به تازگی FBI یک اعلامیه که شامل تاکتیکها، تکنیکها و پروتکلها یا TTP (مخفف Tactics, techniques and protocols) که توسط گروه ایرانی «ایمن نت پاسارگاد» مورد استفاده قرار میگیرند منتشر نموده است. FBI که معتقد است این گروه به نهادهای اطلاعاتی دولتی ایران کمک میکند هدف خود از انتشار این گزارش را اطلاعرسانی به افراد و کمک به حفاظت از آنها در برابر فعالیتهای مخرب ایمن نت اعلام کرده است.
FBI در این مطلب تأیید کرده که دو تبعه ایرانی که در شرکت ایمن نت کار میکنند، از سوی وزارت دادگستری آمریکا متهم به جعل و نفوذ سایبری، ایجاد ترس و وحشت در رأیدهندگان، تهدیدات بین المللی و توطئه شدهاند.
دفتر کنترل داراییهای خارجی وزارت خزانهداری آمریکا نیز گروه ایمن نت و دو تبعه ایرانی آن را متهم به نفوذ در انتخابات ریاست جمهوری سال 2020 آمریکا کردهاند.
بنا بر اظهارات وزارت خزانهداری و دادگستری آمریکا ایمن نت اقداماتی برای دخالت در انتخابات، جمعآوری اطلاعات محرمانه رأیدهندگان از وبسایتهای انتخاباتی، ارسال ایمیلهای تهدید آمیز به رأیدهندگان، تولید و انتشار ویدیوهای گمراه کننده درباره آسیبپذیریهای سیستم رأیگیری و نفوذ به شبکههای کامپیوتری شرکتهای رسانهای انجام داده است. آنها در هنگام اجرای چنین عملیاتی خودشان را عضو گروه Proud Boys که یک سازمان آمریکایی راست افراطی، نئوفاشیست و منحصراً مردانه است معرفی نمودهاند.
Liz Miller تحلیلگر مؤسسه Constellation Research میگوید: «دخالت در انتخابات توسط افرادی که در قالب انسانهای نژادپرست و افراطگرا مردم را تهدید میکنند موجب کاهش و حذف صحت و اصالت انتخابات میشود. امروزه حملات سایبری نقش بسیار پررنگ و تأثیرگذاری در بازیهای سیاسی و قدرت دارند».
پیش از این هم ایمن نت به اجرای اقدامات هک و نفوذ سایبری که عمدتاً با استفاده از چهرههای پوششی (مثل عملیاتی که تحت عنوان «ارتش سایبری یمن» که در سال 2018 میلادی انجام میشد) اجرا میشوند متهم شده بود.
توضیحات FBI درباره فنون هک و هوش سایبری
براساس نتایج تحقیقات FBI تحلیل و شناسایی اهداف و سپس شناسایی نقاط نفوذ مثل نرمافزارها یا سیستمهای آسیبپذیر از جمله رویکردهای مورد استفاده گروه سایبری ایمن نت برای اجرای حملات خود است. انجام چنین کاری معمولاً با اجرای یک جستجوی ساده در وب مثل «مهمترین وبسایتهای خبری آمریکا» و سپس تلاش برای یافتن آسیبپذیری در این وبسایتها صورت میگیرد.
براساس هشدار FBI یکسری از آسیبپذیریها و مشکلات متداول ([1]CVE) که توسط ایمن نت مورد سوءاستفاده قرار گرفتهاند شامل موارد زیر هستند:
- CVE-2019-0232: یک آسیبپذیری مخصوص آرگومانهای خط فرمان ویندوز در CGI Servlet از Apache Tomcat (نسخههای 9.0.0.M1 تا 9.0.17، 8.5.0 تا 8.5.39 و 7.0.0 تا 7.0.93) که امکان اجرای کد از راه دور را فراهم میکند.
- CVE 2019-9546: این آسیبپذیری امکان ارتقای سطح دسترسی از طریق سرویس RabbitMQ در پلتفرم SolarWinds Orion قبل از 2018 را فراهم میکند.
- CVE-2018-1000001: یک آسیبپذیری در استفاده از getcwd() توسط realpath() در glibc 2.26 و نسخههای قدیمیتر که امکان اجرای کد را فراهم میکند.
- CVE-2018-7600: به دلیل پیکربندی پیش فرض خاص Drupal (در نسخههای 7x,8.3x,8.4x و 8.5x قبل از 7.58, 8.3.9, 8.4.6 و 8.5.1) مجوز اجرای کد برای مهاجمان را فراهم میکند.
- CVE-2017-5963: امکان اجرای کدهای HTML و اسکریپتهای دلخواه در caddy پیش از 7.2.10 به دلیل وجود یک آسیبپذیری ناشی از عدم فیلتر درست دادههای تأمین شده توسط کاربر را فراهم میکند.
این آسیبپذیریها در به روزرسانی بعدی منتشر شده توسط شرکت سازنده آنها رفع شدهاند.
Miller میگوید: «اگرچه این تهدید مهمتر از سایر تهدیدات نیست ولی نباید از این حقیقت که ایمن نت از نرمافزارها و سیستمهای مدیریت محتوای پرکاربردی مثل وردپرس (WordPress)، دروپال (Drupal)، و وب سرور رایگان و متن باز آپاچی تام کت (Apache Tomcat) استفاده میکند غافل شویم».
به ادعای FBI، ایمن نت از ابزارهای متن باز مثل صفحات وبی که دارای کد PHP هستند یا صفحات به شدت دسترسپذیر مانند پایگاههای داده MySQL جهت جمعآوری اطلاعات بسیار مهم و مرتبط با آسیبپذیریهای مورد استفاده مهاجمان برای بخش خصوصی استفاده میکند.
همچنین محققان میگویند که ایمن نت از سرویسهای ویپیان مثل TorGuard، CyberGhost، NordVPN وPrivate Internet Access و از سرویسهای ارسال پیامک انبوه به ترتیب برای مبهمسازی حملاتشان و همچنین اجرای فعالیتهای خود استفاده میکند.
بر اساس هشدار FBI ایمن نت که فعالیتهای وسیعی در بخشهای اخبار، حمل و نقل، مسافرت (هتلها و شرکتهای هواپیمایی)، ارتباطات و برق انجام میدهد، یک تهدید امنیتی وسیع ایجاد کرده است.
راهکارهای توصیه شده
یکسری از اقدامات توصیه شده توسط FBI به سازمانها و کاربران برای مقابله با این تهدید عبارتند از:
- شناسایی آسیبپذیریهایی که پیش از این به آنها اشاره کردیم و نصب وصلههای امنیتی جهت رفع آنها
- بهروزرسانی آنتیویروس
- استفاده از سرویسهای تشخیص تهدید در سطح شبکه، دستگاه، سیستمعامل، برنامههای کاربردی و ایمیل
- استفاده از سرویسهای میزبانی
- مدیریت محتوای معتبر برای پیکربندی نرمافزارهایی که با دنیای بیرون در ارتباط هستند
- محدودسازی امکانات سیستم مدیریت محتوا مثل غیرفعال کردن قابلیت ویرایش فایل از راه دور، محدود کردن اجرای فایل به یکسری پوشه خاص
- محدود کردن تعداد تلاش برای ورود به سیستم
- نصب یک فایروال برنامههای کاربردی تحت وب
براساس گفته Miller: «گزارشهای منتشر شده توسط مؤسسات دولتی شامل اطلاعات بسیار مفیدی در خصوص مسیرهای حمله، رفتارهای مهاجمان و الگوهای TTP هستند». از این رو کلیه فعالان امنیتی باید این گزارشها را با جزئیات کامل تحلیل و بررسی نموده و علاوه بر آسیبپذیریهایی که در این مطلب به آنها اشاره شد، سایر آسیبپذیریها را هم شناسایی و در اسرع وقت رفع کنند.
[1] common vulnerabilities and exposures
منبع: csoonline