تا یک سال پیش که اولین تروجان نوشته شده برای دستگاه‌های آندرویدی کشف نشده بود، کمتر کسی خطر بدافزارهای موبایلی را تا این حد بیخ گوش کاربران احساس کرده بود.
اما Kurt Baumgartner محقق ارشد کسپرسکی، خیلی بیشتر از این حرف‌ها این موضوع را جدی گرفته و مدام هم در صحبت‌هایش راجع به آنها اخطار و هشدار می‌داد.

تروجان و حمله فیشینگ هدف‌دار کشف شده توسط لابراتوار کسپرسکی دارای یک برنامه apk (قالب برنامه‌های قابل نصب روی آندروید) بودند.

وقتی پژوهشگران کسپرسکی این اسب تروا را مورد بررسی قرار دادند، دریافتند که توانایی گزارش کلیه اطلاعات کاربر را به هکر دارد. بامگارتنر می‌گوید: «با مهندسی معکوس تروجان، دیدیم که حتی امکان بیرون کشیدن دفترچه تلفن هم خود گوشی و هم سیم‌کارت را دارد.
فکر می‌کنیم این تروجان می‌تواند سابقه تماس‌ها و پیامک‌ها را هم استخراج کند. بعدا متوجه شدیم که مهاجمان حتی درصدد دستیابی به اطلاعات مکانی و جغرافیایی صاحب تلفن و خلاصه تمام داده‌های تلفن همراه بوده‌اند.»

بامگارتنر این اطلاعات را برای هکرها «طلایی» توصیف می‌کند و توضیح می‌دهد:« وقتی شماره تماس‌ها و جزئیات بیرون کشیده شدند، در وهله بعدی، ابزار مهاجمان برای حمله به قربانیان بیشتری می‌شوند.»

این‌ها گوشه‌هایی از مصاحبه اخیر کورت بامگارتنر، پژوهشگر ارشد کسپرسکی با «تریسی کیتن» از «گروه رسانه‌ای امنیت اطلاعات» (Information Security Media Group) بود که تفصیل آن را در ادامه خواهید خواند. محورهای اصلی این گفت و گو بر سه موضوع است:

نقشه‌های مختلف فیشینگ هد‌ف‌دار (Spear Phishing) در کانال‌های آنلاین و موبایل‌ها
گرایش‌های اخیر بدافزارهای موبایلی در سال‌های ۲۰۱۳ و ۲۰۱۴
چرا دسترسی به اطلاعات شخصی قابل شناسایی برای سوء استفاده کنندگان مدام سهل‌تر می‌شود؟

در مورد خود بامگارتنر، باید اشاره کنم که وی از سال ۲۰۱۰ به مجموعه کسپرسکی پیوسته و مسئولیتش نظارت بر وضعیت بدافزارها در منطقه آمریکا و بهبود فناوری‌های کسپرسکی برای مقابله با آنها است.

تا چندی پیش هم، بامگارتنر نایب رئیس واحد پژوهش رفتارشناسی تهدیدها در شرکت Symantec بود. او سابقه پست‌های مشابه در شرکت‌های معتبری چون PC Tools، Threat Fire، Novatix (کارشناس رشد تهدیدها) و Sonic WALL(تحلیلگر تهدیدها) را در کارنامه شغلی‌اش دارد. با هم برگردان این گفت و شنود را می‌خوانیم.

تروجان‌های اندرویدی
کیتن: لابراتوار کسپرسکی چند وقت پیش یک تروجان اندرویدی کشف کرد که هدف اصلی‌اش فعالان سیاسی و شناخته شده تبتی بود. درباره این قسم حملات چه دارید بگویید؟ مثلا اینکه از کی و چگونه شناسایی شدند؟
کورت بامگارتنر: قضیه بر می‌گردد به یک تروجان اندرویدی که دیدیم دارد مدام از اکانت ایمیل یک فعال سیاسی تبتی ارسال می‌شود. نکته جدید و جالب درباره این حمله آن بود که پیوست ایمیل خودش یک تروجان اندرویدی بود که امکان نصب روی هر نوع دستگاه اندرویدی را داشت و کاربردش جمع‌آوری اطلاعات و فعالیت‌های جاسوسی روی هدف بود.

گرایش‌های حملات فیشینگ هدف‌دار
کیتن: تا جایی که می‌دانم، این قسم حملات با فیشینگ هدف‌دار شروع شد؛ موضوعی که به نگرانی روزافزون سازمان‌ها بدل شده‌است. اگر به طور کلی به قضیه Spear phishing نگاه کنیم، به نظرتان در حال حاضر نیروی محرکه رشد آن چیست و چه گرایش‌هایی پیرامونش وجود دارد؟
بامگارتنر: عموما فیشینگ هدف‌دار، خودش راهی موثر برای رساندن بدافزارها در حملات هدف‌دار به هدف‌هایشان است.
برخی علل سوق دهنده مهاجمان به استفاده از تکنیک‌های فیشینگ هدف‌دار این است که بعضی از دیگر تکنولوژی‌ها، در برابر تکنیک‌های شناخته شده مثل حملات Watering-hole یا نفوذ در شبکه، مقاوم هستند. Spear Phishing برای نفوذ، هر روز به شیوه محبوب‌تری تبدیل می‌شود.

شبکه‌های اجتماعی
کیتن: شما معتقدید رسانه‌های اجتماعی و دیگر شبکه‌های برخط از جمله ابزارهای سوءاستفاده یا کمک به بعضی حملات ایمیلی هدف‌دار هستند. چگونه؟
بامگارتنر: موفقیت فیشینگ هدف‌دار ارتباط مستقیم دارد با در اختیار داشتن اطلاعات دقیق درباره هدفی که سعی در آسیب زدن به آن دارید.
رسانه‌های اجتماعی و دیگر قالب‌های سرویس‌های آنلاین برای مهاجمان معدنی از اطلاعات محسوب می‌شوند تا از طریق ایمیل‌ها یا پیوست‌های ایمیل‌ها قربانی‌شان را متقاعد و ترغیب به باز کردن پیوست و اجرای پیوست ایمیل در رایانه شخصی‌‌اش، بکنند.
مثلا پروفایل‌های LinkedIn و ارتباطات فردی در لینکداین بسیار به کار تبهکاران می‌خورد. حتی ممکن است خیلی ساده فقط یک وب‌سایت باشد که درباره یک شرکت باشد و اسامی کارمندانش هم در آن درج شده باشد. یا اصلا یک NGO و فهرست اعضای کمک کننده به آن. تمام اینها منابع اطلاعاتی خوبی هستند که به مهاجمان کمک می‌ کنند تا با فیشینگ هدف‌دار طمعه‌شان را گول بزنند.

جزئیات حمله اندرویدی
کیتن: دوست دارم بیشتر درباره این حمله اخیر که توسط Kaspersky کشف شد، صحبت کنیم. این حمله از نوع Spear-Phishing شامل یک ضمیمه APK بود که درواقع برنامه‌ای خطرناک مخصوص سیستم عامل اندروید بود. این حمله عملا چگونه دستگاه‌های اندرویدی هدفش را مورد تهاجم قرار می‌داد؟
بامگارتنر: این حمله، از هنگامی که شناسایی‌اش کردیم، تا توقفش فاصله زمانی کمی بود. چیزی که ما فهمیدیم، این بود که از یک اکانت ایمیل برای حمله فیشینگ هدف‌دار و ارسال نامه به سایر اعضا استفاده شده بود.
یکی از شرکت‌های همکار ما یک نمونه از این پیوست‌ها را برایمان فرستاد.
براین باورم که تا پیش از دریافت و تحلیل آن توسط ما، خودمان هم خبر نداشتیم که این تروجان برای دستگاه‌های اندرویدی ساخته شده است. این تروجان برای اینکه دستگاه را آلوده کند، نیازمند آن بود که کاربر شخصا ابزار اندرویدی‌اش را به یک PC متصل کند و فایل APK را به دستگاه منتقل کند و بعد هم آن را روی موبایل یا هر وسیله آندرویدی دیگر که دارد، اجرا کند.

کیتن: به نظرم خودتان سوال بعدی مرا پاسخ دادید: آیا این حمله فقط وقتی ایمیل روی خود دستگاه اندرویدی باز شود کارش را می‌کند یا وقتی روی رایانه شخصی باز شود؟ گویا این ایمیل‌ها از آن قسم هستند که هر جایی می‌توان بازشان کرد.
بامگارتنر: فکر کنم منبع اولیه یا اکانت ایمیلی که این ایمیل‌ها از آنجا می‌آمد، لزوما نبایستی از یک دستگاه اندرویدی می‌بود. اما برای ارسال این ایمیل‌ها و پیوست‌هایش استفاده شده بود.

حملات Cross-channel
کیتن: کسپرسکی در مورد حملات کراس چنل یا کراس پلتفرم، چه دیدگاهی دارد؟ مثلا حمله‌هایی که امنیت رایانه‌های شخصی و دستگاه‌های همراه را به مخاطره می‌اندازند.
بامگارتنر: از این لحاظ، این اولین تروجان اندرویدی بود که ما دیدیم برای حملات هدف‌دار استفاده می‌شد. در مورد OS X و سایر سیستم‌عامل‌ها، پیش‌تر شاهد حملاتی با محتوایی متقاعدکننده‌تر، دقیق‌تر، جذاب‌تر و حساب شده تر و زمان بندی شده بودیم که کاربران متقاعد شوند پیام‌ها را باز و اجرا کنند.
در حال حاضر، شاهد رشد و پیشرفت حملات نه فقط علیه ویندوز، بلکه Mac OSX و سایر سیستم عامل‌ها هستیم. و اکنون، نه فقط شاهد بدافزارهایی هستیم که از دستگاه‌های مجهز به ویندوز یا OSX اطلاعات را خودشان جمع آوری می‌کنند، بلکه به تروجان‌هایی برمی‌خوریم که از حالت پروتوتایپ به درآمده‌اند و به شدت دستگاه‌های موبایل را تهدید می‌کنند.

اهداف حملات
کیتن: در حمله خاصی که صحبتش رفت، برنامه مضر، به محض نصب، به طور مخفیانه آلودگی را به یک سرور «فرمان و کنترل» گزارش می‌کرد. سپس به شخم زدن اطلاعات ذخیره شده در وسیله همراه می‌پرداخت. جزئیات اهداف این برنامه در ابزار موبایل چه بود؟
بامگارتز: پس از مهندسی معکوس تروجان، دیدیم که قابلیت استخراج دفترچه تلفن؛ هم از روی سیم کارت و هم از خود تلفن را دارد. همین طور توانایی بیرون کشیدن تاریخچه تماس‌ها و پیامک‌ها را دارد.
مهاجمان همچنین می‌خواستند از اطلاعات مکانی تلفن هم باخبر شوند. و بالاخره کل اطلاعات تلفن را درآورند. آنها می‌خواستند مستقلا تلفن را شناسایی کنند و شماره تلفن، نسخه سیستم عامل، مدل تلفن و حتی SBK تلفن را درآورند.

کیتن: در چنین شرایط مخاطره‌انگیزی که جزئیاتی مثل شماره تماس‌ها لو می‌رود، چگونه از آن برای گسترش حمله استفاده می‌شود؟
بامگارتنر: شماره تماس‌ها برای مهاجمان همیشه به مثابه تراشه‌های طلا محسوب می‌شوند. در این مورد، از آنجا که به سرعت مچشان را گرفتیم، به نظرم زنجیره حملات از گام‌های ابتدایی پاره شد.
اما به هرحال، وقتی لیست‌های تماس و جزئیات دیگر از دستگاه استخراج شوند، آن شماره‌‌ها هدف بعدی محسوب می‌شوند. هر کدام جداگانه بررسی می‌شوند و مورد هجمه قرار می‌گیرند.

کیتن: شما به Call logها و اطلاعات geo-Location اشاره کردید. این اطلاعات جزئی چگونه برای حمله مورد سوء استفاده قرار می‌گیرند؟ و اصلا چرا این قدر مهم و مورد توجهند؟
بامگارتنر: تاریخچه تماس‌ها از آن جهت مهمند که مهاجمان از طریق آنها درمی‌یابند با چه کسی، چه زمانی ارتباط برقرار شده است. و بدین وسیله مثلا می‌فهمند به هرکس چه موقع یک پیامک یا ایمیل بزنند تا شانس طعمه شدن وی افزایش یابد. حتی اطلاعات کنفراس‌های تلفنی، مثل اینکه هرکس کی آمده، کی رفته و کلا چند وقت یک بار می‌آید، برای تبهکاران ارزشمند است. و در مجموع تمام این رگه‌های طلا، راهی هستند برای مهاجمان به منظور نفوذ در یک سازمان.

کیتن: پس به نظر شما، هدف بسیاری از این سرقت‌های جزئی، اطلاعات وسایل همراه شرکت‌ها و سازمان‌ها هستند؟
بامگارتنر: دقیقا. مهاجمان مدام در پی این قضیه هستند. اواخر سال پیش ما به یک پروتوتایپ روی تعدادی سرور برخورد کردیم که در مراحل اولیه ایجاد و تبدیل شدن به یک تروجان اندرویدی بود. گرچه عملا هیچ‌گاه این تروجان به منصه ظهور نرسید.
نکته جالب دیگر درباره این حمله آن بود که باعث پیوندهایی شد. شرکت‌های بسیاری که در گذشته لزوما با هم کار نمی‌کردند، پس از این رویداد متحد شدند. علتش آن بود که این شرکت‌ها که سابقا همکاری نزدیکی نداشتند، فهمیدند که چه کسی در لیست تماس که قرار دارد و تا چه حد میزان ارتباط آنها با یکدیگر مورد توجه و علاقه مهاجمان است.

مخاطرات دیگر وسایل همراه
کیتن: این حمله تنها هدفش وسایل اندرویدی بود. آیا این نگرانی وجود دارد که این حمله خاص ممکن است به دیگر وسایل موبایل نیز گسترش یابد؟
با مگارتنر: در حال حاضر، با توجه به اندازه بدافزار و سرعت توقف آن، شخصا خیلی نگران این نیستم که مهاجمان در اندیشه توسعه این مورد خاص هستند اما در آینده، بی‌شک این نگرانی قابل اعتنایی خواهد بود. مطمئنا پورت کرن این تروجان به دیگر پلتفرم‌ها خیلی سخت نیست.
سابقا هم مورد داشتیم که بدافزاری که ویژه مجموعه داده‌های خاصی روی ماشین‌های ویندوزی طراحی شده بود، به OSX و لینوکس هم پورت شد. این اتفاق در گذشته افتاده. لذا مسلما ما انتظارش را در آینده نیز می‌کشیم.

حفاظت از وسایل همراه
کیتن: پیشنهاد شما به کاربران برای محافظت از وسایل اندرویدی‌شان در قبال این قسم حملات چیست؟
بامگارتنر: کاربران این قبیل وسایل عموما از قابلیتی به نام Side loading استفاده می‌کنند. یعنی یک فایل APK را که از play store گوگل نیست یا دیگر فروشگاه‌های معتبر نیامده، از جایی دریافت و نصب می‌کنند.
برای این کار، آنان بایستی برخی تنظیمات را در گوشی‌شان روشن یا خاموش کنند و نیز اجازه نصب نرم‌افزار از منبعی نامطمئن را صادر کنند. این کار برای اغلب کاربران اندرویدی خطرناک و نادرست است.
آنها کمی بیشتر به تشخیص منبع نرم‌افزاری که دارند روی گوشی‌شان نصب می‌کنند، باید توجه داشته باشند.
برای تلفن‌های اندرویدی یک سری بسته‌های امنیتی تولید شده که به نظرم بعضی‌شان بسیارخوب و مفیدند؛ اما درهر حال همه آنها یک لایه امنیتی به همراه شما می‌افزایند.
این بسته‌های نرم‌افزاری امنیتی هر روز دارای قابلیت‌های بیشتر و کاراتری می‌شوند؛ امکاناتی چون محافظت رفتارشناسانه، که در مورد حملات هدف‌دار یا ناشناخته بسیار مفید فایده است.

تکامل بدافزارها
کیتن: از منظر کلی، درباره سیر تحول و پیشرفت بدافزارها چه می‌توانید به ما بگویید؟ سازمان‌ها تا چه حد در سال ۲۰۱۴ باید روی موضوع بدافزارهای موبایلی تمرکز کنند؟
بامگارتنر: در مود بدافزارهای موبایلی ما فعلا در مرحله نخست و آغازین به سر می‌بریم. قضیه هنوز برای خیلی‌ها تازه است. اما بسته به نوع استفاده حملات هدف‌دار و نوع تحویل آن، سازمان‌ها نیازمند توجه به این موضوع هستند.
ما تازه با بدافزارهای اندرویدی و آی‌فونی آشنا شده‌ایم اما گروه‌های پژوهشی امنیتی مهاجمان در حال توسعه اکسپلویت‌ها براساس وب‌کیت یا مرورگرهای وب موجود در سیستم عامل اندروید هستند. توسعه آنها خیلی هم به سرعت دارد صورت می‌پذیرد.
سرمایه گذاری کافی شده؛ و میوه‌های تحقیقات آنها در حال به بار نشستن هستند. ما هنوز درمراحل اولیه به سر می‌بریم اما قضیه روز به روز دارد جدی‌تر می‌شود.

کیتن: مسلما این نگرانی هست که تمام سازمان‌های درگیر بایستی برآن متمرکز شوند. اما در این میان درباره نقش موسسات بانکی که یک طرف کارمندانش را دارد و در طرف دیگر مشتریانش را، چه می‌توان گفت؟
بامگارتنر: موسسات بانکی جایگاهی ویژه دارند؛ چراکه تراکنش‌های مالی و تمام اطلاعاتی که حین فعالیت‌های NGOها، گروه‌های خیریه و دیگر موسسه‌های اینچنینی از طریق موسسات بانکی رد و بدل می‌شود، تاحدی با حملات سایبری با انگیزه مالی و دیگر خلاف‌های سایبری، متفاوت است.
این قبیل حملات و حملاتی که می‌توانند سازمان‌های بانکی را هدف بگیرند، پایدارند. موسسات باید آگاه باشند که درحال نبرد علیه مجموعه‌ای از مهاجمان هستند که با ثبات‌تر و مصمم‌تر از آنچه در گذشته دیده‌ایم، هستند.

کیتن: قبل از اتمام بحث، درباره بدافزارها به طور کلی یا برخی از این حملات که مشخصا تمرکزشان بر دستگاه‌های همراه است، سخن پایانی دارید که بگویید؟
بامگارتنر: ما چندین نقشه و برنامه به منظور یافتن راهی برای جمع‌آوری و واکنش اطلاعات دستگاه‌های همراه قربانیان، کشف کردیم.
در گذشته، ما «اکتبر سرخ» را داشتیم که آن هم برنامه دیگری بود که مجموعه‌ای از بدافزارها را روی ورک استیشن کاربر نصب می‌کرد. آنگاه از ورک استیشن، هر وسیله‌ای که بدان متصل بود، تشخیص و شناسایی می‌شد؛ تاحد سازنده وسیله همراه. این قضیه تا یکی دوسال ادامه داشت.
مهاجمان این فناوری را توسعه دادند و از آن علیه قربانیان تازه‌ای که اطلاعاتشان از قربانیان قبلی استخراج شده بود، استفاده شد.
این حملات به وسایل اندرویدی محدود نشد و به کل دنیای موبایل گسترش یافت.
این نشان می‌دهد حملات هدف‌دار تاچه حد امروزه تهدید کننده‌اند و موسسات بایستی بدان توجه کنند. با این احوال، باز هم انتظار بیش از اینها را داریم و متاسفانه انتظار داریم که به دیگر ابزار و فناوری‌ها هم در آینده گسترش و توسعه یابد.






منبع