اشتراک امنیت
مرکز امنیت و‌ رخدادهای‌ سایبری | APK

افزایش حملات سایبری به Cloud

حملات سایبری به Cloud

مجرمان سایبری از خدمات و تکنولوژی‌های مبتنی بر Cloud استقبال می‌کنند تا حملات خود را به سازمان‌ها سرعت بخشند و سود بیشتری کسب نمایند. پیشروی این امر تا حد زیادی به‌ واسطه‌ی مجرمان سایبری بوده که دسترسی به Clouds Of Logs را می ‌فروشند و اینها در واقع Cacheهایی از اطلاعات اعتباری دزدیده ‌شده بعلاوه اطلاعات دیگری که در Cloud قرار دارند می باشند.

بر اساس گفته Trend Micro، این رویکرد مبتنی بر Cloud موجب می‌شود که اطلاعات راحت‌تر در دسترس خریداران قرار گرفته وآن‌ها با استفاده از این داده‌ها حملات ثانویه‌ای را اجرا می‌نمایند. همچنین عاملان مخرب ابزار مبتنی بر Cloud را برای خریداران فراهم می‌کنند تا آن‌ها بتوانند داده‌های مورد نیاز برای انجام فعالیت‌های مخرب خود را تجزیه‌ و تحلیل و استخراج کنند.

سرعت حملات سایبری به Cloud

حرکت به سمت Cloud برای مجرمان سایبری دارای همان مزیتی است که برای سازمان‌های قانونی دارد و این مزیت، سرعت است. با اتخاذ رویکرد Cloud زمان بین دزدیده شدن داده ها و استفاده شدن آن علیه یک سازمان از چند هفته به چند روز یا حتی چند ساعت کاهش می‌یابد.

شرکت APK دارای مجرب ترین تیم طراحی امنیت شبکه و SOC/SIEM در کشور


با معرفی خدمات و تکنولوژی‌های مبتنی بر Cloud، مجرمان می‌توانند داده‌ها را بدزدند، خریداری کنند و با استفاده از آن‌ها حملات خود را با سرعت بیشتری انجام دهند. آن‌ها این فرایند را به زمان لازم برای خریداری ابزار در یک حراجی در مقایسه با خریداری از یک سایت آنلاین تشبیه می‌کنند.

همچنین با وجود تراکنش‌های سریع‌تر، سازمان‌ها نمی‌توانند شروع و اجرای سریع این حملات را پیش‌بینی کنند، زیرا این حملات توسط دزدی داده‌ها ممکن شده و مجرمان در زمان کوتاهی آن‌ها را برنامه‌ریزی کرده‌اند و درنتیجه زمان کمتری برای شناسایی و پاسخ آن‌ها وجود دارد.

بررسی مشکل Big Data

مهاجمان به حملات بیشتر Cloud روی آورده‌اند تا بتوانند به‌ حجم بالای داده های سازمان ها دست یابند. Trend Micro تخمین زده است که Cacheها نشانگر چندین ترابایت داده هستند. در سال ‌های اخیر دزدی اطلاعات اعتباری کاربران افزایش یافته است و مهاجمین مقادیر زیادی از اطلاعات اعتباری و آدرس‌های ایمیل یا نام های Domain مربوط را جمع‌آوری کرده‌اند. داده‌های دیگری که دزدیده می‌شوند معمولاً شامل Keystrokes، اطلاعات اعتباری احراز هویت به پورتال‌های آنلاین، بانک‌های آنلاین، ویژگی‌های Session احراز هویت ‌شده، اطلاعات قابل ‌شناسایی شخصی یا PII، اسکن‌های اسناد، گزارش‌های مالیاتی، رسید‌ها، جزئیات پرداخت حساب بانکی مثلاً کارت‌­­های اعتباری و غیره است.

هر 14 ثانیه، یک حمله سایبری! راهکار FBI، Europol ‫و HPE چیست؟

ویدیوهای بیشتر در مورد امنیت

حملات باج افزاری و افزایش نقل و انتقالات غیر مجاز داده ها

مواردی که باعث تشدید این امر می­شود آن است که نقل ‌و‌‌ انتقال غیر مجاز داده‌ها تقریباً برای هر نوع حمله‌ای ازجمله باج‌ افزارها، Botnetها، Keyloggerها، exploit kitsها و موارد مخرب دیگر، عادی شده است. اطلاعات جمع‌آوری شده، شامل Browsing History، Cookieها، Keyloggers، اطلاعات اعتباری، Tokenهای احراز هویت و اطلاعات در مورد محیط قربانی باشد که می‌توان برای فرار از سیستم‌ های ضد تقلب و غیره آن‌ها را مورد استفاده قرار داد. تمام این موارد به این معنی هستند که مجرمان سایبری درست مثل سازمان‌های قانونی دارای مشکل Big Data هستند. باید گفت Exploit کردن پتانسیل مقادیر زیادی از داده بدون ابزار لازم برای بخش‌بندی آن دشوار است.

این امر موجب شده است که مجرمان سایبری به سراغ شیوه‌های کاری مبتنی بر پرداخت پول برای دسترسی بروند تا درآمد بیشتری از منابع دزدی خود کسب کنند و به مهاجمین دیگر این توانایی را بدهند که به‌سادگی داده‌هایی را که برای حملات خود نیاز دارند، از Cloudها و Logهای فروشندگان شناسایی کنند.

پرداخت برای دسترسی در Cloud Economy

Trend Micro به این نتیجه رسید که مشتریان پول پرداخت می‌کنند تا با استفاده از ابزارها در بازه‌های قیمتی متنوع به Cloudهایی از Logها دسترسی داشته باشند. بسته‌هایی که تنها اجازه‌ی دسترسی و دانلود محدود را می‌دهند در بازه‌ی 100 دلار هستند. اشتراک‌های ماهیانه هم ارائه می‌شود و برخی از مجرمان سایبری قیمت هر ماه را بین 300 تا 1000 دلار تعیین می‌کنند. یکی از این عاملان مخرب ادعا کرده است که Dataset خود را به‌ صورت هفتگی با حساب‌های دزدی بروزرسانی می‌کند. این سرویس یک اشتراک Premium را به قیمت 300 دلار برای چهار مشتری اول ارائه می‌دهد ولی قیمت ادامه‌ی دسترسی 1000 دلار است. این داده‌ها ممکن است نسبت به کشور یا منطقه، نوع داده، اینکه آیا داده‌ها در کمپین‌های دیگر مورداستفاده قرارگرفته‌اند یا خیر، نام سازمان قربانی یا بخش و پارامترهای دیگر دسته‌بندی شوند.

بیشتر بخوانید: چک‌لیست مقابله با حملات سایبری

بررسی انواع حملات سایبری مهاجمان

بر اساس گفته Trend Micro «مجرمان فقط باید به دنبال داده‌هایی بگردند که مورد نیازشان است تا فرصتی را برای انجام سریع‌تر جرم خود پیدا کنند؛ زیرا دیگر نیازی نیست خودشان داده‌های مورد نیازشان را پیدا کنند. مجرمانی که به این Datasetها دسترسی پیدا می‌کنند تخصص‌های متفاوتی نیز دارند. برخی از این مهاجمان فقط به فعالیت‌ها نظم و ترتیب می‌دهند، درحالی ‌که تخصص مهاجمان دیگر روی حمله به سازمان‌های مالی و جستجوی اطلاعات اعتباری مربوط به بانکداری است. اطلاعات اعتباری برای دسترسی به پورتال‌های پلتفرم Cloud نیز به مهاجمانی که در فروش خدمات اختصاصی تخصص دارند فروخته می‌شود. چنین اطلاعات اعتباری را می‌توان برای ایجاد Instanceهایی از ماشین‌های مجازی مورد استفاده قرار داد که در بازارهای زیرزمینی به فروش می‌رسند.

بسیاری از فروشندگان به تعداد محدودی از افراد Log فروخته یا دسترسی می‌دهند. آن‌ها همچنین از روش‌هایی مثل علامت‌گذاری داده و دیگر روش‌های ردیابی، برای اعمال SLAهای خود استفاده می‌کنند. این محدودیت‌ها شامل قیمت ‌های ثابت برای تعداد کل Objectهایی که در روز مورد دسترسی قرارگرفته‌اند، محدودیت در تعداد فایل‌هایی که اجازه‌ی دانلود دارند، یا اعمال Policyهای شکل ‌دهی به ترافیک می‌باشد. پلتفرم‌های دیگر نیز دسترسی به Cloud را به یک دستگاه در هر اکانت محدود می‌کنند. برخی پلتفرم‌ها نیز برای شروع دسترسی به سرویس نیازمند اطلاعات اعتباری VPN هستند.

بیشتر بخوانید: حملات سایبری حدود ۱۰ میلیون سابقه ی پزشکی شرکت بیمه ای Excellus را افشا کرده است !

بررسی آینده ی Cloud

با رشد کسب و ‌کارهایی که دسترسی به Cloudهایی از Log را می‌فروشند، در آینده ممکن است برنامه‌های درآمدزایی متنوعی ایجاد گردد. Trend Micro توضیح می‌دهد: «برای مثال مجرمان سایبری می‌توانند به دنبال سوابق Sessionهای کاربران احراز هویت ‌شده در پورتال‌های Cloud بگردند. اگر یک عامل مخرب یک Console Session را از یک ارائه‌کننده‌ی خدمات Cloud بدزدد، می‌تواند کنترل کاملی روی منابع Cloud قربانی داشته باشد. این یعنی کسب دسترسی به سیستم‌های Cloud و Storage موجود، سپس این عاملان می‌توانند داده‌های ارزشمندی را از این منابع بیرون بکشند و سپس آن‌ها را به ‌صورت زیرزمینی به فروش برسانند. پژوهشگران همچنین پیش‌ بینی می‌کنند که عوامل مخرب، ابزاری را توسعه دهند که توسط یادگیری ماشینی یا ML قدرت می‌گیرند و بدین صورت فرآیندهای استخراج و تجزیه ‌و ‌تحلیل را تسریع کنند.

مقاله های مرتبط:

پکیج آموزشی VMware NSX شرکت APK
وبینار رایگان حملات apt