Gerdab.IR | گرداب

به گزارش گرداب، هکرها از طریق نفوذ به سیستم‌های از راه دور تصفیه‌خانه این اختلال را به وجود آوردند. درحالی‌که تقریباً اپراتور تغییراتی را که هکر ایجاد کرده بود را خنثی کرد، اما این حادثه به سرعت به محل بحث و گفتگو در بین متخصصان امنیتی تبدیل شد. از جمله رایج‌ترین نکاتی که در بحث‌های آنلاین مطرح شد، استفاده از برنامه TeamViewer برای دسترسی به منابع زیرساخت‌های مهم ایالات‌متحده بود. این یک حادثه امنیتی توجه متخصصان امنیت، جامعه امنیت ملی و همچنین کاخ سفید را جلب کرد.

حمله به تصفیه‌خانه آب اولدزمار همان چیزی است که کابوس‌های عملیات فناوری از آن ساخته شده‌اند، هک‌هایی که انتظار دارید در یک فیلم هالیوود با بودجه کلان ببینید که در صورت موفقیت‌آمیز بودن، خسارت فاجعه‌بار به همراه دارد. این مورد نشان می‌دهد که یک تغییر کوچک اما مهلک چقدر سریع و به صورت پنهانی انجام می‌شود. به همین دلیل، جامعه امنیتی بیش از یک دهه است که در مورد افزایش تهدیدات OT هشدار می‌دهد.

در پی این اتفاق سیستم‌عامل ویندوز 7 و برنامه TeamViewer به علت ضعف زیرساخت‌های امنیتی و گپ‌های گذرواژه‌ای مورد اتهام اصلی این اتفاق بودند. ژانویه 2020 بود که شرکت مایکروسافت به طور رسمی پشتیبانی از ویندوز 7 را متوقف کرد.

تاریخ تکرار می‌شود

14 ژانویه 2020 (24 دی 1398) شرکت مایکروسافت به‌طور رسمی خبر توقف پشتیبانی از ویندوز 7 را اعلام کرد که مهم‌ترین پیامد آن این است که در صورت بروز یک حفره امنیتی در این سیستم‌عامل، مایکروسافت دیگر آپدیت امنیتی برای این نسخه منتشر نمی‌کند.

این یعنی تاریخ تکرار می‌شود: آوریل 2014 مایکروسافت پشتیبانی از ویندوز XP را متوقف کرد و در حمله باج‌افزاری به نام WannaCry در سال 2017، کاربرانی که از سیستم‌عامل XP استفاده می‌کردند بیشتر از سایر سیستم‌عامل‌ها از این حمله ضربه خوردند. حال پیش‌بینی می‌شود که در آینده نزدیک اتفاق مشابهی برای کاربرانی که از سیستم‌عامل ویندوز 7 استفاده می‌کنند نیز رخ دهد.

تهدیدات احتمالی استفاده از سیستم‌های قدیمی ویندوز 7، گذرواژه‌های ضعیف و نرم‌افزار اشتراک دسکتاپ TeamViewer از اوایل سال 2020 رخ داد .

حواشی حمله به تصفیه‌خانه

به دنبال حمله به تصفیه‌خانه، FBI هم به کاربران هشدار داد که نسبت به سیستم‌عامل ویندوز 7 منسوخ‌شده و نسبت به برنامه TeamViewer مراقب باشند.
همچنین FBI در اعلامیه‌ای بار دیگر از دولت فدرال و سازمان‌های خصوصی خواست تا شبکه‌های داخلی خود را برای هرگونه فعالیت مشکوک بررسی کنند.

این هشدار در پی حمله اخیر به شبکه تصفیه‌خانه اولدزمار است که در آن مهاجمان از راه دور به نرم‌افزاری دسترسی داشتند که مواد شیمیایی مورد استفاده در تصفیه آب را قبل از تأمین آن به شهر کنترل می‌کرد.

حمله به سیستم‌های کنترل صنعتی (ICS) چیز جدیدی نیست. پیش از این، گزارشی از شرکت امنیت سایبری صنعتی Claroty ارائه شده که نشان داده بود 70٪ آسیب‌پذیری‌های ICS کشف شده در نیمه اول سال 2020 از برنامه‌های دسترسی از راه دور استفاده کرده بودند.

هکرها در تلاش برای مسموم کردن سیستم آب شهر فلوریدا

کریس ریسلی، مدیرعامل شرکت Bastille Networks به طور انحصاری به CISO MAG گفت که "هک سیستم تصفیه آب مشکل‌ساز است زیرا این موضوع میزان آسیب‌پذیری شهرها در برابر نفوذ حیاتی زیرساخت‌ها را نشان می‌دهد.

آژانس‌هایی از جمله آژانس امنیت سایبری و زیرساخت‌های امنیتی (CISA)، آژانس حفاظت از محیط‌زیست (EPA) و مرکز تجزیه‌وتحلیل و اشتراک اطلاعات دولتی (MS-ISAC) اظهار داشتند که مجرمان سایبری از سیستم‌های قدیمی ویندوز 7 استفاده می‌کنند، نرم‌افزار TeamViewer و رمزهای عبور حساب کاربری ضعیف عوامل مهمی است که سبب حملات سایبری و نفوذ به شبکه‌ها می‌شود .

این دستکاری در ایالات‌متحده در درجه اول نشان می‌دهد که هکرها چگونه می‌توانند به راحتی به سیستم‌های حساس دسترسی پیدا کنند و بنابراین باید بیشتر از یک هشدار دیده شود و عواقب آن می‌تواند بسیار زیاد باشد. راه‌های دسترسی و نفوذ از طریق دورکاری در منازل نیز بسیار متنوع‌تر شده است.

برنامه‌های دسترسی از راه دور، بستری برای تهدید

مجرمان اینترنتی اغلب نرم‌افزارهای اشتراک دسکتاپ مانند TeamViewer را برای انجام حملات مهندسی اجتماعی و فیشینگ به کاربران مورد استفاده قرار می‌دهند.

برنامه TeamViewer فراتر از کاربردهای قانونی خود، به بازیگران سایبر امکان کنترل از راه دور بر روی سیستم‌های رایانه‌ای و انتقال فایل به رایانه‌های قربانی را می‌دهد، که این کار از نظر عملکرد شبیه Trojanهای از راه دور (RAT) است .

با این وجود استفاده قانونی از TeamViewer باعث می‌شود این فعالیت ناهنجار در مقایسه با RAT برای کاربران نهایی و مدیران سیستم مشکوک نباشد . چندین کارشناس مشهور امنیتی از شرکت‌ها و کارمندانی که اغلب از این نرم‌افزار برای کار از راه دور استفاده می‌کنند انتقاد کرده و آن را ناامن و ناکافی برای مدیریت منابع حساس خواندند .

هشدار FBI به طور مشخص به سازمان‌ها نمی‌گوید TeamViewer یا هر نوع دیگر از نرم‌افزارهای اشتراک دسکتاپ را حذف کنند، اما هشدار می‌دهد اگر مهاجمان به حساب کاربری کارمندان دسترسی پیدا کنند یا حساب‌های دسترسی از راه دور (مانند دسترسی RDP به ویندوز) با رمزهای عبور ضعیف نفوذ کنند، می‌توانند خسارات سنگینی را به بار بیاورند.

پیکربندی ناامن ابزارهای دسترسی از راه دور در ترکیب با سیستم‌عامل‌های قدیمی و پشتیبانی نشده و مدیریت ضعیف رمزهای عبور، می‌توانند منجر به سو استفاده از نرم‌افزاری که اساساً قانونی است شود .
در همین حال، TeamViewer بیانیه‌ای صادر کرده است:

«ما به عنوان یک ارائه‌دهنده جهانی برنامه‌های اتصال، بالاترین اقدامات امنیتی را داشته و جدیدترین مکانیسم‌های تأیید اعتبار را ارائه می‌دهیم. ما همچنین به طور کلی توصیه می‌کنیم که گذرواژه‌ها را با دقت زیادی مدیریت کنید. علاوه بر این، TeamViewer به طور صریح در سال‌های اخیر راه‌حلی را برای مشتریان و شرکت‌های بزرگ با الزامات امنیتی به خصوص بالا ارائه داده است که به لطف یک سیستم حقوق و نقش بسیار خوب، امکان مدیریت شفاف ارتباطات TeamViewer در داخل سازمان‌ها را فراهم می‌کند.

TeamViewer در مورد کارخانه تصفیه آب در اولدزمار با مقامات اجرای قانون مربوطه در ایالات‌متحده هماهنگی نزدیک دارد. با این حال، بر اساس تبادل اطلاعات مشترک و تجزیه‌وتحلیل فنی دقیق هیچ نشانه‌ای از ارتباطات مشکوک از طریق سیستم‌عامل ما یافت نشده است. ما همچنان به نظارت دقیق بر وضعیت ادامه می‌دهیم و تمام تلاش خود را برای حمایت از تحقیقات انجام می‌دهیم .»

ویندوز 7

یکی از بسترهای نفوذ به سیستم‌عامل‌های شرکت‌ها، استفاده مستمر از ویندوز 7 هست؛ سیستم‌عاملی که سال 2020 به پایان عمر خود رسید. موضوعی که FBI هم همچنین نسبت به سال گذشته به شرکت‌های آمریکایی هشدار داده است.

درحالی‌که هیچ مدرکی مبنی بر سوءاستفاده مهاجمان از اشکالات خاص ویندوز 7 وجود ندارد، ولی کارشناسان می‌گویند که ادامه استفاده از این سیستم‌عامل قدیمی خطرناک است زیرا سیستم‌عامل پشتیبانی نمی‌شود و به‌روزرسانی‌های امنیتی را دریافت نمی‌کند، که در حال حاضر بسیاری از سیستم‌ها را از طریق آسیب‌پذیری‌های تازه کشف شده در معرض حملات قرار می‌دهد.

با وجود تمامی این هشدارها نسبت به استفاده از ویندوز 7، بسیاری از شرکت‌ها و آژانس‌های فدرال و ایالتی ایالات‌متحده ممکن است نتوانند کاری در این مورد انجام دهند. کمبود بودجه برای نوسازی زیرساخت‌های فناوری اطلاعات از سوی مدیریت، موضوعی است که در بسیاری از سازمان‌ها و ادارات وجود دارد.

راه‌هایی افزایش ایمنی

برای استفاده ایمن از نرم‌افزار TeamViewer، توصیه‌های امنیتی مطرح شده است، ازجمله:

1- از ویژگی‌های دسترسی بدون نظارت، مانند Start TeamViewer به هنگام بالا آمدن ویندوز و دادن دسترسی آسان استفاده نکنید.

2- سرویس TeamViewer را برای شروع دستی تنظیم کنید تا در صورت عدم استفاده از برنامه و خدمات پس‌زمینه مرتبط، متوقف شوند.

3- گذرواژه‌های تصادفی را برای تولید رمزهای عبور عددی ده‌حرفی تنظیم کنید.

4- هنگام تنظیم کنترل دسترسی برای یک میزبان، از تنظیمات سفارشی برای دسترسی یک طرف از راه دور استفاده کنید.

5- از لیست Block and Allow استفاده کنید که به کاربر امکان کنترل سایر کاربران سازمانی TeamViewer را می‌دهد که اجازه دسترسی به سیستم را دارند. همچنین می‌توان از این لیست برای مسدود کردن کاربران مشکوک به دسترسی غیرمجاز استفاده کرد .

مشکلات سیستم‌عامل ویندوز 7

توقف پشتیبانی از ویندوز 7 در ژانویه 2020 که سیستم‌عامل مورد علاقه بسیاری بود، خبر خوبی تلقی نمی‌شد. این امر باعث نگرانی سازمان‌ها در استفاده مداوم از این سیستم‌عامل شد. مثل همیشه، توقف پشتیبانی به این معنی بود که تمام به‌روزرسانی‌ها و اصلاحات امنیتی ویندوز 7 متوقف می‌شوند .

بر طبق مشاهدات، مجرمان سایبری زیرساخت‌های شبکه رایانه‌ای را پس از رسیدن یک سیستم‌عامل به وضعیت پایان زندگی، هدف هک و نفوذ قرار می‌دهند. به همین جهت ادامه استفاده از ویندوز 7 در یک شرکت ممکن است مجرمان سایبری را به سیستم‌های رایانه‌ای آن‌ها دسترسی دهد.

رایانه‌های شخصی، سرورها و ایستگاه‌های کاری که ویندوز 7 را اجرا می‌کنند، همگی به نسخه جدیدتری از سیستم‌عامل ویندوز نیاز دارند تا در وضعیت ایمن‌تری قرار داشته باشند.

مایکروسافت در حال حاضر به کاربران اجازه می‌دهد تا ویندوز 10 را به صورت رایگان ارتقا دهند، علی‌رغم اینکه 4 سال پیش این پیشنهاد به طور رسمی پایان یافت. با این حال، سازمان‌ها دلایلی برای عدم به‌روزرسانی نرم‌افزار خود دارند. به طور مثال: این که سخت‌افزار آن‌ها با نسخه‌های جدید سازگار نیست، جایگزینی سخت‌افزارها هزینه‌های زیادی را به همراه دارد و ترجیح می‌دهند که این کار را نکنند.

با این حال، این هزینه‌های سخت‌افزاری بیشتر از دست دادن اطلاعات حساس و تهدیدهای یک سازمان نیست. هزینه عدم به‌روزرسانی و نفوذ بعدی در واقع بسیار بیشتر از هزینه به‌روزرسانی است. با این وجود افرادی که بودجه محدود یا دلایل دیگری دارند هنوز تصمیم دارند که ریسک کنند.

شرکت‌ها متوجه شده‌اند که هنگام استفاده از نرم‌افزار آسیب‌پذیر، هزینه بالای به‌روزرسانی را در مقابل خطر نقض داده‌ها می‌پردازند. برخی از سازمان‌ها ممکن است مجبور به جدا کردن دستگاه‌های ویندوز 7 خود باشند، که این نیز یک گزینه عملی نیست.

برخی از صنایع بیشتر از بقیه در معرض خطر هستند و صنایع مرتبط با پزشکی و سلامت در معرض خطر بالایی قرار دارند. طی بررسی‌های انجام‌شده، مشخص‌شده که صنعت پزشکی اکثراً از دستگاه‌ها با نرم‌افزارهای قدیمی استفاده می‌کنند.

ویندوز 7 مدت زیادی است که وجود دارد و این بدان معناست که هکرها قبلاً نقاط ضعف را کشف کرده و اقدامات خرابکارانه‌ای را طرح‌ریزی کرده‌اند. بدنام‌ترین سوءاستفاده تا به امروز EternalBlue است که بیشترین آن در حمله WannaCry در ماه مه 2017 رخ داد. در حمله WannaCry، 98٪ از قربانیان از ویندوز 7 استفاده می‌کردند.

مهاجمان همچنین از کرم BlueKeep برای آسیب‌پذیری روز صفر (Zero-Day) در سال 2019 استفاده کردند. آن‌ها دستگاه‌هایی را که ویندوز 7 را با RDP فعال می‌کنند هک کردند. مایکروسافت به‌روزرسانی‌ای را برای WannaCry و BlueKeep در دسترس قرار داد اما بسیاری از شرکت‌ها هرگز از آن استفاده نکردند که شامل بیمارستان‌ها، تولیدکنندگان، مدارس، ادارات شهری و دولتی می‌شد. همه این صنایع دچار حملات زیادی شده‌اند.

اکنون همه چیز آماده است تا این روند برای کاربران ویندوز 7 ادامه یابد زیرا آسیب‌پذیری‌های جدید اصلاح نمی‌شوند. در موارد نادر یک حمله یا تهدید بزرگ، مایکروسافت می‌تواند به‌روزرسانی‌ای اضطراری را همان‌طور که در سال 2017 برای NotPetya انجام داد، منتشر کند. اما این یک استثنا است و شرکت‌ها باید انتظار داشته باشند که به خودشان متکی باشند. هیچ به‌روزرسانی امنیتی در دسترس نخواهد بود.

این خبر خوبی برای هکرها است. آن‌ها نه‌تنها دارای امکانات بلکه فرصت با یک زمین بزرگ بازی هستند - کاربران ویندوز 7 نماینده 20 درصد از کاربران سیستم‌عامل‌های ویندوز هستند. همچنین در دسترس قرار گرفتن سوءاستفاده‌های جدید در میان مهاجمان معمول است .

بهداشت سایبری

همچنین پیگیری اقداماتی خاص که تحت عنوان بهداشت سایبری شناخته می‌شوند، می‌تواند از شما در برابر خطرات احتمالی محافظت کند. ازجمله آن‌ها عبارت‌اند از:

1- به جدیدترین نسخه سیستم‌عامل (به عنوان مثال ویندوز 10) به‌روز شوید.

2- از احراز هویت چندعاملی استفاده کنید.

3- برای محافظت از اطلاعات کاربری پروتکل دسکتاپ از راه دور (RDP) از رمزهای عبور قوی استفاده کنید.

4- اطمینان حاصل کنید که آنتی‌ویروس، فیلترهای هرزنامه و فایروال‌ها به‌روز هستند، به درستی تنظیم‌شده و از امنیت کافی برخوردار هستند.

5- تنظیمات شبکه را کنترل کنید و سیستم‌های رایانه‌ای را که نمی‌توانند به‌روز شوند، جدا کنید.

6- گزارش‌های حسابرسی برای همه پروتکل‌های اتصال از راه دور بررسی شود.

7- به کاربران آموزش دهید تا حملات مهندسی اجتماعی را شناسایی و گزارش دهند.

8- دسترسی کاربران دارای فعالیت غیرمعمول را شناسایی و به حالت تعلیق درآورید.

9- نرم‌افزارهای خود را به‌روز نگه دارید.

10- گذرواژه‌ها همیشه باید برای هر سیستمی پیچیده و طولانی باشند، از جمله ترکیبی از اعداد، حروف، نویسه‌های خاص و حروف کوچک و بزرگ و هرگز نباید دوباره استفاده شوند.

به طور کلی نباید فراموش کرد همه سازمان‌ها و نهادهای مهم زیرساختی - مانند تأمین آب - باید روی افراد، فرایندها و فناوری مورد نیاز برای حفظ امنیت این سیستم‌ها سرمایه‌گذاری کنند. مورد حمله به تصفیه‌خانه اولدزمار اولین مورد این نوع حملات نبود و مطمئناً آخرین حمله نیز نخواهد بود. هکرها در بهره‌برداری‌های خود بسیار خلاق هستند و راه‌حل‌های امنیتی نیز باید به سمت ذهنیت جدیدی سوق پیدا کنند.

____________________________________

منابع: 

https://cisomag.eccouncil.org/fbi-warns-about-outdated-windows-۷-os-and-teamviewer/.
https://specials-images.forbesimg.com/imageserve/۱۱۴۰۲۰۳۰۶۷/۹۶۰x۰.jpg?fit=scale
https://cisomag.eccouncil.org/cybercriminals-try-poisoning-water-supply-in-a-florida-city/
https://www.tampabay.com/resizer//X۱۶WQ۰rgpQIxn۱۱۷pBYIsIyyigw=/۱۶۰۰x۹۰۰/smart/cloudfront-us-east-۱.images.arcpublishing.com/tbt/BMEU۳NNYYNFMNI۵NFDQLCNMVQU.JPG
https://cisomag.eccouncil.org/fbi-warns-about-outdated-windows-۷-os-and-teamviewer/.
https://www.zdnet.com/article/following-oldsmar-attack-fbi-warns-about-using-teamviewer-and-windows-۷/
https://cisomag.eccouncil.org/fbi-warns-about-outdated-windows-۷-os-and-teamviewer/.
https://www.zdnet.com/article/following-oldsmar-attack-fbi-warns-about-using-teamviewer-and-windows-۷/
https://www.de۲۴.news/en/۲۰۲۱/۰۲/fbi-warns-of-windows-۷-and-teamviewer.html
https://www.de۲۴.news/en/۲۰۲۱/۰۲/fbi-warns-of-windows-۷-and-teamviewer.html
https://www.youtube.com/watch?v=vU۲FZ۸Rkj_A&ab_channel=WindowsOnWindows
https://cisomag.eccouncil.org/fbi-warns-about-outdated-windows-۷-os-and-teamviewer/.
https://cisomag.eccouncil.org/fbi-warns-about-outdated-windows-۷-os-and-teamviewer/.
https://www.virsec.com/blog/fbi-warns-orgs-still-using-windows-۷-are-at-high-risk
https://www.virsec.com/blog/fbi-warns-orgs-still-using-windows-۷-are-at-high-risk
https://www.virsec.com/blog/fbi-warns-orgs-still-using-windows-۷-are-at-high-risk
https://cisomag.eccouncil.org/fbi-warns-about-outdated-windows-۷-os-and-teamviewer/.