۱۳۹۷/۸/۱۵

محققین لابراتوار کسپرسکی به تازگی متوجه موج جدیدی از حملات هدفمند (جاسوسی سایبری) به سمت سازمان‌های دیپلماتیک آسیای مرکزی شده‌اند. ماجرا از این قرار است که در گیر و دارِ خبر ممنوعیت احتمالی سرویس پیام‌رسان تلگرام در این منطقه، تروجانی به نام "اُختاپوس" با لباس مبدل خود را به جای این مسنجر جا زده و توجه کاربران را به خود جلب کرده است. اُختاپوس، با یک بار نصب شدن می‌تواند به مهاجمین این قابلیت را بدهد تا از راه دور به کامپیوتر قربانیان دسترسی پیدا کنند.

تهدیدکنندگان همواره به دنبال روش‌های استخراج جدیدند و مدام برای به خطر انداختن حریم خصوصی کاربران و خدشه‌دار کردن داده‌های حساس در جهان، روش‌های خود را -به فراخور شرایط- تغییر می‌دهند. برای مثال در این مورد، تروجانِ اختاپوس از خبر بسته‌شدن احتمالی تلگرام سوءاستفاده کرده است. تهدیدکنندگان، اختاپوس را در آرشیوی تقلبی به عنوان نسخه‌ای جایگزین از مسنجرِ تلگرام -برای احزاب اپوزیسیون قزاق- توزیع کردند. این لانچر به نماد معروف یکی از احزاب سیاسی اپوزیسیون منطقه تغییر ظاهر داده و تروجان اختاپوس نیز در آن پنهان شده بود. به محض فعال شدن لانچر، این تروجان به اعمالگران تهدید که در پسِ بدافزار کشیک می‌کشیدند این فرصت را داد تا با داده‌ها، عملیات‌های مختلفی روی کامپیوترهای آلوده انجام دهند. این عملیات‌‌ها عبارت‌اند از (البته تنها به این موارد محدود نمی‌شود):

حذف، بلاک، دستکاری و اعمال تغییرات، کپی، دانلود

بنابراین، مهاجمین این توانایی را داشتند تا روی قربانیان خود جاسوسی کنند، داده‌های حساس‌ آن‌ها را به سرقت برده و بطور پنهانی به سیستم‌هاشان دسترسی پیدا کنند. این نقشه تا حدی به عملیات جاسوسی سایبریِ Zoopark شباهت دارد؛ عملیاتی که در آن بدافزاری که به صورت APT به‌کار رفته بود با هدف جاسوسیِ قربانیان از تلگرام تقلید می‌کرد.

محققین امنیتی از سال 2014 با استفاده از الگوریتم‌های کسپرسکی که این شباهت‌ها را شناسایی می‌کنند دریافتند که اختاپوس می‌تواند با DustSquad-عامل جاسوسیِ سایبری روس‌زبان که سابق بر این در کشورهای USSR  در آسیای مرکزی و همچنین افغانستان شناسایی شد- ارتباط داشته باشد. ظرف گذشت دو سال، محققین موفق به شناسایی چهار کمپین از آن‌ها -با بدافزار سفارشیِ اندرویدی و ویندوزی- شدند که هدفشان هم کاربران شخصی بود و هم سازمان‌های دیپلماتیک.

دنیس لگیزو، محقق امنیتی لابراتوار کسپرسکی چنین می‌گوید: «ما در سال 2018 عاملان تهدید، متعددی را شناسایی کردیم که هدفشان، سازمان‌های دیپلماتیک در آسیای مرکزی بوده است. DustSquad چندین سال است در این منطقه کار می‌کند و شاید بتوان آن را یکی از عاملان پشت پرده‌ی اختاپوس نیز قلمداد کرد. ظاهراً میزان علاقمندی اِعمال تهدیدات سایبری به این منطقه رو به افزایش است. ما قویاً توصیه می‌کنیم کاربران و سازمان‌های فعال در این منطقه سیستم‌های خود را تحت کنترل قرار دهند (و سازمان‌ها به کارمندان خود بسپارند که همین کار را انجام دهند)»

لابراتوار کسپرسکی به منظور کاهش خطر حملات پیچیده‌ی سایبری  اقدامات زیر را توصیه می‌کند:

سلامت و بهداشت دیجیتال را به کارمندان آموزش دهید و برایشان توضیح دهید چطور می‌شود برنامه ها و یا فایل‌هایی را که به طور بالقوه مخرب‌اند شناسایی و یا از آن‌ها جلوگیری کرد. برای مثال، کارمندان نباید هر اپ یا برنامه‌ای را که از منابع ناشناخته و نامعتبر می‌آیند دانلود و یا اجرا کنند.

از یک راهکار امنیت اند‌پوینتِ قوی با قابلیت Application Control که توانایی برنامه را در اجرا و یا دسترسی به منابع حیاتی سیستم محدود می‌کند استفاده کنید.

از مجموعه‌ رهکار ها و فناوری‌های ضدِّ حملاتِ هدفمند همچون Kaspersky Anti Targeted Attack Platform[1] و Kaspersky EDR استفاده کنید. این راهکارها می‌تواند به شما کمک کند تا فعالیت مخرب را در سراسر شبکه شناسایی نموده و به صورت موثری بر روی تهدید تحقیق انجام داده و با مسدود سازی روند تهدید پاسخ به رخداد داده باشید.

ü مطمئن شوید تیم امنیتی شما به هوش تهدیدیِ  (threat intelligence) دسترسی داشته باشد.

[1]بستر ضد حملات هدفمند کسپرسکی