افزایش تعداد گروههای مجرمانه سایبری، ابداع مدل ارایه بدافزار به عنوان سرویس و پیشرفت زیرساختهای لازم جهت انجام فعالیتهای مخرب سایبری از جمله عواملی هستند که تغییر و تحولاتی را در وب تاریک (دارک وب) ایجاد کردهاند. در این مطلب از فراست به بررسی تأثیر این تحولات بر امنیت سازمانی میپردازیم.
پیگیری فعالیتهای مجرمانه در وب تاریک برای نهادهای قانونی همچون بازی موش و گربه است که در نهایت آنها موفق به دستگیری افراد متخلف و تصاحب اموال نامشروع آنها میشوند. به همین خاطر افراد فعال در وب تاریک همواره نگران افتادن به چنگ قانون هستند. برای نمونه در شب برگزاری انتخابات ریاست جمهوری آمریکا مقامهای این کشور موفق به تخلیه یک کیف پول بیتکوینی به ارزش 1 میلیارد دلار شدند. این وجه به بازار الکترونیکی و تحت وب “Silk Road” نسبت داده میشود.
تعطیلی گروههای مجرمانه
رویدادهایی که منجر به شناسایی مجرمان و متوقف شدن فعالیت های خرابکارانه آنها می شود، باعث شده آنها همواره به دنبال طراحی راهبردهای جدیدی باشند که گاهی وقت ها حتی باعث تعطیلی فروشگاه شان و تبدیل بیتکوین های آنها به پول نقد، پیش از دستگیری یا تحت نظارت قرار گرفتن توسط مقامات امنیتی می شود.
در اکتبر 2020، عوامل اجرای باجافزار Maze که به صدها شرکت مختلف در سطح جهان از جمله زیراکس، الجی و کانن نفوذ کرده بودند با اعلام این خبر که دیگر از فعالیت کنارهگیری خواهند کرد، این گروه را تعطیل نمودند. با این حال کارشناسان معتقدند این حرکت آنها فریبنده است زیرا با توجه به حوادثی که در گذشته اتفاق افتاده، عوامل اجرای باجافزارها معمولاً فقط برای شروع یک عملیات جدید، عملیات فعلی شان را متوقف میکنند!
Mark Turnage مدیرعامل یکی از موتورهای جستجوی وب تاریک با نام “DarkOwl” میگوید: «در سالهای اخیر به دلایل مختلف از جمله افزایش استفاده از انجمنها و بازارهای ناشناس توسط مجرمان سازمان یافته، ازدیاد تعداد جوانانی که با الهام از ویدیوهای یوتیوب دنبال انجام فعالیت های مجرمانه هستند و همچنین بیشتر شدن فعالیت نهادهای قانونی و تلاش آنها برای نفوذ به گروههای مجرم و شناسایی و تعطیل کردن تشکیلات آنها شرایط وب تاریک به میزان قابل توجهی تغییر کرده است».
تبدیل وب تاریک به کانالی برای استخدام مجرمان
بر اساس گفتههای Turnage، وب تاریک تبدیل به یک محیط واسط و همچنین کانالهای رمزنگاری و خصوصی مثل تلگرام شده که مجرمان سایبری در آنجا به دنبال جذب اعضای جدید برای گروههای خودشان هستند. Turnage میگوید که: «طراحان بدافزارها و کلاهبرداران برای توزیع اکسپلویتهای شان در بازارهای وب تاریک و برندسازی و نیز ارتباط گیری و جذب اعضای جدید، بر انجمن هکرهای کلاه سیاه متکی هستند. علاوه بر این خیلی از سازمانهای مجرم از وب تاریک فقط برای برقراری رابطه و دریافت باجافزار به عنوان سرویس استفاده میکنند».
Turnage میگوید که DarkOwl شاهد افزایش استفاده از وب های تاریک جایگزین غیرمتمرکز مثل “Lokinet” و “Yggdrasil” است. او این موضوع را به طول عمر کوتاه سرویسها و بازارهای وب تاریک در شبکه Tor که امکان مخفی کردن هویت کاربران را فراهم میکند و نیز تصاحب سرورها توسط نهادهای قانونی در سطح جهان نسبت میدهد.
حرکت بازارها از گره های Tor به سرویسهای پیامرسان خصوصی مزایای فنی خاصی همچون محافظت در برابر حملات ممانعت از سرویس توزیع شده (DDoS) را در پی دارد. ممکن است مدیران وب تاریک به سمت چنین سازوکارهای فنی حفاظتی جذب شوند چون بازارهای زیرزمینی مانند Empire بعد از اجرای حملات ممانعت از سرویس توزیع شده توسط سایر مجرمان بر ضد آنها مجبور به تعطیلی تشکیلات خودشان شدند. خروج ناگهانی Empire باعث لغو گواهی «سپرده امانی» این گروه شده و باعث گشته بعضی از افراد، این حرکت آنها را یک «طرح کلاهبرداری خروج (Exit Scam)» بدانند.
مجرمان سایبری با حرکت به سمت سرویسهای پیام رسان رمزنگاری شده سراسری میتوانند از زیرساخت توزیع شده قابل اطمینان این پلتفرمها سوءاستفاده کرده و ضمن رعایت جانب احتیاط، از شناسایی توسط نهادهای قانونی جلوگیری کنند. هر چند پلتفرمهایی مثل تلگرام هم در برابر حملات ممانعت از سرویس توزیع شده کاملاً امن نیستند اما مسئول حفاظت در برابر این حملات، مالک پلتفرم است نه گردانندگان تشکیلات وب تاریک.
جمع آوری اطلاعات با استفاده از گفتگوهای انجام شده در انجمنهای زیرزمینی
بر اساس گفتههای Raveed Laeb مدیر محصولات شرکت KELA، در حال حاضر کالاها و خدمات مختلفی در وب تاریک ارایه میشود. اگرچه قبلاً تراکنشها و ارتباطات وب تاریک بیشتر در انجمنها انجام می شد ولی حالا به رسانههایی مثل پیامرسان ها، فروشگاههای خودکار و جوامع بسته مستقل نیز منتقل شده است. مهاجمان، اطلاعات به دست آمده از شبکهها، دادههای سرقت شده، پایگاههای داده نشت یافته و سایر محصولاتی که میتوان از آنها درآمدزایی کرد را منتشر میکنند.
Laeb در این خصوص گفته: «تغییرات بازار بر خودکارسازی و سرویسدهی [مدلهای اشتراکی] تمرکز یافته که هدف آنها رشد تجارت مجرمان سایبری است. افزایش چشمگیر حملات باجافزاری با استفاده از زیست بوم اقتصاد زیرزمینی نشان دهنده تشکیل بازارهایی است که امکان برقراری ارتباط را بین مجرمان فراهم میکنند. این بازارها منجر به شکل گیری زنجیره تأمینی شدهاند که به اجرای جرایم به سبک غیرمتمرکز و کارآمد کمک مینمایند».
در سمت دیگر ماجرا، کارشناسان امنیت و تحلیلگران تهدیدات سایبری میتوانند پیش از اینکه مهاجمان از این اطلاعات سوءاستفاده کنند از آنها برای شناسایی و رفع نقاط ضعف سیستمها استفاده نمایند. به گفته Laeb، «مدافعان میتوانند با بررسی کارهای مجرمان در زیست بوم زیرزمینی، از این زیست بوم قوی و پویا استفاده کرده تا آسیبپذیریها و نفوذهای صورت گرفته توسط آنها را شناسایی نموده و با آنها مقابله کنند».
این کار با نظارت بر وب سایتهای وب تاریک و انجمنهایی که احتمال فعالیت مجرمان در آنها بیشتر است و در آنجا درباره تهدیدات جدید و اکسپلویتهای در حال طراحی بحث می شود، قابل انجام است. برای مثال یک هکر، به تازگی اکسپلویتهای مربوط به بیش از حدود 50 هزار آسیبپذیری ویپیانهای فورتی نت را در یک انجمن منتشر کرده که بعضی از آنها متعلق به شرکتهای مخابراتی، بانکها و سازمان های مهم دولتی هستند. در یک انجمن دیگر هم مطلبی منتشر شده که در آن مهاجمان، اطلاعات لازم برای دسترسی و استفاده از تمامی تجهیزات ویپیان این شرکتها را منتشر کرده اند.
هر چند این آسیبپذیری دو سال قدمت داشته و متأسفانه کسی به آن توجه لازم را نداشته است اما هزاران مورد از ویپیانهای شرکتی موجود در این فهرست، در برابر این مشکل مهم آسیبپذیر بوده اند. توجه و نظارت بر چنین اطلاعاتی میتواند به تیمهای امنیت سایبری سازمانها کمک کند تا حوزههای مهم برای حفاظت از سازمان شان را شناسایی کنند.
نظارت بر فعالیتهای غیرقانونی با نام طرحهای مجاز
مهاجمانی که از تهدیدات مانای پیشرفته (APT) جهت نیل به اهداف شان استفاده می کنند، از وب تاریک برای جمع آوری اطلاعات درباره قربانی های احتمالی خود استفاده می نمایند. آنها سپس از برنامهها و پروتکلهای معمول در شبکه برای استخراج مخفیانه دادهها سوءاستفاده میکنند.
مدیرعامل Dark Intelligence در این باره گفته: «قبلاً سازمانها فقط به دنبال دادههای خودشان بودند که در وب تاریک وجود داشت و تنها پس از یافتن دادههای مهم و قابل توجه، اقدامات لازم را انجام می دادند ولی هم اکنون خیلی از مجرمان روسی و چینی با پشتوانه دولتی از وب تاریک برای شناسایی اهداف بالقوه خود و استخراج دادههای سازمان ها استفاده میکنند».
Warrington میگوید: «از ابتدای سال 2020، استفاده از پروتکل SSH توسط گروههای APT بیش از 200 درصد افزایش یافته است. تحقیقات ما بیانگر آن است که این گروهها از طریق پورت 22 (مربوط به پروتکل SSH) استفاده میکنند تا بتوانند بدون امکان شناسایی شدن، دادههای سازمانها را استخراج کرده و از نقاط ضعف سیستمها به خصوص سیستمهای کنترل صنعتی برای سرقت انبوهی از دادهها استفاده کنند. چنین ادعا شده که در حملات اخیر، بیشتر از 1 ترابایت داده از کسبوکارها جمع آوری شده؛ رقمی بزرگ که ناتوانی سازمانها را برای شناسایی تهدیدات نشان میدهد چون قادر به نظارت کارآمد بر روابط وب تاریک نیستند».
حمله اخیر بر ضد شرکت سولارویندز (SolarWinds) توسط گروه روسی APT 29 که به آن “Cozy Bear” هم گفته میشود، به خوبی این موضوع را اثبات کرد. مهاجمان توانستند با سوءاستفاده از اعتمادی که به برنامههای SolarWinds Orion و کانال بهروزرسانی امن آن وجود دارد، به سیستمهای بیش از 18 هزار مشتری این شرکت نفوذ کرده و تا ماهها نیز شناسایی نشوند. این فعالیت مخرب آنها شامل نظارت مخفیانه و استخراج اطلاعات، بدون برجا گذاشتن هر گونه ردپایی بوده است.
این مورد با سایر مواردی که در آنها مجرمان سایبری با انتشار اطلاعات در انجمنهای وب تاریک سروصدا به پا میکنند، متفاوت بود. بنابراین امروزه دیگر نظارت بر وب تاریک برای تشخیص استخراج دادهها به تنهایی کافی نیست.
محققان امنیتی و تحلیلگران هوش تهدید باید راهبردهای نظارتی شان را دوباره ارزیابی کرده و به جای تمرکز بر تشخیص ناهنجاریهای موجود در شبکههای سازمانی مثل فعالیت با آیپی و شماره پورتهای جدید یا منتظر ماندن تا هنگام انتشار اطلاعات سازمان در وب تاریک، از ابزارها و سیستمهای امنیتی و نظارتی مناسب استفاده کنند. آنها همچنین می بایست به طور مداوم بهروزرسانیهای امنیتی را نصب کرده تا بتوانند هر گونه تلاش برای نفوذ به شبکه را در اسرع وقت شناسایی کنند.
منبع: csoonline