ادعای ترلیکس مبنی بر افزایش فعالیت‌های سایبری چین و روسیه

به گزارش کارگروه بین‌الملل سایبربان؛ شرکت امنیت سایبری ترلیکس (Trellix) گزارش تهدید سایبری (CyberThreat) خود در ماه ژوئن امسال از مرکز تحقیقات پیشرفته را اعلام کرد. این گزارش به تشریح فعالیت‌های سایبری مرتبط با عوامل تهدید مرتبط با چین و روسیه، ظهور کلاهبرداری‌های فیشینگ با موضوع اهدای انتخابات ایالات متحده، یک اکوسیستم باج‌افزاری غیرمعمول و استفاده رو به رشد از ابزارهای عامل تهدید طراحی شده برای دور زدن فن‌آوری‌های حفاظتی پاسخ و تشخیص نقطه پایانی (EDR) مورد استفاده سازمان‌ها در سراسر جهان پرداخته است.

جان فوکر (John Fokker)، رئیس اطلاعات تهدید ترلیکس، گفت :

«6 ماه گذشته بی‌سابقه بوده است؛ وضعیت چند بحرانی باقی مانده و همه چیز از انتخابات تا جنگ و فعالیت‌های قانونی، فعالیت‌های تهدید سایبری را در سطح جهانی تسریع کرده است. ما شاهد تغییرات اساسی در رفتار هستیم. بازی موش و گربه امنیت سایبری پیچیده‌تر شده است. رهبران امنیتی برای پیشی گرفتن از مجرمان سایبری به اطلاعات تهدید عملیاتی بیشتری نیاز دارند.»
آخرین گزارش تهدید سایبری مرکز تحقیقات پیشرفته ترلیکس، جزئیات یافته‌های اکتبر 2023 تا مارس 2024 را نشان می‌دهد. نکات مهم عبارتند از :

• چین و روسیه حملات را افزایش می‌دهند : گروه‌های تهدید مرتبط با چین، مانند «Volt Typhoon»، پرکارترین مبتکر فعالیت‌های تهدید مداوم پیشرفته (APT) هستند و 68.3 درصد از کل شناسایی‌ها را ایجاد می‌کنند. مرکز تحقیقات پیشرفته ترلیکس همچنین اعتقاد دارد که 23 درصد از تمام فعالیت‌های گروه‌های مرتبط با چین به بخش دولتی جهانی اختصاص دارد. علاوه بر این، گروه تهدید مداوم پیشرفته مرتبط با روسیه موسوم به کرم شنی (Sandworm) با 40 درصد تشخیص بیشتر در این دوره نسبت به آوریل تا سپتامبر 2023، افزایش شدید فعالیت داشته است.
• کلاهبرداری با موضوع انتخابات : مرکز تحقیقات پیشرفته ترلیکس ایمیل‌های مخربی را پیدا کرد که هدف آنها فریب مصرف کنندگان برای کمک به انتخابات بود. این ایمیل‌ها از خدمات بازاریابی قانونی برای ایجاد صفحات اهدایی متقاعدکننده اما جعلی با هدف کلاهبرداری از افراد عادی که به عنوان کمک‌های مالی به کمپین‌های انتخاباتی پنهان شده‌اند، سوءاستفاده می‌کنند.
• تغییر اکوسیستم باج‌افزاری : عوامل باج‌افزاری بیشترین تهدید را برای بخش حمل و نقل و حمل و نقل داشتند و به ترتیب 53 و 45 درصد از باج‌افزارهای جهانی را در 3 ماهه چهارم سال قبل و 3 ماهه اول امسال شناسایی کردند و صنعت مالی پس از آنها قرار گرفت. همچنین، به دنبال یک اقدام مجری قانون جهانی برای ایجاد اختلال در باج‌افزار لاک‌بیت (LockBit)، ترلیکس متوجه شد که کلاهبردارانی از این گروه کپی می‌کردند.
• فرار پاسخ و تشخیص نقطه پایانی : یک ابزار فرار به نام ترمیناتور (Terminator) از توسعه دهنده مجرمان سایبری «Spyboy» در کمپین جدیدی در ژانویه سال جاری با 80 درصد شناسایی‌ها در بخش مخابرات مورد استفاده قرار گرفت. با توجه به اهداف خاص، ترلیکس با سطح بالایی از اطمینان ارزیابی کرد که این کمپین با درگیری روسیه و اوکراین مرتبط است.
• استفاده از هوش مصنوعی مولد (GenAI) توسط مجرمان سایبری : ترلیکس یک ابزار رایگان «ChatGPT 4.0 Jabber» را مشاهده کرد که به عوامل تهدید اجازه می‌دهد تا هوش مصنوعی مولد را در عملیات‌های خود بکار گیرند و یک پایگاه دانش GenAI برای یادگیری از سایر مجرمان سایبری یا حتی سرقت ایده‌ها و ابزارهای آنها ایجاد کنند.

عوامل سایبری جدید هر روز ظاهر می‌شوند در حالیکه آسیب‌پذیری‌ها، سوءاستفاده‌ها و تاکتیک‌های جدید به طور مداوم کشف می‌شوند. اطلاعات تهدید عملیاتی، مانند داده‌ها و بینش‌هایی که در این گزارش یافت می‌شود، برای مدیران ارشد امنیت اطلاعات و رهبران عملیات‌های امنیتی که به دنبال دیدگاهی جامع از وضعیت امنیتی خود و شناسایی شکاف‌های بالقوه در استراتژی امنیت سایبری خود هستند، ضروری است.

گزارش تهدید سایبری ترلیکس شامل داده‌های اختصاصی از شبکه حسگر شرکت، تحقیقات دولتی و فعالیت‌های مجرمانه سایبری توسط مرکز تحقیقات پیشرفته ترلیکس و اطلاعات منبع باز و بسته است. این گزارش براساس تله‌متری مربوط به شناسایی تهدیدات است، زمانی که یک فایل، URL، آدرس آی‌پی، ایمیل مشکوک، رفتار شبکه یا سایر شاخص‌ها توسط پلتفرم ترلیکس با هوش مصنوعی شناسایی و گزارش می‌شود.