده است که در معرض خطر قرار گرفته‌اند. ایتالیا با 52 درصد، عربستان سعودی با 22 درصد و پرتغال با 5 درصد بیشترین آسیب را به خود اختصاص داده‌اند.

طبق گفته‌های کارشناسان شرکت یادشده، جنایتکاران سایبری با استفاده جاسوس‌افزاری خاص در شکل کی‌لاگرها (keylogger) مانند «Pony Formgrabber»، «AZORult» و «Qbot/Qakbot»، داده‌های حساب‌های کاربران را به سرقت برده‌اند. ایمیل‌های فیشینگ، ایمیل‌های شخصی و حقوقی فرستاده شده بود. این آلودگی از بدافزاری که به عنوان یک آرشیو یا فایل قانونی به ایمیل ضمیمه شده بود سرچشمه می‌گرفت.

به محض باز شدن فایل، یک تروجان با هدف سرقت اطلاعات شخصی، اجرا می‌شد. برای مثال، Pony Formgrabber، اعتبارنامه‌های ورودی را از فایل‌های پیکربندی، پایگاه داده‌ها، حافظه‌های مخفی بیش از 70 برنامه که در رایانه‌ی قربانی است، بازیابی می‌کند. سپس اطلاعات مسروقه را به سرورهای فرماندهی و کنترل (C&C) مجرمان ارسال می‌کند.

یک تروجان سرقت دیگر، AZORult، به غیر از سرقت رمزهای عبور از مرورگرهای محبوب، قادر به سرقت داده‌های کیف پول‌های ارزهای دیجیتالی نیز هست.

کرم Qbot، با استفاده از کی‌لاگر، اعتبارنامه‌های ورود به سیستم را جمع‌آوری کرده، سپس گواهینامه‌ها و فایل‌های کوکی را به سرقت برده، نشست‌های اینترنتی را فعال و کاربران را به وب‌سایت‌های جعلی، هدایت می‌کند.

داده‌های حساب‌های کاربری دزدیده شده، معمولاً بر اساس موضوع ( اطلاعات مشتری بانک‌ها، حساب‌های کاربرهای درگاه‌های دولتی، فهرست ترکیبی ایمیل و رمزهای عبور) طبقه‌بندی شده و در انجمن‌های هکرهای زیرزمینی، به فروش می‌رسند.

شایان ذکر است که حساب‌های کاربران وب‌سایت‌های دولتی، در انجمن‌های زیرزمینی رایج نیستند. جنایتکاران سایبری و گروه‌های تهدیدات پایدار پیشرفته (APT-group) که از سوی دولت حمایت می‌شوند، متخصص جاسوسی و خرابکاری هستند. همچنین آن‌ها از جمله افرادی به حساب می‌آیند که می‌توانند این اطلاعات را خریداری کنند.

با اطلاع از اعتبارنامه‌های کاربران وب‌سایت‌های دولتی، هکرها نه‌تنها می‌توانند اطلاعات طبقه‌بندی شده را از این وب‌سایت‌ها به دست آورند؛ بلکه قادر خواهند بود به شبکه‌های دولتی نفوذ کنند. حتی اگر حساب کاربری یک کارمند دولت در معرض خطر قرار گیرد، می‌تواند منجر به سرقت اسرار تجاری یا دولتی شود.

الکساندر کالینین (Alexandr Kalinin)، رئیس گروه پاسخگویی اضطراری رایانه‌ای شرکت Group-IB، اظهار داشت:

مقیاس و سادگی نقض داده‌های کارکنان دولتی، نشان می‌دهد که کاربران به علت بی‌دقتی و عدم وجود دفاع سایبری قابل‌اعتماد، طعمه‌ی هکرها شده‌اند.

کالینین ادامه داد:

بدافزاری که توسط هکرها برای به نقض حساب‌های کاربران مورداستفاده قرار گرفته است، به تکامل خود ادامه می‌دهد. برای حفاظت بهتر در مقابل این نوع حملات، مهم است که تنها به استفاده از آخرین نسخه‌ی راه‌حل‌های ضد تهدیدات پایدار پیشرفته اکتفا نکرده و از زمینه‌های حملات نیز آگاهی کسب کنید: در چه زمانی، چه بخشی و چگونه داده‌های شما در معرض خطر قرار گرفت.

سامانه‌ی هوش تهدید شرکت یاد شده، به طور منظم، بروزرسانی می‌شود؛ به همین علت اجازه‌ی دستیابی به اطلاعات عملیاتی را درمورد نشت داده‌ها، حساب‌های مختل شده، اطلاعات در مورد بدافزارها، آی‌پی‌های آلوده شده و آسیب‌پذیری‌های موجود در سراسر جهان می‌دهد. این شاخص‌های منحصر به فرد، امکان آمادگی برای حملات سایبری قبل از وقوع آن‌ها را فراهم می‌کنند.

یک عامل مهم دیگر، همکاری بین‌المللی است. برای جلوگیری از حوادث بیشتر، کارشناسان گروه پاسخگویی اضطراری شرکت ذکر شده، با گروه‌های پاسخگویی رسمی در بیش از 30 کشور تماس گرفته و گروه‌های پاسخگویی حادثه‌های محلی را از نقض داده‌ها، مطلع ساختند.

وی تأکید کرد:

تبادل اطلاعات هوش تهدید بین گروه‌های پاسخگویی اضطراری رایانه دولتی برای مبارزه‌ی جهانی در برابر جرایم سایبری، بسیار مهم است. برای ما همکاری با دیگر گروه‌های مذکور، مهم است. این امر اجازه‌ی ارائه‌ی پاسخ سریع به حوادث، جمع‌آوری اطلاعات در مورد روش‌ها و ابزارهای در حال تکامل هکرها، شاخص‌های نفوذ و اطلاعات درباره‌ی بیشتر تهدیدات فوری را می‌دهد. جرایم سایبری، مرزی ندارند و بر شرکت‌های خصوصی، عمومی و شهروندان عادی، اثر می‌گذارند. تبادل بین‌المللی داده‌ها در مورد تهدیدات فعلی، ستون اصلی ثبات جهانی است.

درباره‌ی گروه آی بی (Group-IB)

این شرکت، یکی از پیشگامان ارائه‌ی راه‌حل‌هایی به منظور شناسایی و پیشگیری از حملات سایبری، کلاه‌برداری‌های اینترنتی و حفاظت از آی پی است.