حمله باج افزاری از طریق دوربین مداربسته

شرکت ایده ارتباط تراشه (نماینده رسمی محصولات کسپرسکی در ایران): احتمالا متخصصان امنیت سایبری تا سال ها از حمله باج افزاری آکیرا به عنوان یک نمونه آموزشی کلیدی یاد خواهند کرد. مهاجمان با هک کردن یک دوربین مداربسته، کامپیوترهای یک سازمان را رمزگذاری کردند. گرچه در نگاه اول ممکن است این موضوع غیرمنطقی به نظر برسد، اما روند اتفاقات از منطقی پیروی می کند که به راحتی می توان آن را در مورد سازمان ها و دستگاه های دیگر نیز اعمال کرد.

مهاجمان با بهره برداری از یک آسیب پذیری در یک برنامه عمومی وارد شبکه شدند و دستورات مخرب را روی یک میزبان آلوده اجرا کردند. بعد از نفوذ اولیه، نرم افزار محبوب دسترسی از راه دور AnyDesk را راه اندازی کرده و یک ¹(Remote Desktop Protocol) RDP نشست را با فایل سرور سازمان برقرار کردند. پس از دسترسی به سرور، آن ها سعی کردند باج افزار را اجرا کنند، اما سیستم ²(Endpoint Detection and Response) EDR شرکت آن را شناسایی و قرنطینه کرد. با این حال، این اقدام نتوانست جلوی مهاجمان را بگیرد.

مهاجمان که نتواستند باج افزار را روی سرورها و ایستگاه های کاری که توسط سیستم EDR محافظت می شدند، نصب کنند، شبکه محلی (LAN) را اسکن کرده و یک دوربین مداربسته پیدا کردند. با اینکه در گزارش تحقیق حادثه به طور مکرر به "وب کم" اشاره شده است، ما بر این باوریم که این دوربین، دوربین داخلی یک لپ تاپ یا گوشی هوشمند نبوده، بلکه یک دستگاه مستقل و شبکه ای برای نظارت تصویری بوده است.

به دلایل زیادی دوربین یک هدف ایده آل برای مهاجمان بود:

• به دلیل فریمور (Firmware) قدیمی و منسوخ شده، دستگاه دارای یک آسیب‌ پذیری امنیتی بود که مهاجمان می توانستند از راه دور آن را مورد سوء استفاده قرار دهند. این آسیب پذیری به مهاجمان اجازه می‌ داد که به پوسته (Shell) دستگاه دسترسی پیدا کرده و دستورات دلخواه خود را اجرا کنند.
• این دوربین از یک نسخه سبک سیستم ‌عامل لینوکس استفاده می کرد که توانایی اجرای برنامه ‌های باینری استاندارد (یعنی فایل ‌هایی که برای لینوکس طراحی شده ‌اند) را داشت. به طور تصادفی، ابزارهایی که گروه حمله آکیرا برای رمزگذاری داده‌ ها استفاده می‌ کرد، بر اساس سیستم‌ عامل لینوکس بودند و این هم‌ خوانی باعث شد که مهاجمان بتوانند از آن استفاده کنند.
• این دستگاه تخصصی نه تنها فاقد عامل EDR بود، بلکه احتمالا توانایی پشتیبانی از هیچ سیستم امنیتی دیگری را برای شناسایی فعالیت های مخرب نداشت.

در نهایت مهاجمان توانستند بدافزار خود را روی دوربین نصب کنند و از این دستگاه به عنوان نقطه شروع برای رمزگذاری سرورهای سازمان استفاده کردند.

حادثه هک دوربین مداربسته به خوبی نشان می دهد که حملات سایبری هدفمند چطور عمل می‌ کنند و چه روش هایی برای مقابله با آن ها موثرند. در اینجا یک رتبه بندی از راهکارهای پیشگیرانه، از ساده ترین تا پیچیده‌ ترین آمده است:

• دسترسی به دستگاه های تخصصی شبکه و سطح دسترسی آن ها را محدود کنید. یکی از عوامل اصلی در این حمله، دسترسی بیش از حد دوربین مداربسته به فایل سرورها بود. این نوع دستگاه ها باید در یک زیرشبکه جداگانه قرار داشته باشند. اگر چنین چیزی امکان پذیر نیست، باید حداقل سطح دسترسی ممکن را برای ارتباط با دیگر سیستم ها داشته باشند. مثلا دسترسی نوشتن فقط باید به یک پوشه مشخص روی یک سرور خاص داده شود که محل ذخیره ویدیوهاست. همچنین دسترسی به دوربین و آن پوشه فقط باید برای کامپیوترهایی باشد که توسط تیم امنیتی یا افراد مجاز استفاده می شوند. گرچه اعمال این محدودیت ها روی برخی دستگاه های تخصصی دیگر (مثل پرینترها) ممکن است دشوارتر باشد، اما در مورد دوربین ها کاملا قابل اجراست.
• سرویس های غیرضروری و اکانت های پیش فرض را در دستگاه های هوشمند غیرفعال کنید و رمزهای عبور پیش فرض را تغییر دهید. همچنین، برای مدیریت امن و آسان رمزهای عبور، استفاده از کسپرسکی پسورد منیجر (Kaspersky Password Manager) را پیشنهاد می کنیم که امکان ذخیره و مدیریت رمزهای عبور به صورت ایمن را فراهم می آورد.
• از یک راهکار EDR در همه سرورها، ایستگاه های کاری و سایر دستگاه های سازگار استفاده کنید. راهکار انتخاب شده باید قابلیت شناسایی فعالیت های غیرعادی در سرورها را داشته باشد. برای نمونه، اگر سیستمی از راه دور و از طریق پروتکل SMB اقدام به رمزگذاری فایل های موجود روی سرور کند (اقدامی که معمولا توسط باج افزارها انجام می شود) سامانه باید بتواند این فعالیت مشکوک را شناسایی کرده و از ادامه آن جلوگیری کند.
• برنامه های مدیریت آسیب پذیری و به روزرسانی را به گونه ای گسترش دهید تا همه دستگاه های هوشمند و نرم افزارهای سرور را شامل شود. این فرآیند باید با تهیه یک فهرست دقیق از این نوع دستگاه ها آغاز شود.
• در مواردی که امکان نصب مستقیم راهکارهای امنیتی مانند EDR روی برخی دستگاه‌ های تخصصی مانند روترها، فایروال‌ ها، پرینترها یا دوربین های مداربسته وجود ندارد، باید از روش‌ های نظارت غیرمستقیم استفاده کرد. یکی از این روش‌ ها، پیاده سازی نظارت از طریق جمع‌ آوری و ارسال داده‌ های تله‌ متری (Telemetry) به یک سامانه SIEM است. این داده ها شامل اطلاعات مربوط به عملکرد، خطاها و فعالیت‌ های غیرعادی دستگاه ها هستند که به صورت لحظه‌ ای و خودکار ارسال می شوند. سیستم SIEM با تحلیل این داده ها می‌ تواند تهدیدات امنیتی احتمالی را شناسایی کرده و از بروز حوادث جدی جلوگیری کند.
• استفاده از راهکارهای XDR (تشخیص و پاسخ گسترده) به عنوان یک گام پیشرفته در ارتقای امنیت سازمان توصیه می شود. این نوع راهکارها با ترکیب نظارت بر شبکه و میزبان، بهره گیری از فناوری های شناسایی ناهنجاری ها و ارائه ابزارهای پاسخ دهی به حوادث به صورت دستی و خودکار، امکان شناسایی و واکنش سریع تر و دقیق تر به تهدیدات امنیتی را فراهم می کنند. به کارگیری (Extended Detection and Response) XDR می تواند دید جامع تری نسبت به وضعیت امنیتی سامانه ها ایجاد کرده و در کاهش ریسک های ناشی از حملات سایبری نقش موثری ایفا کند.

با توجه به روند رو به رشد حملات پیچیده و هدفمند، به ‌ویژه حملاتی که از طریق دستگاه ‌های متصل به شبکه مانند دوربین‌ های مداربسته انجام می‌ شوند، استفاده از یک راهکار جامع و یکپارچه امنیتی امری ضروری است. در این راستا، کسپرسکی XDR به عنوان راهکار پیشرفته "تشخیص و پاسخ گسترده"، بهترین انتخاب برای سازمان هایی است که به دنبال پوشش کامل و هماهنگ بین نقاط پایانی، شبکه و سرویس ‌های ابری هستند. Kaspersky XDR با ترکیب قابلیت ‌های زیر، یک رویکرد چند لایه و هوشمند برای مقابله با تهدیدات سایبری فراهم می ‌کند:

• نظارت مداوم بر رفتار نقاط پایانی، سرورها، دستگاه ‌های شبکه و سرویس های ابری
• شناسایی ناهنجاری ‌ها و حملات مخفی‌ شده مانند رمزگذاری از راه دور
• امکان پاسخ‌ گویی سریع، به صورت دستی و خودکار
• تجزیه و تحلیل متمرکز رویدادها از طریق هماهنگی با SIEM

برای سازمان ‌هایی که به دنبال راهکارهای اولیه برای شناسایی و پاسخ به تهدیدات در سطح دستگاه ‌های نهایی هستند، Kaspersky EDR یک انتخاب مناسب است. این راهکار، قابلیت ‌های زیر را ارائه می ‌دهد:

• نظارت بر رفتار نقاط پایانی مانند کامپیوترها و سرورها برای شناسایی حملات مخفی‌ شده
• واکنش سریع به تهدیدات با قابلیت پاسخ‌ دهی دستی و خودکار
• تجزیه و تحلیل رویدادها و تهیه گزارش‌ های دقیق از تهدیدات شناسایی‌ شده
• امکان ارتقا به XDR برای پوشش گسترده تر در برابر تهدیدات پیچیده و هدفمند

برای سازمان ‌هایی که هنوز در مراحل ابتدایی پیاده ‌سازی راهکارهای پیشرفته هستند Kaspersky Endpoint Security for Business – Advanced یک انتخاب ایده ‌آل است. این راهکار با امکانات پیشرفته، قابلیت ‌های زیر را ارائه می ‌دهد:

• حفاظت در برابر تهدیدات پیچیده، از جمله ویروس‌ ها، بدافزارها و حملات هدفمند
• شناسایی و مقابله با تهدیدات در سطح دستگاه‌ های نهایی با قابلیت پاسخ‌ دهی خودکار و دستی
• مدیریت متمرکز و نظارت بر تمامی دستگاه‌ ها و سیستم‌ ها در شبکه
• پشتیبانی از ارتقا به XDR جهت نظارت جامع بر نقاط پایانی، شبکه و سرویس ‌های ابری

تمامی این راهکارها با گارانتی معتبر و پشتیبانی فنی رایگان از سوی شرکت ایده ارتباط تراشه، نماینده رسمی کسپرسکی در ایران، ارائه می‌ شوند. برای مشاوره و استعلام قیمت می توانید با کارشناسان ما در ارتباط باشید.

_{1- نشست RDP پروتکلی است که به کاربران این امکان را می دهد تا به طور امن به دسکتاپ یک سیستم ویندوز از راه دور دسترسی پیدا کرده و آن را مدیریت کنند. این پروتکل معمولا برای مدیریت سرورها و سیستم های از راه دور استفاده می شود.
2- EDR یک راهکار امنیتی است که برای نظارت، شناسایی و پاسخ به تهدیدات امنیتی در سطح دستگاه های نهایی (مانند کامپیوترها، سرورها و موبایل ها) طراحی شده است. این سیستم ها به طور مداوم رفتار دستگاه ها را بررسی کرده و در صورت شناسایی فعالیت های مشکوک یا مخرب، اقدام به مقابله و گزارش دهی می کنند.}