گروههای تهدید، ابرشرور و ابرقدرت با نیروهای ماورایی نیستند!
اخبار داغ فناوری اطلاعات و امنیت شبکه
در هر عمل مخرب، مردم اغلب به صورت بازتابی میخواهند بدانند چه کسی و چرا آن عمل انجام شده است. اما این برای شرکتهایی که با حملات سایبری مواجه میشوند، پیامد اندکی دارد.
وقتی مدافعان سایبری به گروههای تهدیدکننده و مجرمانی که سازمانها را هدف قرار میدهند، بیشازپیش توجه میکنند، ناخواسته اولویتهای استراتژیک را که میتواند به طور موثرتری خطر را کاهش دهد، زیر پا میگذارند.
اندی پیاتزا، مدیر ارشد اطلاعات تهدید در واحد 42 پالو آلتو نتورکز، در مصاحبه ای در بلک هت گفت: «اکثریت قریب به اتفاق سازمانها زمان یا منابع لازم برای پیگیری هرجومرج گروههای مجرم سایبری را ندارند».
پیاتزا گفت: «شما به عنوان یک مدافع سایبری نباید به این موضوع اهمیت دهید. مدافعان سایبری میتوانند با توسعه قابلیتهایی برای شناسایی و پاسخ به تاکتیکها، تکنیکها و رویههای مخرب، به سازمانهای خود خدمت کنند».
نادیده گرفتن این مشکلات زمانی که به گروهها نامهایی مانند Scattered Spider، Midnight Blizzard و Fancy Bear داده میشود، دشوار است، اما افسانهسازی و بزرگانگاری مجرمان مسئول حملات سایبری میتواند توانایی مدافعان سایبری را برای شناسایی و خنثی کردن فعالیتهای مخرب کاهش دهد.
بسیاری از تامینکنندگان امنیت سایبری و تیمهای اطلاعاتی تهدید از قراردادهای نامگذاری منحصربه فردی برای گروههای تهدید پیروی میکنند.
مجموعه IBM Security X-Force و Mandiant از اعداد در طرحهای نامگذاری خود استفاده میکنند، اما CrowdStrike، Microsoft و Unit 42 نامها را ایجاد میکنند. مایکروسافت حتی یک طبقهبندی نامگذاری دارد که نشان میدهد چه سیستم آب و هوایی یا رنگی را به گروههای تهدید اختصاص میدهد.
به یاد ماندنیترین نامها اغلب آنهایی هستند که در گفتگوهای سراسر صنعت باقی میمانند، اما این نگرانی وجود دارد که نامهای پر زرقوبرق میتوانند قابلیتهای گروههای مهاجم را جلوه و عظمت دیگری ببخشد.
جن ایسترلی، مدیر آژانس امنیت سایبری و امنیت زیرساخت، هفته گذشته در سخنرانی همایش کلاه سیاه گفت: «شرورها غریبه هایی هستند که به طرز مرموزی در سایه کار و عمل میکنند. آنها شیاطین جهنم، جانوران کتاب مقدس هستند. وقتی ما به آنها اسامی اتلاق میکنیم، این امر دلالت بر قدرت و کاریزمای آنها دارد».
وی افزود: «ما متاسفانه آنها را مزاحم ضعیف یا راسوی ضعیف یا موش خرمای ضعیف یا، مورد علاقه شخصی من، دوفوس دینگو نمیدانیم. ما تقریبا با لحنی آرام و با هیبت درباره آنها صحبت میکنیم. آنها تهدیدهای پیشرفته و پایدار هستند. آنها از اکسپلویتهای پیچیده یا روز صفرهای (Zero-Day) مخرب استفاده میکنند».
گروههای تهدید دائما ساختار را اصلاح میکنند
ترکیب و پیوندهایی بین گروههای تهدید کننده در جریان است. واحد 42، پنجاه و سه گروه باج افزار فعال را در نیمهاول سال ٢٠٢٤ ردیابی کرد و شش مورد از این گروهها بیش از نیمی از حملات ادعا شده را به خود اختصاص دادند.
تکنیکها و انواع باجافزارهایی که گروهها برای حمله به کسب و کارها استفاده میکنند معمولا تکراری هستند و به ندرت بازنگری میشوند.
ایسترلی گفت: «در حالی که برخی منابع را برای توسعه اکسپلویتهای جدید سرمایهگذاری میکنند، بیشتر اوقات از همان آسیبپذیریهای قدیمی استفاده میکنند و گاهی اوقات خوش شانس هستند. این شرورها ابرقدرت نیستند یا قدرت ماورایی ندارند. ما نباید مانند آنها با آنها رفتار کنیم، اما بلعکس، خودمان آنها را قدرتمند و جذاب میکنیم».
اما برای شرکتهای امنیتی، افسانههایی درباره گروههای تهدید و افرادی که حملات سایبری انجام میدهند، امری غیرمعمول نیست. در چند سال گذشته در کنفرانسهای بزرگ امنیت سایبری، CrowdStrike گروههای تهدید را به شکل مجسمههای بسیار بزرگ شخصیتپردازی کرده است.
در کنفرانس RSA سال گذشته، CrowdStrike مجسمه یک گروه تهدید را که Wizard Spider نامیده شده، به نمایش گذاشت.
در Black Hat هفته گذشته، از درهای اصلی و در ورودی سالن نمایشگاه، CrowdStrike همان رفتار بزرگنمایی را برای Scattered Spider که مسئول حملات بزرگ علیه MGM Resorts، Caesars Entertainment و Clorox است، ارائه کرد.
برای CrowdStrike، تصاویر نمادین هستند. یکی از سخنگویان CrowdStrike از طریق ایمیل به Cybersecurity Dive گفت: «آنها نمادی از ماموریت CrowdStrike هستند: توقف نقض با درک و مانور در راستای بیرون راندن مهاجم. آنها دشمن را بزرگنمایی یا زیبا نمیکنند، بلکه برای شخصیت دادن به سوء نیت آنها و ارتقای مذاکرات امنیت سایبری به جریان اصلی طراحی شده اند».
سخنگوی CrowdStrike گفت: «مهاجمان به جامعه سایبری یادآوری میکنند که در قلب هر حمله سایبری یک انسان معمولی پشت صفحه کلید وجود دارد».
کارشناسان میگویند سازمانها و مدافعان سایبری باید به جای عمیقتر شدن در موارد کماهمیت پشت حملات سایبری، عملیترین راهها را برای کاهش ریسک، ازجمله آسیبپذیری و مدیریت پچ، امنیت محیطی شبکه و اندپوینت و احراز هویت چند عاملی، در اولویت قرار دهند.
پیاتزا گفت: «گروههای واکنش به حادثه و ساختارهای مجری قانون باید نگران چه کسی و چگونه باشند، و مدافعان سایبری باید نگران نحوه اجرای این روش در سیستم دفاعی خود باشند. بیایید نگران همه گروههای مختلف باشیم».
برچسب ها: کلاه سیاه, Unit 42, Midnight Blizzard, Scattered Spider, Exploit, Mandiant, black hat, Wizard Spider, روز صفر, cybersecurity, Microsoft, اکسپلویت, malware, ransomware , CrowdStrike, PaloAlto Networks, Cloud Firewall, جاسوسی سایبری, Fancy Bear, باج افزار, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news