تهدیدهای پیشرفته و مستمر یا APT (Advanced Persistent Threats)، یا همان روشهای پیشرفته و مخفیانه حملات سایبری که برای عملی نمودنش نیاز به ابزارها و هکرهای حرفه‌ای دارند، این روزها از داغ‌ترین موضوعات برای بررسی از سوی کارشناسان و متخصصین حوزه امنیت اطلاعات است. اگرچه شاید این حملات تاکنون برای کاربران عادی جذابیتی نداشته است. بهرحال شرکت کسپرسکی* در گزارشی به شرح سناریوی پیشرفته و حرفه ای حملات Carbanak پرداخته که در ادامه ضمن کسب اطلاعات بیشتر راهکارهای این شرکت را نیز برای مشتریان خود و سایر ارگان‌ها ملاحظه می‌نمایید.

شاید تاکنون چنین حملاتی برای عام کاربران همانند داستانها یا فیلمهای جاسوسی بوده چراکه هدف اصلی این حملات ارگان‌های دولتی و سازمان‌های بزرگ کشورهای گوناگون بوده‌اند که به دلیل تأثیر و بازخورد احتمالی اخبار مربوطه بصورت محرمانه باقی مانده است. اما اخیراً با رشد روزافزون حملات سایبری پیشرفته‌ی APT و خسارات جالب توجه آنها شاید توانسته باشند نظر این عده از کاربران را نیز به خود جلب نموده باشند.

بهرحال، اوضاع کمی تغییر کرده و اهداف این دسته از حملات به بخش بازرگانی و اگر بخواهیم دقیق‌تر بگوییم به بخش بانکداری گرایش پیدا کرده و بررسی آن نیز کار دشواری نیست. خیلی خلاصه میتوان نتیجه خسارات وارده از سوی حملات پیشرفته سایبری (APT) به مؤسسات مالی چند کشور را گزارش داد که مجموع آن به عدد 1 میلیارد دلار رسیده است.

سناریوی حملات Carbanak

ابزار مورد استفاده ی هکرها برای نفوذ به شبکه های اینترانت این بانک ها، ایمیل های فیشینگ بوده است که کاربران که اغلب کارمندان بانک بوده اند را ترغیب به بازکردن ایمیل، و کلیک روی فایل ضمیمه یا لینک های موجود می‌نموده و بلافاصله سیستم های قربانی به یک بدافزار آلوده می‌شده است. سپس یک Backdoor (درب پشتی) روی سیستم آلوده با استفاده از کد مخرب Carberp نصب می شده و به همین دلیل است که این دسته از حملات Carbanak نام گرفته است.

با استفاده از روش backdoor و کد مخرب، سودجویان کنترل سیستم آلوده را به دست گرفته و حملات خود را آغاز نمودند. بدین ترتیب از طریق شبکه اینترانت سایر سیستم های بانک را نیز آلوده نموده تا به سیستمی برسند که توانایی دسترسی به سیستم های مالی اصلی بانک را داشته باشد.

پس از آن مجرمین سایبری از روشهای مختلفی نظیر Keyloggers یا بدافزارهای ثبت کلیدهای تایپی و همچنین بدافزارهایی که بصورت مخفیانه از صفحه نمایش سیستم ها تصویر یا screenshot می‌گیرند، استفاده نمودند تا به اطلاعات و روشهای دسترسی به سیستم های مالی دست پیدا کنند.

هکرها سپس برای اختتام این حملات، اقدام به برداشت مبلغ های گزاف از آن مؤسسات و بانک ها می‌نمودند. این اقدام به یک روش انجام نمی‌گرفته است و بصورت یک به یک از آسانترین روش تا دشوارترین را استفاده نموده اند، که برخی از رایج ترین آنها عبارتند از انتقال وجه از طریق سیستم سوئیفت (سیستم یا انجمن مالی جهانی SWIFT)، ایجاد حسابهای جعلی و واریز و برداشت از آنها با کنترل دستگاههای ATM بوده است.

در تصویری زیر سناریوی این حملات را بصورت تصویری مشاهده مینمایید که عبارت است از سه مرحله اصلی:

1- آلوده نمودن سیستم یکی از کارمندان بانک یا مؤسسه مالی؛ نفوذ به سیستم ادمین یا مسئول شبکه داخلی بانک

2- جاسوسی و سرقت اطلاعات محرمانه از روی سیستم ادمین که به سیستم های مالی اصلی دسترسی دارد

3- نفوذ به سیستم های اصلی بعنوان ادمین، و اقدام به برداشت مبلغ به روشهای گوناکون

بطور متوسط این برداشت ها و خالی کردن حساب بانک‌های قربانی از روز اول حمله و آلوده شدن سیستم اول تا آخرین برداشت وجه بین 2 تا 4 ماه زمان میبرد.

خسارت تخمینی

این مجرمین از هر بانک حدوداً بین 2.5 تا 10 میلیون دلار سرقت نمودند که البته در برخی از موارد بسیار بیشتر بوده است. بهرحال با توجه به اینکه بسیاری از این سازمان های مالی (حدود صد مورد) بخاطر این حملات APT، بودجه خود را بطور کامل از دست دادند، خسارت نهایی این حملات حدود 1 میلیارد دلار برآورد شده است.

در تصویر زیر بزگترین قربانی های این حملات را ملاحظه مینمایید:

بر اساس اطلاعات موجود از شرکت امنیتی کسپرسکی، اولین نمونه های بدافزارهای مورد استفاده در این حملات (ملقب به حملات Carbanak)، در آگوست سال 2013 ساخته شده، اولین موارد آلودگی سیستم به ماه دسامبر 2013 برمیگردد و اولین حمله مؤفقیت آمیز این گروه بین ماههای فوریه و آوریل 2014 گزارش شده که اوج این حملات نیز در ماه ژوئن بوده است.

آنگونه که مشخص است، این مجرمین تا زمان دستگیری قصد توقف این حملات را ندارند و به سرقت های میلیون دلاری خود ادامه خواهند داد. هم اکنون ارگانهای دفاعی سایبری ملی و بین المللی بسیاری از جمله اینترپل  یا پلیس بین‌الملل، یوروپل و همچنین تیم تحقیق و بررسی جهانی کسپرسکي (GReAT) بمنظور تحقیقات گسترده تر در این خصوص بسیج شده اند تا هرچه زودتر این حملات سایبری و خسارات میلیون دلاری را متوقف نمایند.

چگونه از گزند حملات Carbanak در امان باشید؟!

• در نهایت شرکت کسپرسکی به ارائه راهکارها و اطلاعاتی مفید در این خصوص برای مشتریان و سازمان های مربوطه می‌پردازد:

- لازم به ذکر است تمامی محصولات و راهکارهای امنیتی شرکتی کسپرسکی قادر به شناسایی نمونه های بدافزارهای Carbanak میباشند که برخی از آنها عبارتند از Backdoor.Win32.Carbanak و همچنین Backdoor.Win32.CarbanakCmd.

- برای اطمینان از اینکه سطح حفاظتی و امنیتی محصولات شرکتی در بالاترین سطح ممکن است، فعال بودن ماژول Proactive Protection را بررسی نمایید.

• همچنین راهکارهای عمومی برای مقابله با این دسته از حملات و هر نوع دیگر حملات سایبری عبارت است از:

- هرگز ایمیل های مشکوک را باز نکنید، بویژه ایمیل‌هایی که حاوی فایل پیوست می‌باشند.

- همواره نرم افزارهای مورد استفاده خود (علاوه بر دیتابیس محصولات آنتی ویروس و امنیتی) بروزرسانی نمایید. بعنوان مثال همین حملات اخیر از باگ zero-day استفاده ننموده است بلکه از طریق باگها یا آسیب‌پذیری‌هایی که حتی نسخه اصلاحی و بروزرشده آنها نیز توسط شرکتهای نرم افزاری مربوطه منتشر شده بوده است وارد عمل شده و به سیستم کارمندان نفوذ نموده است.

- سیستم شناسایی هوشمند (heuristic detection) را در آنتی ویروس خود فعال نمایید: این قابلیت شانس شناسایی زودهنگام نمونه های بدافزار را افزایش می‌دهد.

* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.