بر اساس تجزیه و تحلیلی که توسط مشترک نویسندگان انجام شده است، عوامل تهدید که به دستور حامیان دولت عمل می کنند، به طور قابل توجهی بیشتر از مجرمان سایبری با انگیزه مالی در پشت بهره برداری از آسیب پذیری های جدید افشا شده در روز صفر قرار دارند. گروه تحلیل تهدیدات گوگل (TAG) و Mandiant در Google Cloud.
TAG و Mandiant شاهد 97 روز صفر بهره برداری در طبیعت در سال 2023 بودند که نسبت به 62 روز در سال 2022 افزایش داشت، اما نسبت به 106 روز در سال 2021 کاهش داشت.
تحلیلگران گفتند که از 58 روز صفری که میتوانستند انگیزههای تهدید را به آن نسبت دهند، 48 مورد به دلیل گروههای تهدید دائمی پیشرفته تحت حمایت دولت (APT) بود که فعالیتهای جاسوسی انجام میدادند، در حالی که تنها 10 مورد به دلیل مجرمان سایبری با انگیزه مالی، معمولاً باجافزارها بود.
در میان چهار عملیات اصلی هک دولتی که به عنوان خصمانه با بریتانیا، ایالات متحده و سایر کشورهای غربی – چین، ایران، کره شمالی و روسیه تلقی میشوند – اپراتورهای چینی پیشتاز بودند و تقریباً دو برابر بیشتر از سال 2022 از روزهای صفر استفاده کردند. و کمی بیش از 40 درصد از کل بهره برداری های نسبت داده شده را نشان می دهد.
هشدار گوگل در مورد فعالیت سایبری چین تنها چند روز پس از دولت بریتانیا و ایالات متحده منتشر شد چندین نهاد را تحریم می کند و هشدارهای جدیدی صادر کرد برای هدف قرار دادن سیاستمداران و تجارت توسط هکرهای چینی که قصد سرقت اسرار دولتی و مالکیت معنوی را دارند.
یافتههای او نشان میدهد که هنگام اولویتبندی پاسخ به افشای آسیبپذیریها، سازمانهایی که بیشتر در معرض خطر مداخله مخرب دولت هستند، مانند سازمانهای دولتی، دانشگاهها و مؤسسات تحقیقاتی، و اپراتورهای زیرساخت ملی حیاتی (CNI) باید توجه ویژهای داشته باشند.
مطابق با دو سال گذشته، ما بهره برداری بیشتر توسط دولت از آسیب پذیری های روز صفر را به جمهوری خلق چین نسبت دادیم. [People’s Republic of China] مدی استون، جرد سمراو و جیمز سادوسکی، نویسندگان گزارش نوشتند که مهاجمان تحت حمایت دولت بیش از هر کشور دیگری.
Mandiant گزارش های گسترده ای در مورد چندین کمپین بهره برداری گسترده، از جمله بهره برداری UNC4841 از دو آسیب پذیری در دروازه امنیتی ایمیل Barracuda گزارش داده است. CVE-2023-2868 و CVE-2023-7102.
آنها گفتند: “این بازیگر علاقه خاصی به اطلاعات سیاسی یا استراتژیک دولت جمهوری خلق چین داشت و دولت ها و سازمان های جهانی را در صنایع با اولویت بالا هدف قرار داد.” علاوه بر این، ما علاقه خاصی به دامنه های ایمیل و کاربران وزارت خارجه کشورهای عضو آسه آن و همچنین افراد در دفاتر تجارت خارجی و سازمان های تحقیقاتی دانشگاهی در تایوان و هنگ کنگ مشاهده کردیم.
دیگر روزهای صفر مورد توجه ویژه جاسوسان سایبری چین در ماه های اخیر عبارتند از CVE-2022-41328 در Fortinet FortiOS، که به یک آسیبپذیری بای پس احراز هویت VMware مرتبط شده بود، CVE-2023-20867، از گروهی که Mandiant با نام UNC3886 ردیابی کرده است. UNC3886 همچنین به شدت از یکی دیگر از مشکلات VMware سوء استفاده می کند. CVE-2023-34048به عنوان پیش درآمدی برای استفاده از عبور بای پس احراز هویت.
استون، سمراو و سادووسکی خاطرنشان کردند که در هر دو مورد، بهره برداری از دو زنجیره آسیب پذیری به بیش از 12 ماه – و در مورد دوم به سال 2021 – برمی گردد که نشان می دهد چگونه بازیگران تهدید چین در شناسایی و استفاده از آنها بسیار ماهر هستند. روزهای صفر جدید، و با موفقیت آنها را برای مدت زمان قابل توجهی مخفی نگه داشت.
تمرکز بر چین نباید از فعالیتهای جاسوسی سایبری روسیه و کره شمالی – که ناچیز نبود – منحرف شود و سال 2023 نیز برای ظهور یک گروه APT بلاروسی قابل توجه بود. معروف به Winter Wyvern. این اولین باری است که یک بازیگر بلاروسی دیده میشود که از روزهای صفر استفاده میکند، اگرچه با توجه به اینکه بلاروس اساساً یک کشور تابع روسیه است، نمیتوان گفت که Winter Vivern تا چه حد مستقل عمل میکند.
از نظر جرایم سایبری با انگیزه مالی، که 17 درصد از سوء استفادههای روز صفر را به خود اختصاص داده است – نسبت به سال 2022 کمتر است – یک گروه، FIN11، تقریباً یک سوم از سوء استفادههای با انگیزه مالی مشاهده شده در سال گذشته را به خود اختصاص داده است، که هر روز در روز صفر سرمایهگذاری زیادی برای بهرهکشی انجام داده است. چند سال.
FIN11 به چندین عملیات باج افزار پرکار مرتبط است. به خصوص Clop/Cl0p و اپراتورهای قبلی مرتبط، اما باندهای دیگر، از جمله Akira، LockBit و Nokoyawa نیز به شدت در بهرهبرداری روز صفر درگیر هستند یا بودند.
Stone، Semrau و Sadowski می نویسند: “با توجه به منابع گسترده ای که برای شناسایی و بهره برداری از آسیب پذیری های روز صفر سرمایه گذاری شده است، عوامل تهدید با انگیزه مالی به احتمال زیاد برای بهره برداری از آسیب پذیری هایی که دسترسی موثر به سازمان های هدف را فراهم می کنند، اولویت دارند.”
آنها گفتند: «FIN11 به شدت بر برنامههای انتقال فایل تمرکز دارد که دسترسی کارآمد و مؤثر به دادههای حساس قربانیان را بدون نیاز به ترافیک جانبی شبکه فراهم میکند و مراحل استخراج و کسب درآمد را ساده میکند». متعاقباً، درآمدهای کلان حاصل از اخاذی انبوه یا کمپینهای باجافزاری احتمالاً به سرمایهگذاری بیشتر این گروهها در آسیبپذیریهای جدید دامن میزند.»
عملیات جاسوس افزارهای تجاری
یکی از ماجراهای بزرگ سایبری در سه سال اخیر، افشای فعالیت های این سازمان بود فروشندگان نرم افزارهای جاسوسی تجاری (CSV)، شرکتهای قانونی که ابزارهای نظارت سایبری را توسعه داده و به دولتها میفروشند.
قابل توجه ترین CSV که در سال 2020 ظاهر شده است گروه NSO مستقر در اسرائیل که اکنون رسوا شده استکه دستگاههای اپل دارای سیستم عامل iOS را هدف قرار میدهد و نرمافزار آن در ترور جمال خاشقجی، روزنامهنگار سعودی و همچنین بسیاری از فعالیتهای پلید دیگر توسط دولتهای مختلف، از جمله دولتهای غربی، دخیل بوده است.
گوگل به عنوان حامی سیستم عامل رقیب موبایل اندروید، علاقه خاصی به مقابله با CSV دارد و دادههای TAG/Mandiant نشان میدهد که مانند APTهای دولتی، CSV بیش از 40 درصد از فعالیتهای بهرهبرداری روز صفر را پشت سر گذاشته است. 2023 و بیش از 75 درصد از کل فعالیت ها به محصولات و دستگاه های آن با اکوسیستم اندروید و 55 درصد به iOS و سافاری اختصاص دارد.
نویسندگان گزارش مینویسند: «صنعت نظارت تجاری برای پر کردن یک بازار پرسود پدید آمده است: فروش فناوریهای پیشرفته به دولتهایی در سراسر جهان که از آسیبپذیریها در دستگاهها و برنامههای مصرفکننده برای نصب مخفیانه نرمافزارهای جاسوسی بر روی دستگاههای افراد سوءاستفاده میکنند». بنابراین، CSV ها امکان توزیع ابزارهای هک خطرناک را فراهم می کنند.
“CSV ها با تخصص فنی عمیق کار می کنند تا ابزارهای “پرداخت به بازی” را ارائه دهند که زنجیره ای از سوء استفاده ها را گرد هم می آورد که برای غلبه بر سیستم های دفاعی، جاسوس افزارها و زیرساخت های لازم یک دستگاه انتخاب شده طراحی شده است، همه برای جمع آوری داده های مورد نظر از دستگاه یک فرد.” آنها گفتند.
مشتریان دولتی که این ابزارها را خریداری میکنند، میخواهند انواع مختلفی از دادهها را برای با ارزشترین اهداف خود جمعآوری کنند، از جمله رمز عبور، پیامهای SMS، ایمیلها، موقعیت مکانی، تماسهای تلفنی و حتی ضبط صدا و تصویر. برای جمع آوری این داده ها، CSV ها اغلب نرم افزارهای جاسوسی را برای هدف قرار دادن دستگاه های تلفن همراه توسعه می دهند. لازم به ذکر است که ما نتوانستیم هیچ روز صفر ویندوز را به CSV نسبت دهیم.”
روز صفر در سال 2024
با نگاهی به ماههای آینده، تیم TAG/Mandiant تخمین میزند که نرخ شناسایی و بهرهبرداری در روز صفر بالاتر از سطح قبل از کووید خواهد بود، اما صرف نظر از اینکه چه تعداد از آنها ظهور میکنند، واضح است که صنعت امنیت به طور جمعی در حال ایجاد یک فروشندگان پلتفرم های مصرف کننده – از جمله اپل، گوگل و مایکروسافت – سرمایه گذاری های قابل توجهی انجام داده اند که به نظر می رسد بر انواع و تعداد روزهای صفر “در دسترس” برای بهره برداری تأثیر می گذارد.
با این حال، آنها خاطرنشان کردند، این ممکن است در نهایت منجر به تهدیدهایی شود که شبکه گسترده تری را ایجاد می کند و توجه را به محصولات و خدمات بیشتری جلب می کند – به ویژه آنهایی که توسط شرکت های امنیت سایبری تولید می شوند. به نظر می رسد روندهای اخیر، از جمله حملاتی که از طریق آسیب پذیری های Barracuda، Cisco، Ivanti و Trend Micro سازماندهی شده اند، نشان می دهد که این اتفاق در حال حاضر رخ داده است. محققان همچنین شاهد افزایش استفاده از روزهای صفر در مؤلفههای مشتق شده از کتابخانههای شخص ثالث هستند: شواهد دیگری از این تمرکز در حال گسترش.
آنها گفتند: “ما انتظار داریم که رشدی که در چند سال گذشته دیدهایم ادامه یابد زیرا فروشندگان همچنان راههای دیگر مصالحه را کمتر در دسترس قرار میدهند و عوامل تهدید منابع بیشتری را روی بهرهبرداری روز صفر متمرکز میکنند.” گسترش گستردهتر فناوری، بهرهبرداری روز صفر را نیز محتملتر کرده است: به زبان ساده، فناوری بیشتر فرصتهای بیشتری را برای بهرهبرداری ارائه میدهد.
اگرچه دلیلی برای خوشبین بودن وجود دارد، اما این وظیفه کل صنعت است که به یادگیری این درسها ادامه دهد و کارهایی را که برای موفقیت باید انجام دهیم: به اشتراک گذاشتن درسهای آموختهشده در مورد چگونگی وصلههای هوشمندانهتر، نه سختتر، کشف کردن. فعالیتهایی که ممکن است بر روی کاربران و شرکتها تأثیر بگذارد و به اندازه کافی آماده و انعطافپذیر باشند تا بتوانند به سرعت برای کوتاه کردن عمر و دوام این اکسپلویتها اقدام کنند.»