خبرمقالات

چگونگی تغییر وضعیت وب تاریک از دیدگاه فعالان این حوزه

افزایش تعداد گروه‌های مجرمانه سایبری، ابداع مدل ارایه بدافزار به عنوان سرویس و پیشرفت زیرساخت‌های لازم جهت انجام فعالیت‌های مخرب سایبری از جمله عواملی هستند که تغییر و تحولاتی را در وب تاریک (دارک وب) ایجاد کرده‌اند. در این مطلب از فراست به بررسی تأثیر این تحولات بر امنیت سازمانی می‌پردازیم.

 

پیگیری فعالیت‌های مجرمانه در وب تاریک برای نهادهای قانونی همچون بازی موش و گربه است که در نهایت آنها موفق به دستگیری افراد متخلف و تصاحب اموال نامشروع آنها می‌شوند. به همین خاطر افراد فعال در وب تاریک همواره نگران افتادن به چنگ قانون هستند. برای نمونه در شب برگزاری انتخابات ریاست جمهوری آمریکا مقام‌های این کشور موفق به تخلیه یک کیف پول بیت‌کوینی به ارزش ۱ میلیارد دلار شدند. این وجه به بازار الکترونیکی و تحت وب “Silk Road” نسبت داده می‌شود.

تعطیلی گروه‌های مجرمانه

رویدادهایی که منجر به شناسایی مجرمان و متوقف شدن فعالیت های خرابکارانه آنها می شود، باعث شده آنها همواره به دنبال طراحی راهبردهای جدیدی باشند که گاهی وقت ها حتی باعث تعطیلی فروشگاه شان و تبدیل بیت‌کوین های آنها به پول نقد، پیش از دستگیری یا تحت نظارت قرار گرفتن توسط مقامات امنیتی می شود.

در اکتبر ۲۰۲۰، عوامل اجرای باج‌افزار Maze که به صدها شرکت مختلف در سطح جهان از جمله زیراکس، ال‌جی و کانن نفوذ کرده بودند با اعلام این خبر که دیگر از فعالیت کناره‌گیری خواهند کرد، این گروه را تعطیل نمودند. با این حال کارشناسان معتقدند این حرکت آنها فریبنده است زیرا با توجه به حوادثی که در گذشته اتفاق افتاده، عوامل اجرای باج‌افزارها معمولاً فقط برای شروع یک عملیات جدید، عملیات فعلی شان را متوقف می‌کنند!

Mark Turnage مدیرعامل یکی از موتورهای جستجوی وب تاریک با نام “DarkOwl” می‌گوید: «در سال‌های اخیر به دلایل مختلف از جمله افزایش استفاده از انجمن‌ها و بازارهای ناشناس توسط مجرمان سازمان یافته، ازدیاد تعداد جوانانی که با الهام از ویدیوهای یوتیوب دنبال انجام فعالیت های مجرمانه هستند و همچنین بیشتر شدن فعالیت نهادهای قانونی و تلاش آنها برای نفوذ به گروه‌های مجرم و شناسایی و تعطیل کردن تشکیلات آنها شرایط وب تاریک به میزان قابل توجهی تغییر کرده است».

تبدیل وب تاریک به کانالی برای استخدام مجرمان

بر اساس گفته‌های Turnage، وب تاریک تبدیل به یک محیط واسط و همچنین کانال‌های رمزنگاری و خصوصی مثل تلگرام شده که مجرمان سایبری در آنجا به دنبال جذب اعضای جدید برای گروه‌های خودشان هستند. Turnage می‌گوید که: «طراحان بدافزارها و کلاهبرداران برای توزیع اکسپلویت‌های شان در بازارهای وب تاریک و برندسازی و نیز ارتباط گیری و جذب اعضای جدید، بر انجمن‌ هکرهای کلاه سیاه متکی هستند. علاوه بر این خیلی از سازمان‌های مجرم از وب تاریک فقط برای برقراری رابطه و دریافت باج‌افزار به عنوان سرویس استفاده می‌کنند».

Turnage می‌گوید که DarkOwl شاهد افزایش استفاده از وب های تاریک جایگزین غیرمتمرکز مثل “Lokinet” و “Yggdrasil” است. او این موضوع را به طول عمر کوتاه سرویس‌ها و بازارهای وب تاریک در شبکه Tor که امکان مخفی کردن هویت کاربران را فراهم می‌کند و نیز تصاحب سرورها توسط نهادهای قانونی در سطح جهان نسبت می‌دهد.

حرکت بازارها از گره های Tor به سرویس‌های پیام‌رسان خصوصی مزایای فنی خاصی همچون محافظت در برابر حملات ممانعت از سرویس توزیع شده (DDoS) را در پی دارد. ممکن است مدیران وب تاریک به سمت چنین سازوکارهای فنی حفاظتی جذب شوند چون بازارهای زیرزمینی مانند Empire بعد از اجرای حملات ممانعت از سرویس توزیع شده توسط سایر مجرمان بر ضد آنها مجبور به تعطیلی تشکیلات خودشان شدند. خروج ناگهانی Empire باعث لغو گواهی «سپرده امانی» این گروه شده و باعث گشته بعضی از افراد، این حرکت آنها را یک «طرح کلاهبرداری خروج (Exit Scam)» بدانند.

مجرمان سایبری با حرکت به سمت سرویس‌های پیام رسان رمزنگاری شده سراسری می‌توانند از زیرساخت توزیع شده قابل اطمینان این پلتفرم‌ها سوءاستفاده کرده و ضمن رعایت جانب احتیاط، از شناسایی توسط نهادهای قانونی جلوگیری کنند. هر چند پلتفرم‌هایی مثل تلگرام هم در برابر حملات ممانعت از سرویس توزیع ‌شده کاملاً امن نیستند اما مسئول حفاظت در برابر این حملات، مالک پلتفرم است نه گردانندگان تشکیلات وب تاریک.

جمع آوری اطلاعات با استفاده از گفتگوهای انجام شده در انجمن‌های زیرزمینی

بر اساس گفته‌های Raveed Laeb مدیر محصولات شرکت KELA، در حال حاضر کالاها و خدمات مختلفی در وب تاریک ارایه می‌شود. اگرچه قبلاً تراکنش‌ها و ارتباطات وب تاریک بیشتر در انجمن‌ها انجام می شد ولی حالا به رسانه‌هایی مثل پیام‌رسان ها، فروشگاه‌های خودکار و جوامع بسته مستقل نیز منتقل شده است. مهاجمان، اطلاعات به دست آمده از شبکه‌ها، داده‌های سرقت شده، پایگاه‌های داده نشت یافته و سایر محصولاتی که می‌توان از آنها درآمدزایی کرد را منتشر می‌کنند.

Laeb در این خصوص گفته: «تغییرات بازار بر خودکارسازی و سرویس‌دهی [مدل‌های اشتراکی] تمرکز یافته که هدف آنها رشد تجارت مجرمان سایبری است. افزایش چشمگیر حملات باج‌افزاری با استفاده از زیست بوم اقتصاد زیرزمینی نشان دهنده تشکیل بازارهایی است که امکان برقراری ارتباط را بین مجرمان فراهم می‌کنند. این بازارها منجر به شکل گیری زنجیره تأمینی شده‌اند که به اجرای جرایم به سبک غیرمتمرکز و کارآمد کمک می‌نمایند».

در سمت دیگر ماجرا، کارشناسان امنیت و تحلیلگران تهدیدات سایبری می‌توانند پیش از اینکه مهاجمان از این اطلاعات سوءاستفاده کنند از آنها برای شناسایی و رفع نقاط ضعف سیستم‌ها استفاده نمایند. به گفته Laeb، «مدافعان می‌توانند با بررسی کارهای مجرمان در زیست بوم زیرزمینی، از این زیست بوم قوی و پویا استفاده کرده تا آسیب‌پذیری‌ها و نفوذهای صورت گرفته توسط آنها را شناسایی نموده و با آنها مقابله کنند».

این کار با نظارت بر وب سایت‌های وب تاریک و انجمن‌هایی که احتمال فعالیت مجرمان در آنها بیشتر است و در آنجا درباره تهدیدات جدید و اکسپلویت‌های در حال طراحی بحث می شود، قابل انجام است. برای مثال یک هکر، به تازگی اکسپلویت‌های مربوط به بیش از حدود ۵۰ هزار آسیب‌پذیری وی‌پی‌ان‌های فورتی نت را در یک انجمن منتشر کرده که بعضی از آنها متعلق به شرکت‌های مخابراتی، بانک‌ها و سازمان های مهم دولتی هستند. در یک انجمن دیگر هم مطلبی منتشر شده که در آن مهاجمان، اطلاعات لازم برای دسترسی و استفاده از تمامی تجهیزات وی‌پی‌ان این شرکت‌ها را منتشر کرده اند.

هر چند این آسیب‌پذیری دو سال قدمت داشته و متأسفانه کسی به آن توجه لازم را نداشته است اما هزاران مورد از وی‌پی‌ان‌های شرکتی موجود در این فهرست، در برابر این مشکل مهم آسیب‌پذیر بوده اند. توجه و نظارت بر چنین اطلاعاتی می‌تواند به تیم‌های امنیت سایبری سازمان‌ها کمک کند تا حوزه‌های مهم برای حفاظت از سازمان شان را شناسایی کنند.

نظارت بر فعالیت‌های غیرقانونی با نام طرح‌های مجاز

مهاجمانی که از تهدیدات مانای پیشرفته (APT) جهت نیل به اهداف شان استفاده می کنند، از وب تاریک برای جمع آوری اطلاعات درباره قربانی های احتمالی خود استفاده می نمایند. آنها سپس از برنامه‌ها و پروتکل‌های معمول در شبکه برای استخراج مخفیانه داده‌ها سوءاستفاده می‌کنند.

مدیرعامل Dark Intelligence در این باره گفته: «قبلاً سازمان‌ها فقط به دنبال داده‌های خودشان بودند که در وب تاریک وجود داشت و تنها پس از یافتن داده‌های مهم و قابل توجه، اقدامات لازم را انجام می دادند ولی هم اکنون خیلی از مجرمان روسی و چینی با پشتوانه دولتی از وب تاریک برای شناسایی اهداف بالقوه خود و استخراج داده‌های سازمان ها استفاده می‌کنند».

Warrington می‌گوید: «از ابتدای سال ۲۰۲۰، استفاده از پروتکل SSH توسط گروه‌های APT بیش از ۲۰۰ درصد افزایش یافته است. تحقیقات ما بیانگر آن است که این گروه‌ها از طریق پورت ۲۲ (مربوط به پروتکل SSH) استفاده می‌کنند تا بتوانند بدون امکان شناسایی شدن، داده‌های سازمان‌ها را استخراج کرده و از نقاط ضعف سیستم‌ها به خصوص سیستم‌های کنترل صنعتی برای سرقت انبوهی از داده‌ها استفاده کنند. چنین ادعا شده که در حملات اخیر، بیشتر از ۱ ترابایت داده از کسب‌وکارها جمع آوری شده؛ رقمی بزرگ که ناتوانی سازمان‌ها را برای شناسایی تهدیدات نشان می‌دهد چون قادر به نظارت کارآمد بر روابط وب تاریک نیستند».

حمله اخیر بر ضد شرکت سولارویندز (SolarWinds) توسط گروه روسی APT 29 که به آن “Cozy Bear” هم گفته می‌شود، به خوبی این موضوع را اثبات کرد. مهاجمان توانستند با سوءاستفاده از اعتمادی که به برنامه‌های SolarWinds Orion و کانال به‌روزرسانی امن آن وجود دارد، به سیستم‌های بیش از ۱۸ هزار مشتری این شرکت نفوذ کرده و تا ماه‌ها نیز شناسایی نشوند. این فعالیت مخرب آنها شامل نظارت مخفیانه و استخراج اطلاعات، بدون برجا گذاشتن هر گونه ردپایی بوده است.

این مورد با سایر مواردی که در آنها مجرمان سایبری با انتشار اطلاعات در انجمن‌های وب تاریک سروصدا به پا می‌کنند، متفاوت بود. بنابراین امروزه دیگر نظارت بر وب تاریک برای تشخیص استخراج داده‌ها به تنهایی کافی نیست.

محققان امنیتی و تحلیلگران هوش تهدید باید راهبردهای نظارتی شان را دوباره ارزیابی کرده و به جای تمرکز بر تشخیص ناهنجاری‌های موجود در شبکه‌های سازمانی مثل فعالیت با آی‌پی و شماره پورت‌های جدید یا منتظر ماندن تا هنگام انتشار اطلاعات سازمان در وب تاریک، از ابزارها و سیستم‌های امنیتی و نظارتی مناسب استفاده کنند. آنها همچنین می بایست به طور مداوم به‌روزرسانی‌های امنیتی را نصب کرده تا بتوانند هر گونه تلاش برای نفوذ به شبکه را در اسرع وقت شناسایی کنند.

 

منبع: csoonline

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

1 × چهار =

دکمه بازگشت به بالا