اجلاس RSA 2019: رونق گرفتن بازار اعتبار نامه های TLS در دارک وب

به گزارش کارگروه امنیت سایبربان؛ در زمان برگزاری اجلاس «RSA 2019» اعلام شد که بازارهای پررونق اعتبارنامه‌های پروتکل امنیت لایه انتقال (TLS)، درحال ظهور در دارک وب (Dark Web) هستند. گواهی‌های ارائه شده در این بازار، به عنوان یک کالای فردی و بسته بندی شده، با آرایه‌ای از بدافزارها و دیگر خدمات فرعی، به فروش می‌رسند.

شرکت امنیت سایبری «ونافی» (Venafi)، دانشگاه ساری (University of Surrey) و گروه تحقیقاتی امنیت سایبری، بر پایه شواهد دانشکده مطالعات سیاسی اندرو یانگ دانشگاه ایالتی جورجیا، نتیجه‌ تحقیقات خود را در «RSA» ارائه کردند.

پژوهشگران با 5 عنوان مختلف، از بازارهای یادشده در شبکه‌ تور (Tor) یاد کردند. این عناوین عبارت‌اند از: «Dream Market» ،«Wall Street Market» ،«BlockBooth» ،«Nightmare Market» و «Galaxy3».

5 بازار یادشده، کیت‌های کلیدی را به مجرمان سایبری می‌دهند. این‌ها افرادی هستند که به جعل وبگاه‌ها، شنود ترافیک داده‌های رمزنگاری شده، ارتکاب حمله مردمیانی و سرقت داده‌های حساس می‌پردازند.

اعتبارنامه‌های قانونی امنیت لایه انتقال، به مجرمان اجازه می‌دهند که حملات فیشینگ انجام دهند؛ یا به وبگاه‌هایی با سطح بالای امنیت، نفوذ کنند. به این معنی که از نشانه‌گذاری خود، به عنوان یک عامل مخرب توسط نرم‌افزارها و راه‌کارهای امنیتی، جلوگیری به عمل می‌آورند.

محققان موفق به شناسایی بسته‌ای از اعتبارنامه‌های معتبر و خدماتی شده بودند که از وب‌سایت‌های ویرانگر، پشتیبانی می‌کرد. برای نمونه می‌توان به دامنه‌های منقضی نشانه‌گذاری شده گوگل، پشتیبانی پس از فروش خدمات طراحی وب و حتی ادغام با بسترهای فین تک، مانند استرایپ (Stripe)، پی پل (Pay Pal) و اسکوئر (Square) اشاره کرد.

برای مثال، یک فروشنده، در بازار «Wall Street»، اقدام به فروش اعتبارنامه‌ها کرده، با هدف پشتیبانی از فعالیت‌های کلاه‌برداری آنلاین، طراحی فروشگاه‌های تجارت الکترونیک «قابل‌اعتماد» را ارائه می‌دهد.

تحلیلگران مطرح کردند:

اعتبارنامه‌های «SSL» و تاریخ انقضای دامنه، در فهرست خدمات ارائه شده ازسوی فروشنده نام برده، مورد نظارت قرار می‌گیرد. منظور از انقضای دامنه، این است که یک وبگاه، به مدت طولانی، فعالیت کرده و قانونی است. اعتبارنامه‌های «SSL/TLS» و تاریخ دامنه، به منظور اعتمادسازی وبگاه برای مراجعه‌کنندگان و موتورهای جستجوگر، به کار گرفته می‌شوند.

تحلیل‌ها نشان می‌دهند که در بازار زیرزمینی BlockBooth حداقل یک فروشنده، وجود دارد که وعده‌ صدور اعتبارنامه‌های معتبر را ازسوی ارائه‌دهندگان مشهور، گواهی‌ می‌دهند و به همراه آن، اسناد جعلی شرکت را نیز فراهم می‌کنند. این وعده، شامل ارائه اعداد «D-U-N-S» نیز می‌شود. منظور یک کد 9 رقمی منحصربه‌فرد است که با محل فیزیکی یک کسب‌وکار مطابقت دارد.

در گزارش بالا، آمده است:

مهاجم با بهره‌گیری از بسته‌ محصولات و خدمات یادشده، قادر است خود را به عنوان یک شرکت معتبر آمریکایی، یا انگلیسی، معرفی کند و خرید این بسته، کمتر از 2 هزار دلار، هزینه خواهد داشت.

محققان طی تحقیقات خود، فروشنده دیگری را هم شناسایی کردند که از ایجاد هویت جعلی، به عنوان یک شرکت انگلیسی، پشتیبانی کامل می‌کند. به علاوه همه‌ اسناد قانونی مرتبط در فرآیند، ارائه می‌گردند. برای دریافت این خدمات، مشتریان تنها به پرداخت 150 دلار، انتخاب نام شرکت و صاحب آن و تکمیل چندین آدرس فیزیکی، نیاز دارند. اگر خریداران، آدرس فیزیکی نداشته باشند، فروشنده پیشنهاد ارائه یک نشانی را با یک صد دلار اضافی، مطرح می‌کند.

دیوید مایمون (David Maimon)، محقق امنیتی، نویسنده گزارش اشاره شده و دانشیار و مدیر گروه تحقیقاتی امنیت سایبری بر پایه شواهد، خاطرنشان نمود:

یکی از نکات بسیار جالب این تحقیق، آن است که اعتبارنامه‌های لایه امنیت انتقال، همراه با خدمات پیچیده‌ای مانند طراحی وب، ارائه می‌شوند. این کار، به منظور دستیابی مجرمان به سطح بسیار بالایی از اعتماد و اعتبار آنلاین، صورت می‌گیرد. کشف این مسئله -که به چه سادگی و با هزینه‌هایی بسیار کم، می‌توان طیف وسیعی از اعتبارنامه‌ها و حتی همه‌ مدارک مورد نیاز را برای ایجاد یک شرکت، بدون داشتن دسترسی به داده‌های آن، به دست آورد- تعجب‌برانگیز بود.

به طور کلی، مشاهده شد که در هر 5 بازار یادشده، همزمان با اعتبارنامه‌های SSL/TLS، طیف وسیعی از خدمات و محصولات ارائه می‌گردند. قیمت گواهی‌ها، از 260، تا 1600 دلار متغیر است و به نوع آن و خدمات اضافی مورد نیاز بستگی دارد.

با انجام دادن یک جستجو در هر 5 بازار مذکور، 2943 نمونه SSL و 75 مورد «TLS» شناسایی گردید. پژوهشگران برای مقایسه‌ بهتر شرح دادند که در زمان جستجو، تنها 531 مورد باج‌افزار و 161 نمونه «صفر روزه» (Zero Day) تشخیص داده شد. به‌علاوه مشخص گردید که تعدادی از بازارها مانند Dream Market، به صورت اختصاصی، اعتبارنامه‌های TLS را به فروش می‌رسانند. از طرفی محققان دریافتند که بیشتر اعتبارنامه‌ها، با جرم‌افزارهایی (crimeware)، مانند باج‌افزار بسته‌بندی، ارائه می‌شوند.

کوین باسک (Kevin Bocek)، معاون مدیر بخش امنیت و اطلاعات تهدید ونافی گفت:

مطالعات یادشده، به وضوح شواهدی را از فروش اعتبارنامه‌های امنیت لایه انتقال در دارک نت ارائه می‌دهد. این اعتبارنامه‌ها -که مانند هویت دستگاه‌های قابل‌اعتماد، عمل می‌کنند- به وضوح بخشی کلیدی از کیت ابزارهای مجرمان سایبری، مانند: بات‌ها، باج افزارها و جاسوس‌افزارها، به حساب می‌آیند. هم‌اکنون تحقیقات گسترده‌ای در این زمینه، صورت می‌گیرند؛ اما همه‌ سازمان‌ها، باید نگران این موضوع باشند که اعتبارنامه‌هایی که به منظور حفظ اعتماد و حریم خصوصی، به کار گرفته می‌شوند، به عنوان یک سلاح، به مجرمان سایبری، فروخته می‌شوند.