برزیل در معرض حملات گسترده تحت روتر قرار گرفته است

برای حدود یک سال، کاربران برزیلی با نوع جدیدی از حملات روتر مورد هدف قرار گرفته اند که در هیچ جای دنیا دیده نشده است.

حملات تقریبا نامرئی برای کاربران نهایی است و می تواند عواقب فاجعه بار داشته باشد، که توانایی منجر به تلفات مستقیم مالی برای کاربران هک شده است.

آنچه که در حال حاضر در روترها در برزیل اتفاق می افتد، باید یک نشان هشدار دهنده برای کاربران و ISP های سراسر جهان باشد که باید قبل از حملات مشاهده شده در کشور آمریکای جنوبی به آنها، اقدامات احتیاطی نیز لازم باشد.

ردیاب DNS-تغییرات ATTACKS

حملات هدف قرار دادن روترها در برزیل در تابستان گذشته آغاز شد و برای اولین بار توسط شرکت امنیتی Radware از امنیت سایبری مشاهده شد و یک ماه بعد از آن توسط محققان امنیتی Netlab، یک واحد شکار شبکه ای از Qihoo 360 غول پیکر امنیتی سایبری چینی.

در آن زمان، دو شرکت توضیح دادند که چگونه یک گروه از مجرمان اینترنتی بیش از 100،000 روتر خانگی در برزیل را آلوده کرده و تنظیمات DNS خود را تغییر داده اند.

تغییرات انجام شده به این روترها هر زمان که آنها سعی در دسترسی به سایت های بانکداری الکترونیک برای برخی از بانک های برزیل داشتند، کاربران آلوده به وب سایت های کلون مخرب را هدایت می کردند.

چندین ماه بعد، در آوریل سال 2019، حملات مشابهی توسط شرکت امنیتی Bad Pakets که یکی دیگر از موج های حملات را مشخص کرده بود، دیده می شد، اما این بار هدف اصلی آن در برابر روترهای D-Link بود، همچنین بر روی ISP های برزیلی میزبانی شد.

بر اساس تحقیقات محققان در Ixia، این بار دیگر، علاوه بر ربودن کاربران بازدید از بانکهای برزیل، هکرها نیز کاربران را به صفحات فیشینگ برای Netflix، Google و PayPal هدایت می کردند تا مدارک خود را جمع آوری کنند.

اما بر اساس گزارش منتشر شده توسط Avast در این هفته، این حملات متوقف نشده است. در واقع، به گفته شرکت، در نیمه اول سال 2019، هکرها آلوده و تنظیمات DNS بیش از 180،000 روتر برزیل را تغییر داده اند.

علاوه بر این، پیچیدگی حملات افزایش یافته است و تعداد بازیگران درگیر در حملات نیز افزایش یافته است.

چطوری روتر هک می شود

به گفته محققان Avast، دیوید یورسا و Alexej Savcin، اکثر کاربران برزیلی در حال بازدید از سایت های ورزشی و فیلم های جریان یافته یا پورتال های بزرگسالان، روترهای خانگی خود را هک می کنند.

در این سایت ها، تبلیغات مخرب (malvertising)، کد خاصی را در مرورگرهای کاربران برای جستجوی و شناسایی آدرس IP روتر خانگی، مدل روتر، اجرا می کنند. هنگامی که آنها IP و مدل روتر را شناسایی می کنند، تبلیغات مخرب پس از استفاده از لیست نام کاربری و رمزهای عبور پیش فرض برای ورود به دستگاه های کاربران، بدون دانش آنها.

حملات به مدتی طول می کشد، اما اکثر کاربران چیزی را متوجه نمی شوند زیرا معمولا اشتباه می کنند جریان های ویدیویی را در وبسایتهایی که فقط دسترسی داشته اند تماشا می کنند.

اگر حملات موفقیت آمیز باشد، کد مخرب اضافی از طریق تبلیغات مخرب از طریق تنظیمات پیش فرض DNS در روترهای قربانیان تغییر می یابد و جایگزین سرور DNS روتر های آی پی آدرس از ISP های بالادستی با آدرس های آی پی سرورهای DNS مدیریت شده توسط هکرها دریافت می کنند.

دفعه بعد که گوشی های هوشمند یا رایانه های کاربران به روتر متصل می شوند، آدرس IP های سرور DNS مخرب را دریافت می کنند و به این ترتیب، تمام درخواست های DNS را از طریق سرور های مهاجم طرد می کند و به آنها اجازه می دهد تا از ترافیک به کلون های مخرب ربوده و تغییر مسیر دهند.

GHOSTDNS، NAVIDADE، و SONARDNS

هکرها در طی تحقیقات Avast از دو کیت ویژه برای این حملات استفاده کرده اند. اولین مورد GhostDNS نامیده می شود و یکی از آن هاست که از تابستان گذشته اولین بار دیده شده است و بت نت در سال گذشته توسط Radware و Netlab شرح داده شده است.

یک نوع از GhostDNS، نام ناوادید نیز در ماه فوریه ظاهر شد.

در طی Avast، Novidade تلاش کرد که روترهای کاربران Avast بیش از 2.6 میلیون بار در ماه فوریه را آلوده کند و از طریق سه کمپین گسترش یافت. "

علاوه بر این، از اواسط ماه آوریل، یک بازیکن دیگر وارد بازار شد. Avast این بوتنت جدید را SonarDNS می نامد زیرا مهاجم به نظر می رسد که چارچوب تست نفوذ نام Sonar.js را به عنوان ستون فقرات برای زیرساخت آنها تعیین کرده است.

و Sonar.js برای حملات روتر مناسب است. این کتابخانه جاوا اسکریپت به طور معمول توسط آزمایشکنندگان نفوذ برای شناسایی و راه اندازی سوءاستفاده ها بر علیه میزبان های شبکه داخلی استفاده می شود و برای تعیین یک نوع روتر و اجرای سوء استفاده بر روی دستگاه هدف تنها با چند خط کد، ایده آل است.

Avast می گوید SonarDNS را در سه کمپین مختلف طی سه ماه گذشته مشاهده کرده است و به نظر می رسد که شیوه عملکرد آن شباهت به چگونگی استفاده از GhostDNS را دارد.

جایگزینی AD و CRYPTOJACKING

اما حملات انفجار DNS با هدف روترها در برزیل هنوز ادامه نیافته است و همچنین تکامل یافته است. علاوه بر ربودن ترافیک و هدایت کاربران به صفحات فیشینگ، گروه های هکر در پشت این حملات نیز ترفندهای بیشتری را به زرادخانه خود اضافه کرده اند.

اول این است که از ترافیک کاربر ربوده و جایگزین تبلیغات مشروع با تبلیغاتی می شود که برای مهاجمان سود آور است.

این تاکتیک جدید نیست. در سال 2016، محققان Proofpoint یک کیت سوءاستفاده را کشف کردند که آنها DNSChanger EK را نام بردند که همین کار را انجام دادند - جایگزین تبلیغات مشروع با آنهایی که مخرب هستند - و بیشتر احتمال دارد که الگویی برای اپراتورهای بت نت باشد که برزیل را هدف قرار می دهند.

دوم، اپراتورهای GhostDNS، Navidade و SonarDNS نیز اسکریپت رمزگذاری و رمزگذاری مبتنی بر مرورگر را مستقر کرده اند. این آخرین تاکتیک در سال گذشته در برزیل دیده شده است، در حالی که گروه دیگری بیش از 200،000 روتر Microtik را ربوده و معدنچیان cryptocurrency در مرورگر را به ترافیک وب کاربران اضافه کرده است.

خطر گسترش به دیگر کشورها

اما با وجود همه اینها، حملات تغییر DNS، آنهایی هستند که برای کاربران نهایی خطرناک هستند. این به این دلیل است که اپراتورهای بت نت اعتبار کاربران فیشینگ، ربودن پروفایل های آنلاین یا سرقت پول از حساب های بانکی کاربران هستند.

با وجود اینکه حملات به طور ناگهانی، سخت شناسایی و بسیار سودآور است، هنوز هم رمز و راز این است که آنها به سایر کشورها گسترش نیافته اند.

روتر هکینگ ارزان و آسان است. با این حال، اکثر بوتنت های IoT امروز این دستگاه ها را برای انجام حملات DDoS تحریم می کنند و یا به عنوان پروکسی ها برای ترافیک بد، حملات غیرقابل حمل یا حملات اعتبارنامه عمل می کنند. استفاده از روترها برای فیشینگ راهی سودآور خواهد بود.

کاربرانی که می خواهند در مقابل هر بوتت IoT که مسیریاب را برای تغییر تنظیمات DNS هدف قرار می دهد، به چندین گزینه دسترسی داشته باشند:

از کلمه عبور مدیریت روتر پیچیده استفاده کنید

روترها را به روز نگهدارید

از تنظیمات DNS سفارشی در دستگاه های خود استفاده کنید، که مانع از درخواست سیستم تنظیمات DNS از مسیریاب محلی می شود

درس های مهم از حمله سایبری به Triton

حمله تریتون مخرب بسیار دور از اولین بار است که هکرها تلاش کرده اند شبکه های یک شرکت صنعتی را هدف قرار دهند، اما این اولین بار است که بدافزار طراحی شده برای حمله به سیستم های ایمنی در وحشی دیده می شود.

این بدافزار برای کنترل کنترلرهای سیستم ایمنی Triconex (SIS) - سیستم های خاموش اورژانسی (Schneider Electric) طراحی شده بود و در شبکه ای از یک اپراتور زیرساختی مهم در خاورمیانه کشف شد.

مبارزات بدافزار بسیار خیره کننده بود و تنها کشف شد، زیرا مهاجمان اشتباه کردند و سیستم ایمنی را خاموش کردند و کارخانه را متوقف کردند. نتیجه می تواند بسیار بدتر باشد.

"ما می توانیم حدس بزنیم که مأموریت آنها برخی از پیامدهای فیزیکی است. آنها می خواستند تولید را در این مرکز متوقف کنند، کار را متوقف کنند یا به طور بالقوه باعث آسیب فیزیکی شوند." Dan Caban، مدیر مسئول وقایع حادثه در Mandiegant FireEye می گوید.

کابن در مصاحبه ای در Triton در کنفرانس CYBEREK 19 مرکز ملی سایبر، مدعی شد که بدافزار کشف شده است، و جهان را به خطرناکترین حملات سایبری که می تواند سیستم های فیزیکی را تغییر دهد یا آسیب برساند، آگاه سازد.

او می گوید: "ما خیلی خوش شانس بودیم که این حادثه اتفاق افتاد، این باعث افتخار مردم برای شروع به فکر کردن درباره این پیامد فیزیکی می شود که ممکن است دارای ریشه های امنیت سایبری باشد - این همان چیزی است که این تحقیقات آغاز شده و اکنون به نور عمومی رسیده است."

پس از نقطه اولیه مصالحه، بدافزار توانست از تکنیک هایی مانند برداشت اعتبارات استفاده کند و از طریق شبکه به سیستم کنترل کننده SIS منتقل شود.

با این حال، تریتون تنها می توانست به هدفش دست یابد زیرا نگرش های نادرست نسبت به امنیت در کل تسهیلات: کنترل کننده های ایمنی باید از شبکه قطع شوند، اما به سیستم های عملیاتی اینترنتی متصل شده بودند، که اجازه دسترسی به مهاجمان را می داد.

خرابی های دیگر - مانند یک کلید که در داخل دستگاه قرار می گیرد - دسترسی مهاجمان را فراهم می کند که هرگز نباید بدون جسمی در داخل این مرکز به دست آورد.

در حالی که بدافزار دارای پتانسیل بسیار آسیب رسان به دریچه ها، سوئیچ ها و سنسورها در یک محیط صنعتی می باشد، تهدید می تواند با اجرای برخی از تکنیک های ساده امنیت سایبری که باعث می شود حرکت بین سیستم ها تقریبا غیر ممکن باشد.

"جداسازی شبکه می تواند به شما در اجتناب از این اتفاق بپردازد. شما باید منطقی آنها را جدا کنید، بلکه بر اساس حساسیت و رعایت استانداردهای بهترین صنعت و استانداردهای صنعت،" کابان توضیح می دهد. "شما همچنین باید دروازه های راهنمایی را در نظر بگیرید، بنابراین ممکن است راه های خاصی را حرکت ندهید."

سازمانها همچنین می توانند قدمی به سمت این امر را با اطمینان از مدیریت مناسب در اطراف امنیت سایبری و همچنین اطمینان از اطمینان از اطمینان در مورد سیستم ها برای کارکنان همه سطوح برای درک آنچه در حال وقوع هستند، انجام دهند.

ویکتور لاوف، سرپرست کسب و کار بریتانیا در Schneider Electric، می گوید: "در یک زمینه ی سایبر، ضروری است که شما دارای حکومت باشید؛ رهبری از سطح بالا. بدون حکومت مناسب در سازمان شما، احتمالا برای ناکامی تنظیم کنید."

"برای امنیت سایبری، باید ایمنی فیزیکی را در نظر داشته باشید، زیرا سیستم های سینتیکی را در نظر بگیرید و در کنار آن، ایمنی فیزیکی باید همیشه امنیت سایبری را در نظر بگیرد، به طوری که آنها طرف مقابل یک سکه هستند - بدون امنیت ما هیچ ایمنی، "او می گوید.

یک بار زمانی بود که امنیت سیستم های سایبر و امنیت سیستم های فیزیکی ممکن بود به طور جداگانه در نظر گرفته شود، اما هیچ وقت بیشتر نیست: در بسیاری از موارد، آنها در حال حاضر یکسان هستند.

دبورا پترسون، معاون مدیر کل امور بین الملل، گفت: "این ترکیب سایبر و امنیت فیزیکی است - چیزهایی که می توانید در اطراف بولارد قرار دهید. شما می توانید در این مورد از آنها استفاده کنید. زیرساخت های حیاتی ملی در NCSC انگلستان.

در این حادثه، متوجه شدم که کلیدی که در دستگاه باقی مانده بود، راه زیادی برای جلوگیری از دسترسی هکرها به فعالیت های مخرب داشت.

او گفت، "افراد می دانند که سیستم های ایمنی آنها چگونه است و چگونه ارتباط برقرار شده اند - این واقعا پایه است"، و پیشنهاد می کند که افرادی که این سیستم ها را اجرا می کنند، باید به طور منظم بررسی کنند که چگونه شبکه ها کار می کنند و باید به روز رسانی ها در مورد سیستم های تاریخی نظیر تاسیسات صنعتی در حال اجرا بود

"یکی از این نمونه 15 ساله بود - آخرین دفعه که شما در مورد مدیریت ریسک در اطراف آن نگاه کردید؟ چرت زدن در افراد امنیتی یک یا دو سال طول می کشد با CISOs. هنگامی که آخرین دفعه بود که شما خراب شدید و از آن استفاده کردید اشاره به رفتن و یک نگاه؟ " پترسون پرسید:

تریتون زیرساخت های حیاتی در خاورمیانه را هدف قرار داده است، اما حوادثی وجود دارد که می تواند به سازمان ها در هر بخش اعمال شود، بدون توجه به جایی که در جهان وجود دارد.

دکتر اینن می گوید: "اگر شما این را از سیستم های ایمنی بیرون آورید، می توانید تقریبا همه آنها را به هر سیستم سازمانی تقسیم کنید. آنها همان نوع کنترل هایی هستند که ما فقط از هر کسب و کار برای کسب امنیت در اینترنت استفاده می کنیم." لوی، مدیر فنی در NCSC.

گروه هک کردن پشت تریتون - که با روسیه مرتبط است - باقی مانده است، با محققان در FireEye اخیرا افشای یک کمپین جدید برای هدف قرار دادن یک زیرساخت های بحرانی بحرانی.

با این حال، با استفاده از تاکتیک های گروهی در حال حاضر در چشم عموم، امکان تشخیص و محافظت در برابر فعالیت های مخرب وجود دارد.

Caban FireEye گفت: "همه این حیاط ها، تکنیک های جنبش جانبی و برداشت اعتبار: آنها می توانند تشخیص داده شود، ممکن است، ما مجبور نیستیم امید را از دست بدهیم."

"آنها می توانند در فناوری اطلاعات شناسایی شوند، بین IT و OT DMZ شناسایی می شوند - اینها مکان های آسان برای شروع به دنبال کردن هستند."

روشی جدید برای شناسایی malware های مخفی در سخت افزار

نرم افزار همیشه نمی تواند کدهای مخرب را در سیستم عامل از اجزای سخت افزاری پنهان کند. تشخیص هک های مبتنی بر سخت افزار فوق العاده دشوار است، اما پیشرفت در جهت جلوگیری از اثربخشی چنین حملاتی صورت می گیرد.

در عین حال که نقصهای CPU و Spectre و Meltdown CPU ها برجسته شده است، این اشکالات فقط سطح هکرها و مهاجمان را به مدت چندین سال نگاه دارند. پنهان کردن نرم افزارهای مخرب داخل سیستم عامل در درایوهای سخت، مادربرد، کارت گرافیک و دیگر اجزای رایج می تواند نرمافزار سطح OS را برای غیرفعال بودن آن غیر ممکن کند.

با وجود اینکه توسعه دهندگان بدافزار حتی از طریق وارد کردن کد مخرب به سیستم عامل جاسازی شده، حتی محققان دانشگاه ایالتی کارولینای شمالی و دانشگاه تگزاس در آستین، روش های قابل اعتماد برای شناسایی چنین نفوذ را توسعه داده اند. با مشخص کردن توان مصرفی سیستم و هر یک از اجزای آن، نوع بدافزار موجود میتواند تعیین شود. تحقیقات توسط لاکهید مارتین و بنیاد ملی علوم حمایت شد.

"ماهیت حملات میکرو معماری آنها را بسیار دشوار برای تشخیص - اما ما پیدا کرده اند راه را برای شناسایی آنها"

رایانه های رومیزی برنامه اصلی این نوآوری نیستند. اینترنت چیزهای دستگاه و سیستم های جاسازی شده صنعتی موارد مهم استفاده برای نگاه کردن است. بسیاری از این دستگاه ها دارای سیستم عامل نیستند و تنها کد دستگاه را اجرا می کنند که در بخش کوچکی از حافظه غیر قابل ذخیره نگهداری می شود. نرم افزار آنتی ویروس حتی در اکثر سیستم های جاسازی شده در دنیای واقعی حتی عملی نیست.

قدرت نظارت بر استفاده از خود یک مفهوم جدید نیست، بلکه ایده یک راه حل plug-and-play که قادر به کار با انواع سیستم های مختلف است جذاب است. تنها نکته اینجا این است که نرم افزارهای مخرب بسیار دقیق می توانند تلاش کنند که مصرف برق طبیعی را تکرار کنند. در این موارد، زمانی وجود دارد که ابزار محقق قادر به تشخیص حضور نرم افزارهای مخرب نیست. با این حال، سرقت اطلاعات توسط نرم افزارهای مخرب به میزان 86 تا 97 درصد کاهش پیدا کرد، اما هنوز هم به هکر ها که در حال پوشش دادن آهنگ های خود هستند، به شدت آسیب می رسانند.

لپ‌تاپ‌های جدید اچ پی از UI جدیدی برای شناسایی Malware استفاده می‌کند

امروز HP اعلام کرده است که پنج لایحه تجاری لپ تاپ خود را با یک راه حل امنیتی به نام Sure Sense مجهز کرده است. ارائه دهنده جدید امنیتی Endpoint HP با استفاده از هوش مصنوعی (AI) برای تشخیص نرم افزارهای مخرب، از جمله انواع قبلا ناشناخته.

مطمئنا احساس می شود به عنوان بدافزار همچنان به عنوان یک تهدید رو به رشد برای کسب و کار، با 350،000 نوع جدید کشف شده است روزانه، با توجه به تحقیقات 2017 توسط G Data Security که HP در اطلاعیه خود اشاره کرد. HP Sure Sense باید با استفاده از یادگیری عمیق برای جلوگیری و تشخیص تهدیدات صفر روز و فعالیت های مرتبط با ransomware در معرض خطر قرار گیرد.

چگونه یادگیری عمیق AI مبارزه با نرم افزارهای مخرب است؟

HP ادعا کرد که راه حل یادگیری عمیق تر از استفاده از آنتی ویروس مرسوم و یا یادگیری ماشین بدون استفاده از آموزش عمیق است. نرم افزار آنتی ویروس مبتنی بر امضا فایل های جدید را برای فرم های شناخته شده بدافزار بررسی می کند. با این حال، این روش زمان فشرده است و نیاز به به روز رسانی های مکرر دارد. و نمیتواند اشکال جدیدی از نرم افزارهای مخرب را شناسایی کند.

یادگیری ماشین، یک نوع AI، می تواند ویژگی های مخرب رایج را شناسایی کند. بنابراین می تواند برخی از انواع جدید نرم افزارهای مخرب را شناسایی کند اما هنوز هم نیاز به به روز رسانی های مکرر و مهندسی امکانات وقت گیر دارد.

با این حال، با افزودن یادگیری عمیق، Sure Sense AI از شبکه های عصبی چند سطحی استفاده می کند که در صدها میلیون از نمونه های مخرب به شکل داده های خام آموزش دیده است تا بتواند از نرم افزارهای مخرب، از جمله انواع حملاتی که کشف نشده اند، هنوز. در صورتی که در حین اسکن کردن فایل ها چیزی است که به احتمال زیاد بدافزار را پیدا می کند، Sure Sense آن را قرنطینه می کند.

با توجه به HP، حس حساس در میلی ثانیه کار می کند، نیازمند چند به روز رسانی است و تاثیر کمتری بر عملکرد دارد.

HP در حال بارگیری دقیق در پنج رایانه آینده است: EliteBook 830 G6، EliteBook 840 G6 و EliteBook x360 G6 و دو ایستگاه کاری، ZBook 14u و ZBook 15u.

جدید HP EliteBook PCs

HP EliteBook 840 G6

HP EliteBook 840 G6

HP با اضافه کردن حسن نیت به خط EliteBook خود، این سری را به عنوان راه حل های شرکت های امنیتی مورد نیاز قرار می دهد. لپ تاپ ها نیز با HP Sure Click بارگیری می شوند که از تروجان های مبتنی بر وب، Windows Defender و HP Endpoint Security Controller جلوگیری می کند.

پورت های جدید ارائه صفحه نمایش تا 1،000 nits و تا اتصال 4G LTE3. HP همچنین ادعا می کند که محدوده Wi-Fi دو برابر در HP EliteBook830 G6 در مقایسه با سلف خود است.

HP EliteBook x360 G6

HP EliteBook x360 G6

انتظار میرود HP EliteBook 830 x360 G6 در ماه ژوئن آغاز شود، در حالی که HP EliteBook 830 G6 و HP EliteBook 840 G6 در ماه جاری باید در دسترس باشند.

HP ZBook 14u و ZBook 15u Workstations

HP ZBook 15u

HP ZBook 15u

HP ادعا می کند که ZBook 14u خواهد بود که باریکترین ایستگاه کاری سیار در جهان است - نه کششی که بیشتر لپ تاپ های کارگاه با 15 اینچ شروع می شوند. با افزایش گرافیک AMD، می تواند کارهای عظیم کسب و کار را انجام دهد، مانند کار با مدل های 3D CAD، رندر ویدئو و دسترسی از راه دور برای رندر کردن برنامه ها. این برای نرم افزار حرفه ای خلاق مانند Adobe Photoshop، Illustrator، AutoCAD و SolidWorks تست شده است.

در عین حال، 15u خواهد شد ضخیم ترین و سبک ترین HP ایستگاه کاری 15 اینچی تلفن همراه را نشان می دهد. این نیز برای نرم افزار خلاق مورد آزمایش قرار گرفته است و برای دسترسی و همکاری از راه دور مورد استفاده قرار گرفته است.

هر دو ZBooks در تاریخ 27 مه در دسترس خواهند بود.