لقد ملأ موضوع فيروس كورونا اليوم جميع قنوات الأخبار، وأصبح أيضًا الفكرة الرئيسية لأنشطة المهاجمين المختلفة الذين يستغلون موضوع فيروس كورونا وكل ما يتعلق به. أود في هذه المذكرة أن ألفت الانتباه إلى بعض الأمثلة على مثل هذا النشاط الخبيث، والذي بالطبع لا يعد سرا بالنسبة للعديد من المتخصصين في أمن المعلومات، ولكن ملخصه في ملاحظة واحدة سيسهل عليك إعداد وعيك الخاص – رفع الفعاليات للموظفين، الذين يعمل بعضهم عن بعد والبعض الآخر أكثر عرضة لتهديدات أمن المعلومات المختلفة من ذي قبل.
دقيقة عناية من جسم غامض
أعلن العالم رسميًا عن جائحة كوفيد-19، وهو عدوى تنفسية حادة محتملة يسببها فيروس كورونا سارس-كوف-2 (2019-nCoV). هناك الكثير من المعلومات عن حبري حول هذا الموضوع - تذكر دائمًا أنها يمكن أن تكون موثوقة/مفيدة والعكس صحيح.
نحن نشجعك على انتقاد أي معلومات منشورة.
مصادر رسمية
- المواقع الإلكترونية والمجموعات الرسمية لمقرات العمليات في المناطق
إذا كنت لا تعيش في روسيا، يرجى الرجوع إلى مواقع مماثلة في بلدك.
اغسل يديك، واعتني بأحبائك، وابق في المنزل إن أمكن، واعمل عن بعد.قراءة المنشورات حول: |
تجدر الإشارة إلى أنه لا توجد تهديدات جديدة تمامًا مرتبطة بفيروس كورونا اليوم. بل نحن نتحدث عن ناقلات الهجوم التي أصبحت تقليدية بالفعل، وتستخدم ببساطة في "صلصة" جديدة. لذا، أود أن أسمي الأنواع الرئيسية من التهديدات:
- مواقع التصيد والنشرات الإخبارية المتعلقة بفيروس كورونا والشفرات الضارة ذات الصلة
- الاحتيال والمعلومات المضللة التي تهدف إلى استغلال الخوف أو المعلومات غير الكاملة حول فيروس كورونا (COVID-19).
- الهجمات ضد المنظمات المشاركة في أبحاث فيروسات التاجية
في روسيا، حيث لا يثق المواطنون تقليديًا بالسلطات ويعتقدون أنها تخفي الحقيقة عنها، فإن احتمالية "الترويج" الناجح لمواقع التصيد والقوائم البريدية، فضلاً عن الموارد الاحتيالية، أعلى بكثير مما هي عليه في البلدان الأكثر انفتاحًا. سلطات. على الرغم من أنه لا يمكن لأحد اليوم أن يعتبر نفسه محميًا تمامًا من المحتالين عبر الإنترنت المبدعين الذين يستخدمون جميع نقاط الضعف البشرية الكلاسيكية للشخص - الخوف والرحمة والجشع وما إلى ذلك.
لنأخذ على سبيل المثال موقعًا احتياليًا يبيع أقنعة طبية.
تم إغلاق موقع مماثل، CoronaMedicalkit[.]com، من قبل السلطات الأمريكية لتوزيعه لقاحًا غير موجود لكوفيد-19 مجانًا مع رسوم بريدية "فقط" لشحن الدواء. في هذه الحالة، مع مثل هذا السعر المنخفض، كان الحساب هو الطلب السريع على الدواء في ظروف الذعر في الولايات المتحدة.
هذا ليس تهديدًا إلكترونيًا كلاسيكيًا، نظرًا لأن مهمة المهاجمين في هذه الحالة لا تتمثل في إصابة المستخدمين أو سرقة بياناتهم الشخصية أو معلومات تحديد الهوية، ولكن ببساطة في موجة من الخوف لإجبارهم على شراء الأقنعة الطبية بأسعار مبالغ فيها. بنسبة 5-10-30 مرة تتجاوز التكلفة الفعلية. لكن فكرة إنشاء موقع ويب مزيف يستغل موضوع فيروس كورونا يتم استخدامها أيضًا من قبل مجرمي الإنترنت. على سبيل المثال، إليك موقع يحتوي اسمه على الكلمة المفتاحية “covid19”، ولكنه أيضًا موقع تصيد احتيالي.
بشكل عام، المراقبة اليومية لخدمة التحقيق في الحوادث لدينا ، ترى عدد النطاقات التي يتم إنشاؤها والتي تحتوي أسماؤها على الكلمات covid وcovid19 وcoronavirus وما إلى ذلك. وكثير منهم خبيث.
في بيئة يتم فيها نقل بعض موظفي الشركة للعمل من المنزل ولا يتمتعون بالحماية من خلال الإجراءات الأمنية للشركة، أصبح من المهم أكثر من أي وقت مضى مراقبة الموارد التي يتم الوصول إليها من الأجهزة المحمولة وأجهزة سطح المكتب الخاصة بالموظفين، عن علم أو بدون علمهم. معرفة. إذا كنت لا تستخدم الخدمة لاكتشاف هذه المجالات وحظرها (و Cisco أصبح الاتصال بهذه الخدمة مجانيًا الآن)، ثم على الأقل قم بتكوين حلول مراقبة الوصول إلى الويب الخاصة بك لمراقبة النطاقات باستخدام الكلمات الرئيسية ذات الصلة. في الوقت نفسه، تذكر أن النهج التقليدي لإدراج النطاقات في القائمة السوداء، وكذلك استخدام قواعد بيانات السمعة، يمكن أن يفشل، حيث يتم إنشاء النطاقات الضارة بسرعة كبيرة ويتم استخدامها في 1-2 هجوم فقط لمدة لا تزيد عن بضع ساعات - ثم يتحول المهاجمون إلى مجالات جديدة سريعة الزوال. ببساطة، ليس لدى شركات أمن المعلومات الوقت الكافي لتحديث قواعد معارفها بسرعة وتوزيعها على جميع عملائها.
يواصل المهاجمون استغلال قناة البريد الإلكتروني بشكل نشط لتوزيع روابط التصيد والبرامج الضارة في المرفقات. وفعاليتها عالية جدًا، نظرًا لأن المستخدمين، أثناء تلقيهم رسائل بريدية إخبارية قانونية تمامًا حول فيروس كورونا، لا يمكنهم دائمًا التعرف على شيء ضار في حجمهم. وبينما يتزايد عدد المصابين، فإن نطاق هذه التهديدات سيزداد أيضًا.
على سبيل المثال، هذا ما يبدو عليه مثال لرسالة بريد إلكتروني تصيدية نيابة عن مركز السيطرة على الأمراض:
إن اتباع الرابط، بالطبع، لا يؤدي إلى موقع CDC، بل إلى صفحة مزيفة تسرق معلومات تسجيل الدخول وكلمة المرور الخاصة بالضحية:
فيما يلي مثال على رسالة بريد إلكتروني تصيدية يُفترض أنها نيابة عن منظمة الصحة العالمية:
وفي هذا المثال، يعتمد المهاجمون على حقيقة أن العديد من الأشخاص يعتقدون أن السلطات تخفي الحجم الحقيقي للعدوى عنهم، وبالتالي ينقر المستخدمون بسعادة ودون تردد تقريبًا على هذه الأنواع من الرسائل التي تحتوي على روابط أو مرفقات ضارة من المفترض أن تكشف كل الأسرار.
بالمناسبة، هناك مثل هذا الموقع ، والذي يسمح لك بتتبع المؤشرات المختلفة، على سبيل المثال، معدل الوفيات، وعدد المدخنين، والسكان في مختلف البلدان، وما إلى ذلك. يحتوي الموقع أيضًا على صفحة مخصصة لفيروس كورونا. وهكذا عندما ذهبت إليها في 16 مارس، رأيت صفحة جعلتني أشك للحظة في أن السلطات كانت تقول لنا الحقيقة (لا أعرف ما سبب هذه الأرقام، ربما مجرد خطأ):
إحدى البنى التحتية الشائعة التي يستخدمها المهاجمون لإرسال رسائل بريد إلكتروني مماثلة هي Emotet، وهي واحدة من أخطر التهديدات وأكثرها شيوعًا في الآونة الأخيرة. تحتوي مستندات Word المرفقة برسائل البريد الإلكتروني على برامج تنزيل Emotet، والتي تقوم بتحميل وحدات ضارة جديدة على كمبيوتر الضحية. تم استخدام Emotet في البداية للترويج لروابط لمواقع احتيالية تبيع أقنعة طبية، وتستهدف المقيمين في اليابان. أدناه ترى نتيجة تحليل ملف ضار باستخدام وضع الحماية ، الذي يقوم بتحليل الملفات بحثًا عن البرامج الضارة.
لكن المهاجمين لا يستغلون فقط القدرة على التشغيل في برنامج MS Word، ولكن أيضًا في تطبيقات Microsoft الأخرى، على سبيل المثال، في MS Excel (هكذا تصرفت مجموعة قراصنة APT36)، وإرسال توصيات بشأن مكافحة فيروس كورونا من حكومة الهند تحتوي على Crimson فأر:
حملة ضارة أخرى تستغل موضوع فيروس كورونا هي Nanocore RAT، والتي تسمح لك بتثبيت البرامج على أجهزة الكمبيوتر الضحية للوصول عن بعد، واعتراض ضربات لوحة المفاتيح، والتقاط صور الشاشة، والوصول إلى الملفات، وما إلى ذلك.
وعادة ما يتم تسليم Nanocore RAT عبر البريد الإلكتروني. على سبيل المثال، أدناه ترى نموذجًا لرسالة بريدية تحتوي على أرشيف ZIP مرفق يحتوي على ملف PIF قابل للتنفيذ. ومن خلال النقر على الملف القابل للتنفيذ، يقوم الضحية بتثبيت برنامج الوصول عن بعد (Remote Access Tool, RAT) على جهاز الكمبيوتر الخاص به.
إليكم مثال آخر لحملة طفيلية حول موضوع كوفيد-19. يتلقى المستخدم خطابًا حول تأخير التسليم المفترض بسبب فيروس كورونا مع فاتورة مرفقة بالامتداد .pdf.ace. يوجد داخل الأرشيف المضغوط محتوى قابل للتنفيذ ينشئ اتصالاً بخادم الأوامر والتحكم لتلقي أوامر إضافية وتنفيذ أهداف مهاجم أخرى.
يتمتع Parallax RAT بوظيفة مماثلة، حيث يقوم بتوزيع ملف يسمى "جديد مصاب بـ CORONAVIRUS sky 03.02.2020/XNUMX/XNUMX.pif" والذي يقوم بتثبيت برنامج ضار يتفاعل مع خادم الأوامر الخاص به عبر بروتوكول DNS. أدوات حماية فئة EDR، مثال على ذلك ، وسيساعد إما NGFW في مراقبة الاتصالات مع خوادم الأوامر (على سبيل المثال، )، أو أدوات مراقبة DNS (على سبيل المثال، ).
في المثال أدناه، تم تثبيت برنامج ضار للوصول عن بعد على جهاز الكمبيوتر الخاص بالضحية الذي، لسبب غير معروف، اشترى إعلانًا بأن برنامج مكافحة الفيروسات العادي المثبت على جهاز الكمبيوتر يمكنه الحماية من فيروس كورونا (COVID-19) الحقيقي. وبعد كل شيء، وقع شخص ما في مثل هذه النكتة على ما يبدو.
ولكن من بين البرامج الضارة هناك أيضًا بعض الأشياء الغريبة حقًا. على سبيل المثال، الملفات المزيفة التي تحاكي عمل برامج الفدية. في إحدى الحالات، قسم Cisco Talos الخاص بنا ملف اسمه CoronaVirus.exe، والذي أدى إلى حجب الشاشة أثناء التنفيذ وبدأ تشغيل مؤقت ورسالة "حذف جميع الملفات والمجلدات الموجودة على هذا الكمبيوتر - فيروس كورونا".
عند الانتهاء من العد التنازلي، أصبح الزر الموجود في الأسفل نشطًا، وعند الضغط عليه، ظهرت الرسالة التالية، مفادها أن هذا كله مزحة وأنه يجب عليك الضغط على Alt+F12 لإنهاء البرنامج.
يمكن أتمتة مكافحة المراسلات البريدية الضارة، على سبيل المثال، باستخدام ، والذي لا يسمح لك باكتشاف المحتوى الضار في المرفقات فحسب، بل يسمح لك أيضًا بتتبع روابط التصيد الاحتيالي والنقرات عليها. ولكن حتى في هذه الحالة، يجب ألا تنسى تدريب المستخدمين وإجراء عمليات محاكاة التصيد الاحتيالي والتمارين السيبرانية بانتظام، والتي ستعد المستخدمين لمختلف حيل المهاجمين التي تستهدف مستخدميك. خاصة إذا كانوا يعملون عن بعد ومن خلال بريدهم الإلكتروني الشخصي، فيمكن أن تخترق التعليمات البرمجية الضارة شبكة الشركة أو الإدارات. هنا يمكنني أن أوصي بحل جديد ، والذي لا يسمح فقط بإجراء التدريب الجزئي والنانوي للموظفين حول قضايا أمن المعلومات، ولكن أيضًا تنظيم عمليات محاكاة التصيد لهم.
ولكن إذا لم تكن مستعدًا لاستخدام مثل هذه الحلول لسبب ما، فمن المفيد على الأقل تنظيم رسائل بريدية منتظمة لموظفيك مع تذكير بخطر التصيد الاحتيالي وأمثلته وقائمة قواعد السلوك الآمن (الشيء الرئيسي هو ذلك المهاجمون لا يتنكرون مثلهم). بالمناسبة، أحد المخاطر المحتملة في الوقت الحاضر هو رسائل التصيد الاحتيالي التي تتنكر في شكل رسائل من إدارتك، والتي يُزعم أنها تتحدث عن قواعد وإجراءات جديدة للعمل عن بعد، والبرامج الإلزامية التي يجب تثبيتها على أجهزة الكمبيوتر البعيدة، وما إلى ذلك. ولا تنس أنه بالإضافة إلى البريد الإلكتروني، يمكن لمجرمي الإنترنت استخدام برامج المراسلة الفورية والشبكات الاجتماعية.
في هذا النوع من البرامج البريدية أو برامج التوعية، يمكنك أيضًا تضمين المثال الكلاسيكي بالفعل لخريطة الإصابة بفيروس كورونا المزيفة، والتي كانت مشابهة لتلك التي جامعة جونز هوبكنز. اختلاف هو أنه عند الوصول إلى موقع التصيد الاحتيالي، تم تثبيت برامج ضارة على جهاز الكمبيوتر الخاص بالمستخدم، مما أدى إلى سرقة معلومات حساب المستخدم وإرسالها إلى مجرمي الإنترنت. كما قام أحد إصدارات هذا البرنامج أيضًا بإنشاء اتصالات RDP للوصول عن بعد إلى كمبيوتر الضحية.
بالمناسبة، حول RDP. وهذا هو ناقل هجوم آخر بدأ المهاجمون في استخدامه بشكل أكثر نشاطًا أثناء جائحة فيروس كورونا. تستخدم العديد من الشركات، عند التحول إلى العمل عن بعد، خدمات مثل RDP، والتي، إذا تم تكوينها بشكل غير صحيح بسبب التسرع، يمكن أن تؤدي إلى اختراق المهاجمين لكل من أجهزة كمبيوتر المستخدم البعيدة وداخل البنية التحتية للشركة. علاوة على ذلك، حتى مع التكوين الصحيح، قد تحتوي تطبيقات RDP المختلفة على ثغرات أمنية يمكن استغلالها من قبل المهاجمين. على سبيل المثال، سيسكو تالوس ثغرات أمنية متعددة في FreeRDP، وفي مايو من العام الماضي، تم اكتشاف ثغرة أمنية حرجة CVE-2019-0708 في خدمة Microsoft Remote Desktop، والتي سمحت بتنفيذ تعليمات برمجية عشوائية على كمبيوتر الضحية، وإدخال برامج ضارة، وما إلى ذلك. حتى أنه تم توزيع رسالة إخبارية عنها ، وعلى سبيل المثال، Cisco Talos توصيات للحماية منه.
هناك مثال آخر على استغلال موضوع فيروس كورونا - التهديد الحقيقي بإصابة عائلة الضحية إذا رفضوا دفع الفدية بعملة البيتكوين. لتعزيز التأثير، ولإضفاء أهمية على الرسالة وخلق شعور بالقدرة المطلقة للمبتزين، تم إدراج كلمة مرور الضحية من أحد حساباته، والتي تم الحصول عليها من قواعد البيانات العامة لتسجيلات الدخول وكلمات المرور، في نص الرسالة.
في أحد الأمثلة أعلاه، أظهرت رسالة تصيد احتيالي من منظمة الصحة العالمية. وهنا مثال آخر حيث يُطلب من المستخدمين مساعدة مالية لمحاربة فيروس كورونا (على الرغم من أن كلمة "التبرع" ملحوظة على الفور في رأس الرسالة). ويطلبون المساعدة في عملات البيتكوين للحماية من فيروس كورونا. تتبع العملة المشفرة.
واليوم هناك العديد من الأمثلة التي تستغل تعاطف المستخدمين:
ترتبط عملات البيتكوين بـCOVID-19 بطريقة أخرى. على سبيل المثال، هذا هو ما تبدو عليه الرسائل البريدية التي يتلقاها العديد من المواطنين البريطانيين الذين يجلسون في المنزل ولا يستطيعون كسب المال (في روسيا الآن سيصبح هذا أيضًا ذا صلة).
توفر هذه الرسائل البريدية، التي تتنكر في صورة صحف ومواقع إخبارية معروفة، أموالاً سهلة عن طريق استخراج العملات المشفرة في مواقع خاصة. في الواقع، بعد مرور بعض الوقت، تصلك رسالة مفادها أنه يمكن سحب المبلغ الذي كسبته إلى حساب خاص، لكن عليك تحويل مبلغ صغير من الضرائب قبل ذلك. ومن الواضح أنه بعد استلام هذه الأموال، لا يقوم المحتالون بتحويل أي شيء في المقابل، ويخسر المستخدم الساذج الأموال المحولة.
هناك تهديد آخر مرتبط بمنظمة الصحة العالمية. اخترق المتسللون إعدادات نظام أسماء النطاقات (DNS) لأجهزة التوجيه D-Link وLinksys، والتي غالبًا ما يستخدمها المستخدمون المنزليون والشركات الصغيرة، من أجل إعادة توجيههم إلى موقع ويب مزيف مع تحذير منبثق حول الحاجة إلى تثبيت تطبيق منظمة الصحة العالمية، والذي سيبقيهم مطلع على آخر الأخبار حول فيروس كورونا. علاوة على ذلك، يحتوي التطبيق نفسه على برنامج Oski الخبيث الذي يسرق المعلومات.
فكرة مماثلة مع تطبيق يحتوي على الوضع الحالي لعدوى فيروس كورونا (COVID-19) يتم استغلالها من قبل فيروس Android Trojan CovidLock، والذي يتم توزيعه من خلال تطبيق من المفترض أنه "معتمد" من قبل وزارة التعليم الأمريكية ومنظمة الصحة العالمية ومركز مكافحة الأوبئة ( مركز السيطرة على الأمراض).
يعيش العديد من المستخدمين اليوم في عزلة ذاتية، ويستخدمون خدمات توصيل الطعام أو البقالة أو السلع الأخرى، مثل ورق التواليت، بشكل نشط، غير راغبين أو غير قادرين على الطهي. لقد أتقن المهاجمون أيضًا هذا الناقل لأغراضهم الخاصة. على سبيل المثال، هذا ما يبدو عليه موقع الويب الضار، وهو مشابه لمورد شرعي مملوك لشركة Canada Post. يؤدي الرابط من الرسالة النصية القصيرة التي تلقاها الضحية إلى موقع ويب يُبلغ عن عدم إمكانية تسليم المنتج المطلوب بسبب فقدان 3 دولارات فقط، والتي يجب دفعها بشكل إضافي. وفي هذه الحالة، يتم توجيه المستخدم إلى صفحة يجب عليه فيها الإشارة إلى تفاصيل بطاقته الائتمانية... مع كل ما يترتب على ذلك من عواقب.
في الختام، أود أن أقدم مثالين آخرين للتهديدات السيبرانية المتعلقة بفيروس كورونا (COVID-19). على سبيل المثال، تم دمج المكونات الإضافية "COVID-19 Coronavirus - Live Map WordPress Plugin" أو "Coronavirus Spread Prediction Graphs" أو "Covid-19" في المواقع التي تستخدم محرك WordPress الشهير، بالإضافة إلى عرض خريطة لانتشار الفيروس. فيروس كورونا، يحتوي أيضًا على البرنامج الضار WP-VCD. وشركة Zoom، التي أصبحت تحظى بشعبية كبيرة جدًا، في أعقاب نمو عدد الأحداث عبر الإنترنت، واجهت ما أسماه الخبراء “Zoombombing”. المهاجمون، ولكنهم في الواقع متصيدون إباحيون عاديون، اتصلوا بالمحادثات والاجتماعات عبر الإنترنت وأظهروا العديد من مقاطع الفيديو الفاحشة. بالمناسبة، تواجه الشركات الروسية اليوم تهديدًا مماثلاً.
أعتقد أن معظمنا يتحقق بانتظام من المصادر المختلفة، الرسمية وغير الرسمية، حول الوضع الحالي للوباء. ويستغل المهاجمون هذا الموضوع، ويقدمون لنا "أحدث" المعلومات حول فيروس كورونا، بما في ذلك المعلومات "التي تخفيها السلطات عنكم". ولكن حتى المستخدمين العاديين في الآونة الأخيرة ساعدوا المهاجمين في كثير من الأحيان عن طريق إرسال رموز من الحقائق التي تم التحقق منها من "المعارف" و"الأصدقاء". يقول علماء النفس إن مثل هذا النشاط الذي يقوم به المستخدمون "المثيرون للقلق" الذين يرسلون كل ما يدخل في مجال رؤيتهم (خاصة في الشبكات الاجتماعية وبرامج المراسلة الفورية، التي ليس لديها آليات حماية ضد مثل هذه التهديدات)، يتيح لهم الشعور بالمشاركة في مكافحة هذه التهديدات. تهديد عالمي، بل ويشعرون وكأنهم أبطال ينقذون العالم من فيروس كورونا. ولكن من المؤسف أن الافتقار إلى المعرفة الخاصة يؤدي إلى حقيقة مفادها أن هذه النوايا الحسنة "تقود الجميع إلى الجحيم"، مما يخلق تهديدات جديدة للأمن السيبراني ويزيد من عدد الضحايا.
في الواقع، يمكنني أن أستمر في تقديم أمثلة على التهديدات السيبرانية المتعلقة بفيروس كورونا؛ علاوة على ذلك، فإن مجرمي الإنترنت لا يقفون مكتوفي الأيدي ويبتكرون المزيد والمزيد من الطرق الجديدة لاستغلال المشاعر البشرية. لكنني أعتقد أنه يمكننا التوقف عند هذا الحد. الصورة واضحة بالفعل وتنبئنا بأن الوضع سوف يزداد سوءا في المستقبل القريب. ووضعت سلطات موسكو، أمس، المدينة التي يبلغ عدد سكانها عشرة ملايين نسمة تحت العزلة الذاتية. وقد فعلت سلطات منطقة موسكو والعديد من المناطق الأخرى في روسيا، وكذلك أقرب جيراننا في منطقة ما بعد الاتحاد السوفياتي السابق، الشيء نفسه. وهذا يعني أن عدد الضحايا المحتملين المستهدفين من قبل مجرمي الإنترنت سيزداد عدة مرات. لذلك، لا يستحق الأمر فقط إعادة النظر في إستراتيجيتك الأمنية، والتي كانت حتى وقت قريب تركز على حماية شبكة الشركة أو الإدارات فقط، وتقييم أدوات الحماية التي تفتقر إليها، ولكن أيضًا مراعاة الأمثلة الواردة في برنامج توعية الموظفين الخاص بك، وهو أن تصبح جزءًا مهمًا من نظام أمن المعلومات للعاملين عن بعد. أ على استعداد لمساعدتك في هذا!
ملاحظة. في إعداد هذه المادة، تم استخدام مواد من شركات Cisco Talos وNaked Security وAnti-Phishing وMalwarebytes Lab وZoneAlarm وReson Security وRiskIQ ووزارة العدل الأمريكية وBleeping Computer Resources وSecurityAffairs وما إلى ذلك.
المصدر: www.habr.com