جمعه , ۲۵ آبان ۱۳۹۷

زيرساخت اينترنت زيرپوتين هکرها

 

1217

محققان مرکز امنيت سيسکو (Cisco Security) مي‌گويند هکرها به سراغ وب‌سرورها، سرورهاي DNS، مراکزداده و ديگر زيرساخت اينترنت آمده‌اند تا حملات گسترده‌اي را تدارک ببينند. با آلوده شدن يک وب‌سرور، هزاران سايت در معرض خطر قرار مي‌گيرند. همچنين کامپيوترهاي هزاران کاربر نهايي در سراسر جهان مورد سوءاستفاده قرار گرفته و قرباني مي‌شوند.

حمله به وب‌سرورها

در حمله DarkLeech که سال گذشته رخ داد، حداقل 20 هزار سايت قانوني در سراسر جهان در معرض خطر قرار گرفتند. اين حمله يک نشانه خوب از اتفاق تازه دنياي امنيت سايبري است؛ هکرها زيرساخت شبکه اينترنت را هدف قرار دادند تا به اين ‌وسيله سکوي پرتابي براي حملات قدرتمندتر و وسيع‌تر داشته باشند.
در آخرين گزارش امنيتي ساليانه شرکت سيسکو آمده است که تمرکز و تلاش براي دسترسي به وب‌سرورها، سرورهاي DNS و مرکازداده به وضوح بيش‌تر شده است تا بتوان از قدرت پردازشي و پهناي‌باند آن‌ها براي حملات گسترده استفاده کرد. با استفاده از اين رويکرد جديد، کاربران نهايي بيش‌تر از قبل در معرض خطر هستند و ممکن است کامپيوتر آن‌ها قرباني و مورد سوءاستفاده قرار گيرد زیرا از همه‌جا بي‌خبر هستند. همچنين سازمان‌ها و شرکت‌هاي بزرگ راحت‌تر مي‌توانند در مورد هدف حملات ويران‌کننده قرار گيرند؛ حملاتي که با اهداف سياسي، درآمدزايي، دشمني يا تضعيف قرباني انجام مي‌شوند. براساس اين گزارش وقتي زيرساخت اينترنت مورد حمله قرار مي‌گيرد، مديران سايت‌ها ديگر نمي‌توانند به وب سرور خود اعتماد داشته باشند.
هکرهاي براي دسترسي به کاربر ريشه (Root) وب‌سرورها و سرويس‌هاي ميزباني وب از انواع روش‌ها استفاده مي‌کنند. مثلاً برنامه‌هاي تروجان را روي کامپيوترهاي ايستگاه کاري فعال مي‌کنند يا سعي در سرقت اطلاعات ورود به سيستم‌هاي وب سرور دارند. همچنين از شکاف‌هاي امنيتي و آسيب‌پذيري‌هاي ابزارهاي مديريت جانبي روي وب‌سرورها نهايت سوءاستفاده را خواهند کرد تا بتوانند مديريت کل وب‌سرور را به صورت خاموش و بي‌رد و اثر در دست بگيرند.
ليوي گاندرت از مديران ارشد فني بخش تحقيقات تهديد، تحليل و ارتباطات شرکت سيسکو (TRAC) در اين زمينه مي‌گويد: «نرم‌افزارهاي CMS نقش بزرگي در اين وضعيت بازي مي‌کنند. بيش‌تر مردم براي راه‌اندازي و مديريت سايت خودشان از CMSهاي آماده‌اي مانند جوملا، وردپرس و… استفاده مي‌کنند در حالي که آسيب‌پذيري‌هاي اين CMها بسيار گسترده است و فهرست بلندبالايي از نقص‌هاي امنيتي دارند.» در گزارش سيسکو آمده کافي است يکي از سرورهاي ميزباني وب به خطر بيفتد تا هزاران ‌سايت ديگر آلوده شوند. به‌علاوه، يک ‌سايت روي يک سرور ميزباني وب آلوده ممکن است نقشي غيرمستقيم را ايفا کند و به يک منبع بدافزارها تبديل شود. در بسياري از حملات بزرگ و مخرب ديده شده است که سايت‌هاي زيادي فقط توسط چند دامنه آلوده شده‌اند. به گفته گاندرت وقتي يک سرور به خطر مي‌افتد، هکرهاي مي‌توانند بدافزارهاي در‌پشتي SSHD را روي نرم‌افزارهاي وب‌سروري مانند آپاچي نصب و پيکربندي کنند. دقيقاً از همين روش در حمله DarkLeech استفاده شده است. سايت‌ها به بدافزار  Secure Shell daemon يا همان SSHD آلوده شده‌اند و از اين طريق حمله‌کنندگان توانستند از راه دور ماجول‌ها و IFrameهاي تزريقي آلوده را به صورت بي‌درنگ روي وب‌سرور آپاچي ‌سايت‌هاي ديگري که روي همين سرور ميزباني مي‌شوند، آپلود و نصب کنند. نتيجه اين اتفاق اين است که کاربران از طريق ابزارهاي حملات سیاه چاله (Blackhole) مورد سوءاستفاده قرار مي‌گيرند و منابع سيستم‌شان به طور ناخواسته يا نادانسته در يک حمله شرکت مي‌کنند.
ازآنجا که تزريقات IFrame در حمله‌اي مانند Darkleech براي لحظه‌اي (بازديد آني يک سايت) رخ مي‌دهد، بنابراين، هيچ رد و نشانه‌ آشکاري ندارد. سرورهاي DNS نيز در معرض اين‌گونه تهديدات هستند. گزارش سيسکو نشان مي‌دهد که بعد از وب‌سرورها، بيش‌تر آمار حمله به سرورهاي DNS تعلق دارد زیرا ساده‌تر و سريع‌تر مي‌توانند تعداد سايت‌هاي شخصي بيشتري را آلوده و قرباني کنند.
جي‌دي شري، سخن‌گوي رئيس بخش فناوري و راهکار شرکت ترندميکرو مي‌گويد: «مجرمان اينترنتي و هکتيويست‌ها در سال 2014 بيش‌تر از قبل به زيرساخت‌هاي پرقدرت محاسباتي و پردازشي يورش خواهند آورد. چندين دليل هم براي اين گفته وجود دارد که از جمله آن استفاده کماکان حملات DDoS برعليه بانک‌ها و زيرساخت‌هاي حياتي است. براي انجام اين حملات به منابع پردازشي زيادي در سراسر دنيا احتياج است و بايد آن‌ها را تأمين کرد.»
شري ادامه مي‌دهد: «به‌علاوه، در حملات شکستن رمزعبور (Brute-Force) نيز به منابع محاسباتي زيادي براي اجراي برنامه‌هاي درهم‌شکستن رمزهاي عبور نياز است. زيرساخت‌هاي محاسبات ابري براي حملات سايبري اهرم اسب بخار هستند.»
سخنگوي ترندمايکرو مي‌گويد براي جلوگيري از اين رخداد، نيازمند تفکر کردن براساس معماري‌هاي امنيتي موجود هستيم. ما با شرکا و مشتريان خود که در ساخت مراکزداده ابري عمومي/خصوصي يا ترکيبي مشارکت دارند به‌طور مستمر صحبت کرده و مشاوره مي‌گيريم تا راهکارهاي بهتري براي امن ساختن زيرساخت‌هاي موجود يا زيرساخت‌هايي که در آينده نزديک ساخته مي‌شوند، در پيش بگيريم.»

سازمان‌ها جذاب‌ترند
در گزارش سيسکو علاوه‌بر هشدارهايي که درباره حملات به زيرساخت‌هاي اساسي اينترنت داده شده است، تجزيه و تحليلي نيز روي حملات صورت گرفته در سال 2013 و اهداف آن‌ها انجام شده است.
اين گزارش مي‌گويد نسبت به گذشته شرکت‌هاي حقوقي، صنعت و سازمان‌هاي بزرگ دولتي و خصوصي بيش‌تر مورد هدف حملات اينترنتي قرار مي‌گيرند. درواقع هکرها عوض نشده‌اند اما نيت‌ها و نوع فعاليت‌شان عوض شده و به دنبال درآمدهاي مالي و سودهاي کلان‌تر يا اهداف سياسي و کسب شهرت بين‌المللي هستند. بنابراين به سراغ کاربران نهايي نمي‌روند در عوض کشاورزي، معدن، صنايع دارويي و شيميايي، الکترونيک و مانند اين‌ها برايشان جذاب‌تر است.
سيسکو مي‌گويد روش‌های هکرها پيچيده‌تر شده است و از نرم‌افزارهاي مخرب توسعه‌يافته‌تري استفاده مي‌کنند. گاندرت در اين بخش مي‌گويد: «سازمان‌ها نياز به بررسي مدل امنيتي خود براي مقابله همه جانبه با حملات جديد ناشناخته دارند زیرا هکرها ديگر به تنهايي کار نمي‌کنند و با يکديگر متحد شده‌اند و دوست دارند حملات گسترده‌تري تدارک ببينند.»

فقدان مهارت
گزارش سيسکو حاوي نکات جالب ديگري هم هست. مثلاً در سال گذشته بيشترين آسيب‌پذيري در ميان PDF، جاوا و فلش به جاوا آن هم با درصد فاصله بسيار زيادي اختصاص دارد. همچنين در بخشي از اين گزارش آمده است: «در کل جهان نزديک به يک ميليون متخصص امنيت حرفه‌اي نياز داريم.» در حال حاضر، سازمان‌ها به شدت دنبال نيروهاي ماهر و فني براي نظارت و محافظت از شبکه‌هاي فناوري اطلاعات و مقابله با روش‌‌هاي پيچيده مجرمان اينترنتي هستند اما خيلي کم به اين امر دست مي‌يابند و به ناچار از نيروهاي معمولي براي مديريت شبکه و تشخيص نفوذ استفاده مي‌کنند که اين افراد نمي‌توانند به موقع واکنش نشان بدهند و رفتارهاي پيشگيرانه در سازمان بروز دهند. گاندرت با تأييد اين موضوع مي‌گويد: «بخشي از مشکل در اين حقيقت نهفته است که متخصصان امنيتي از دانش عميقي جهت شناخت جديدترين روش‌های نفوذ و حمله و تهديدات احتمالي در آينده برخوردار نيستند.»
وي ادامه مي‌دهد کمبود نيروي متخصص امنيتي و عدم موفقيت در استخدام آن‌ها باعث شده است بسياري از شرکت‌هاي خدمات امنيتي را برون‌سپاري کنند. بنابراين، سرويس‌دهنده‌گان و شرکت‌هاي فناوري‌محور بايد ابتدا به فکر تأمين امنيت براي زنجيره پشتيبان (Supply Chain) خود باشند و بعد به فکر ارائه خدمات امنيتي به مشتريان بيفتند.

منبع : ماهنامه شبکه

Print Friendly, PDF & Email

جوابی بنویسید

ایمیل شما نشر نخواهد شدخانه های ضروری نشانه گذاری شده است. *

*