حمله‌ای هدفمند

در پس پرده حملات لینکدین چه اتفاقی رخ داده است؟

اگر اخبار دنیای فناوری و امنیت را در چند وقت اخیر دنبال کرده باشید، به خوبی اطلاع دارید، طیف گسترده‌ای از حساب‌های کاربری در لینکدین و عمدتا حساب‌هایی که در صدر پر بازدیدترین حساب‌ها بوده‌اند هک شده‌ا‌ند. لینکدین و سایت‌های خبری به کاربران هشدار دادند، برای حفظ امنیت خود، در اولین زمان ممکن گذرواژه حساب لینکدین خود را تغییر دهند. اما اکنون با گذشت یک ماه از این اتفاق پرسش دیگری مطرح شده است. این حمله با چه هدفی صورت گرفته است؟

نزدیک به یک ماه پیش، اطلاعات شخصی بیش از 100 میلیون نفر از کاربران سایت لینکدین در فضای سایبری در معرض دید یا به عبارت دقیق‌تر در معرض فروش قرار گرفت. بسیاری از کارشناسان امنیتی اعلام داشته‌اند، دیر یا زود شاهد آن خواهیم بود که حجم گسترده‌ای از این اطلاعات سرقت شده در وب تاریک به فروش خواهد رسید به فاصله اندک زمانی کوتاه، یک بازار عرضه و تقاضا در دنیای تاریک وب کار خود را آغاز کرد.

مطلب پیشنهادی

SamSam و Maktub باج‌افزارهایی تکامل‌یافته و نوین

شروع عصر باج‌افزارها؛ هر سال خطرناک‌تر و پیچیده‌تر

اما سوال اصلی این است که آیا این یک حمله سازمان‌ یافته بوده است؟ کمی ساده‌انگارانه خواهد بود اگر تصور کنیم هکرها یا خریداران در نظر داشته باشند از این اطلاعات برای ورود به حساب‌های کاربری و تماشای اطلاعات درون آن‌ها استفاده کنند. این اطلاعات بدون شک در جهت گسترش بدافزارها مورد استفاده قرار خواهند گرفت. تیم واکنش سریع حوادث کامپیوتری آلمان در ارتباط با ایمیل‌های مخربی که در برگیرنده رسیدهای جعلی (FAKE) اسناد ورد هستند و درون آن‌ها گفت‌وگوهای شخصی و اطلاعات تجاری کاربران قرار گرفته است؛ هشدار داد.

این تیم اعلام کرده‌اند که نام، پست‌های سازمانی و نام‌های تجاری را درون این ایمیل‌های مشاهده کرده‌اند. اطلاعاتی که همگی با داده‌های افشا شده از لینکدین مطابقت داشته و متن درون آن‌ها نیز با اطلاعات پروفایل‌های کاربران لینکدین شباهت کاملی دارد. آن‌گونه که یوهانس اولریچ در پست خود در سایت ICS SANS، به آن اشاره داشته است، این ایمیل‌ها به زبان‌های مختلفی منتشر شده‌اند، اما در همه آن‌ها نام دریافت کننده، عنوان شغلی و نام شرکت در متن ایمیلی‌ها موجود بوده است. او در بخشی از صحبت‌های خود گفته است: «داده‌هایی که در گذشته و حتا با توابع برنامه‌نویسی خواندن آن‌ها به سختی امکان‌پذیر بود، بعد از هک شدن لینکدین اکنون به صورت عمومی در دسترس همه مردم قرار دارد. همین موضوع به هکرها این توانایی را داده است تا به سادگی هر چه تمام‌تر ایمیلی‌هایی که به ظاهر درست و معتبر هستند را ایجاد کرده و شانس خود را برای نفوذ به سازمان‌ها و پیاده‌سازی حملات مخرب افزایش دهند.»

در همین ارتباط شرکت امنیتی Fox IT گفته است: «ایمیل‌های مخربی را مشاهده کرده است که برای کاربران هلندی ارسال شده است. متن موجود در این ایمیل‌ها و محتوای فایل ورد ضمیمه شده، همگی به زبان هلندی نوشته شده‌اند. این ایمیل‌ها در تاریخ هفت ژوئن در حجم و اندازه گسترده‌ای برای کاربران هلندی ارسال شده است. ایمیل‌هایی که محتوای آن‌ها نام کوچک، نام خانوادگی، عنوان شغلی و نام شرکت دریافت کننده را در خود جای داده بودند. اطلاعاتی که همگی آن‌ها از صفحه متعلق به کاربرانی در لینکدین استخراج شده است. همچنین نام فایل ورد ضمیمه شده به این ایمیل‌های فیشینگ بر مبنای مشخصات دریافت کننده ایمیل آماده شده است.»

فرآیند حمله چگونه انجام می‌شود؟

هکرها در فایل ورد ضمیمه شده از ماکروهایی استفاده کرده‌اند تا محتوای فایل را مخدوش سازند. این‌کار با هدف فریب کاربر انجام شده تا کاربر را متقاعد سازند متن و محتوای فایل ورد را دستکاری کرده تا قابلیت خواندن اسناد را داشته باشد. اما این ماکروها در اصل زمینه‌ساز اتصال به سرورهایی هستند که برای واکشی فایل‌های باینری در حمله مورد استفاده قرار می‌گیرند. کارشناسان امنیتی آن‌ها را تروجان بانکی Zeus Panda نام‌گذاری کرده‌اند. جزییات مربوط به این بدافزار که به نام Panda Banker نیز نامیده می‌شود، در ماه آوریل توسط ProofPoint فاش شد. اما این شرکت امنیتی Fox It بود که اولین بار موفق به شناسایی کدهای مخربی درون Zeus شد. اما طراحان بدافزار Panda Banker از یک سامانه نام دامنه (DNS) برای محافظت از زیرساخت‌های خود و پیاده‌سازی یک لایه امن استفاده می‌کنند. این اهرم تقویتی اولین بار توسط Zeus مورد استفاده قرار گرفته بود. بعد از آن‌که کدهای اصلی این بدافزار چند سال پیش به روش عجیبی به صورت عمومی منتشر شد، شاهد ظهور بدافزارهای منشعب شده از Zeus بودیم.

با توجه به این‌که حادثه نفوذ به لینکدین و دسترسی به داده‌های سطح بالای کاربران یکی از مهم‌ترین اتفاقات و نفوذهای چند وقت اخیر بوده است، تقریبا یک ماهی است که این خبر همچنان جزء تیتر اصلی بسیاری از سایت‌های خبری بوده است. این اتفاق بدون شک زمینه‌ساز تولد مکانیزم‌های مخرب دیگری خواهد شد. با توجه به این حمله دور از انتظار نیست که مشاهده کنیم، کاربران سایت‌های توییتر، مای‌اسپیس، تامبلر و VK هدف بعدی هکرهای سازمان یافته باشند. به‌طوری که در آینده ایمیل‌های مخرب بر مبنای اطلاعات این گروه از کاربر ساخته شده و ارسال شوند.

==============================

شاید به این مقالات هم علاقمند باشید: