حمله‌ای که به تازگی در گزارش‌های امنیت سایبری بازتاب یافته، نشان می‌دهد که خلاقیت و هوشمندی مهاجمان سایبری هیچ محدودیتی ندارد! در این حمله، یک گروه جاسوسی سایبری روسی با استفاده از تکنیکی نوآورانه که به حمله نزدیک‌ترین همسایه (Nearest Neighbor Attack) معروف شده، توانستند به شبکه یک سازمان مهم دسترسی پیدا کنند، آن هم از فاصله‌ای چند کیلومتری!

اما این تکنیک چگونه عمل می‌کند؟ چرا این حمله توجه متخصصان امنیت سایبری را جلب کرده است؟ و مهم‌تر از همه، چه درس‌هایی می‌توان از آن گرفت؟ بیایید به عمق ماجرا بپردازیم.

حمله نزدیک‌ترین همسایه ( Nearest Neighbor Attack) چیست؟

این حمله یکی از پیچیده‌ترین و خلاقانه‌ترین روش‌های جاسوسی سایبری است. در این تکنیک، مهاجمان به جای نفوذ مستقیم به شبکه هدف، از شبکه‌های Wi-Fi سازمان‌هایی که در نزدیکی هدف قرار دارند به‌عنوان پل دسترسی استفاده می‌کنند. ایده ساده به نظر می‌رسد، اما اجرای آن نیازمند دانش عمیق، ابزارهای پیشرفته و برنامه‌ریزی دقیق است.

در این حمله خاص، مهاجمان ابتدا سعی کردند از طریق حمله password spraying، به یک سرویس اینترنتی در شبکه سازمان A دسترسی پیدا کنند. این روش شامل امتحان کردن تعداد زیادی رمز عبور رایج روی تعداد زیادی حساب کاربری است. مهاجمان موفق شدند اطلاعات کاربری را به دست بیاورند، اما به دلیل فعال بودن احراز هویت چندمرحله‌ای (MFA)، نتوانستند وارد سیستم شوند.

نقشه خلاقانه مهاجمان

در این مرحله مهاجمان که با مانع مواجه شده بودند، تصمیم گرفتند مسیر دیگری را امتحان کنند. آنها ابتدا به شبکه یک سازمان دیگر، که سازمان B نام‌گذاری شده است، نفوذ کردند. این سازمان در ساختمانی نزدیک به سازمان هدف قرار داشت. پس از دسترسی به شبکه سازمان B، مهاجمان سیستمی را پیدا کردند که از طریق کابل به شبکه متصل بود، اما دارای یک آداپتور Wi-Fi نیز بود.

اینجا بود که خلاقیت مهاجمان بروز پیدا کرد: آنها از آداپتور Wi-Fi این سیستم برای اتصال به شبکه Wi-Fi سازمان A (سازمان هدف) استفاده کردند. از این طریق، بدون نیاز به حضور مستقیم در محل، به شبکه سازمان هدف دسترسی پیدا کردند.

اما کار به همین‌جا ختم نشد. تحقیقات نشان داد که مهاجمان به یک سازمان سوم، که سازمان C نامیده شده، نیز نفوذ کردند. این سازمان نیز در همان حوالی قرار داشت و به‌عنوان یک مسیر اضافی برای دسترسی به سازمان A  و B استفاده شد.

بیشتر بخوانید: چرا ChatGPT و ابزارهای مشابه می‌توانند تهدیدی برای امنیت سایبری باشند؟

چرا این حمله خاص است؟

چند ویژگی این حمله را متمایز می‌کند:

 استفاده از Wi-Fi به‌عنوان مسیر حمله:این حمله نشان می‌دهد که شبکه‌های Wi-Fi که معمولاً کمتر مورد توجه قرار می‌گیرند، می‌توانند یک نقطه ضعف جدی باشند.

 ایجاد مسیرهای متعدد برای نفوذ: مهاجمان با استفاده از چندین سازمان مختلف، توانستند دسترسی خود را به شبکه هدف تثبیت کنند و احتمال شناسایی را کاهش دهند.

 پاک کردن ردپا با ابزار بومی ویندوز: مهاجمان از ابزار Cipher.exe  برای حذف فایل‌ها و پوشه‌ها استفاده کردند. این ابزار که به‌طور پیش‌فرض در ویندوز وجود دارد، به‌ندرت در حملات سایبری استفاده می‌شود، اما در این حمله برای پوشاندن ردپای مهاجمان به کار رفت.

شناسایی مهاجمان

شرکت Volexity در ابتدا نتوانست این حمله را به گروه خاصی نسبت دهد. علت اصلی این دشواری، استفاده گسترده از روش‌های Living-Off-The-Land  بود که شامل استفاده از ابزارها و امکانات داخلی سیستم‌های قربانی برای حمله است. این روش شناسایی را بسیار دشوار می‌کند.

اما در نهایت، با بررسی نشانه‌های حمله و مقایسه آن با گزارش‌های دیگر، مشخص شد که این حمله توسط گروه سایبری روسی Forest Blizzard  انجام شده است. این گروه با نام‌های دیگری همچون APT28، Sofacy و Fancy Bear  نیز شناخته می‌شود و یکی از معروف‌ترین گروه‌های جاسوسی سایبری وابسته به روسیه است.

پیامدها و درس‌ها

این حمله نشان‌دهنده چالش‌های جدیدی است که سازمان‌ها در حوزه امنیت سایبری با آن مواجه‌اند:

 شبکه‌های Wi-Fi را جدی بگیرید:  بسیاری از سازمان‌ها روی ایمن‌سازی سرویس‌های اینترنتی خود تمرکز کرده‌اند، اما Wi-Fi همچنان یک نقطه ضعف قابل توجه است.

 آگاهی از روش‌های جدید حمله:  روش‌هایی مانند حمله نزدیک‌ترین همسایه نشان می‌دهند که مهاجمان به‌طور مداوم در حال یافتن راه‌های جدید برای نفوذ هستند.

 استفاده از ابزارهای بومی سیستم:  ابزارهایی مانند Cipher.exe که برای پاک‌سازی اطلاعات طراحی شده‌اند، می‌توانند به‌طور ناخواسته به مهاجمان کمک کنند.

امنیت ستاد مرکزی کافی نیست! زیرمجموعه‌ها را فراموش نکنید

بسیاری از سازمان‌ها تصور می‌کنند که با امن‌سازی ستاد مرکزی خود، خطرات سایبری را به طور کامل مدیریت کرده‌اند. این طرز فکر، گرچه رایج است، اما به‌شدت خطرناک و گمراه‌کننده است. واقعیت این است که حملات سایبری به ندرت از بخش‌های مرکزی شروع می‌شوند. مهاجمان معمولاً به دنبال ضعیف‌ترین حلقه در زنجیره امنیت هستند، و این حلقه‌ها اغلب در زیرمجموعه‌ها و دفاتر منطقه‌ای قرار دارند.

چرا زیرمجموعه‌ها هدف جذابی برای مهاجمان هستند؟

   کمبود منابع امنیتی:

زیرمجموعه‌ها معمولاً به‌اندازه ستاد مرکزی به ابزارهای امنیتی و نیروی متخصص مجهز نیستند. این موضوع آنها را به هدفی آسان برای مهاجمان تبدیل می‌کند.

   اتصالات به شبکه مرکزی:

زیرمجموعه‌ها از طریق شبکه‌های خصوصی یا عمومی به ستاد مرکزی متصل هستند. یک نقص امنیتی در این دفاتر می‌تواند به مهاجمان اجازه دهد که به شبکه اصلی سازمان دسترسی پیدا کنند.

 عدم نظارت کافی:

زیرمجموعه‌ها اغلب نظارت دقیق و بلادرنگی ندارند، که به مهاجمان زمان بیشتری برای فعالیت بدون شناسایی می‌دهد.

تکنیک‌هایی مانند حمله همسایه نزدیک،  نشان می‌دهند که مهاجمان چگونه از شبکه‌های کمتر ایمن زیرمجموعه‌ها برای دستیابی به اهداف بزرگ‌تر استفاده می‌کنند. در این نوع حملات، ضعف امنیتی در یک زیرمجموعه می‌تواند به یک پل دسترسی برای نفوذ به ستاد مرکزی تبدیل شود.

راه‌حل چیست؟ ورود XDR به صحنه

برای مقابله با این چالش‌ها، استفاده از XDR (Extended Detection and Response) می‌تواند رویکردی نوین و موثر باشد. XDR نه تنها به ستاد مرکزی محدود نمی‌شود، بلکه دید گسترده‌ای به کل سازمان، از جمله زیرمجموعه‌ها، ارائه می‌دهد.

مزایای XDR برای امنیت سازمانی

   دید یکپارچه به تمام نقاط شبکه:

 XDR با جمع‌آوری داده‌ها از تمامی نقاط شبکه، از جمله دفاتر زیرمجموعه، می‌تواند تهدیدات را در هر نقطه‌ای شناسایی کند.

  شناسایی  و  پاسخ‌دهی بلادرنگ:

با استفاده از هوش مصنوعی و تحلیل پیشرفته، XDR می‌تواند تهدیدات را به سرعت شناسایی کرده و اقدامات لازم را به صورت خودکار یا نیمه‌خودکار انجام دهد.

  مدیریت ت هدیدات در زیرمجموعه‌ها:

XDR به تیم‌های امنیتی اجازه می‌دهد که حتی در دفاتر دورافتاده نیز کنترل کامل داشته باشند و فعالیت‌های مشکوک را شناسایی و خنثی کنند.

  ارتباط بی ن حملات چندمرحله‌ای:

اگر مهاجمان از زیرمجموعه‌ها به ستاد مرکزی حمله کنند، XDR می‌تواند این مسیرهای حمله را به یکدیگر مرتبط کرده و تصویری کامل از حمله ارائه دهد.  

نتیجه‌گیری

امن‌سازی ستاد مرکزی گام مهمی است، اما کافی نیست. زیرمجموعه‌ها، با وجود اتصال مستقیم به شبکه اصلی، نقطه‌ضعف‌های مهمی هستند که نباید نادیده گرفته شوند. راه‌حل جامع و نهایی، استفاده از فناوری‌هایی مانند XDR است که دید و کنترل امنیتی را به تمامی نقاط سازمان گسترش می‌دهد.

آیا زیرمجموعه‌های سازمان شما به اندازه ستاد مرکزی امن هستند؟ اگر پاسخ شما خیر است، شاید زمان آن رسیده باشد که نگاه دقیق‌تری به راهکارهای پیشرفته‌ای مانند XDR داشته باشید!