دو سال حمله سایبری آمریکا را دوباره در وضعیت هشدار بیماری قرار داد
دو سال حمله سایبری آمریکا را دوباره در وضعیت هشدار بیماری قرار داد
طی دو سال گذشته، مجرمان سایبری تحت حمایت دولت روسیه به چندین شبکه پیمانکاران دفاعی مورد تایید ایالات متحده (CDC) جذب شده اند تا اطلاعات حساس و غیرمحرمانه را همراه با فناوری اختصاصی و تحت کنترل صادرات به سرقت ببرند.
دفتر تحقیقات فدرال (FBI)، آژانس امنیت سایبری و زیرساخت (CISA) و آژانس امنیت ملی (NSA) روز چهارشنبه یک هشدار اولیه در مورد نقض سایبری صادر کردند.
این هشدار حاوی جزئیات روشهایی بود که مهاجمان استفاده میکردند و توصیههایی برای سازمانهای هدف برای کاهش حملات مداوم بیشتر بدون توجه به شواهدی مبنی بر مصالحه.
هکرها دسترسی مداوم به چندین شبکه CDC را در برخی موارد حداقل به مدت شش ماه حفظ کردند. در مواردی که بازیگران دسترسی پیدا کردهاند، FBI، NSA و CISA نفوذ منظم و مکرر ایمیلها و دادهها را مشاهده کردهاند.
نقاط قوت و ضعف را کشف کنید
به عنوان مثال، طی یک مصالحه در سال 2021، عوامل تهدید صدها سند مربوط به محصولات شرکت، روابط با سایر کشورها، کارمندان داخلی و مسائل حقوقی را به سرقت بردند.
این مداخلات به بازیگران بینش قابل توجهی در مورد نقاط قوت و ضعف تسلیحات ایالات متحده و وضعیت استقرار آنها داده است. بر اساس این هشدار، آنها همچنین طرح هایی را برای زیرساخت های ارتباطی و فناوری های خاص مورد استفاده دولت و ارتش ایالات متحده ارائه کردند.
این حملات سایبری حداقل از ژانویه 2020 تا فوریه 2022 ادامه داشت. سه آژانس ایالات متحده به هدف قرار دادن منظم پیمانکاران دفاعی ایالات متحده به CDC و پیمانکاران فرعی بزرگ و کوچک با سطوح مختلف پروتکل ها و منابع امنیت سایبری اشاره کردند.
اریک نونان، مدیر عامل CyberSheath و سابق BAE Systems CISO خاطرنشان کرد: پیمانکاران فدرال در گذشته در تامین امنیت داده های ارزشمند با مشکل مواجه بوده اند.
او به TechNewsWorld گفت: «در واقع، اگر به حملات بسیار موفق به پیمانکاران دفاعی و دادههای دولت فدرال نگاه کنید، نشان میدهد که پیمانکاران حداقل الزامات امنیت سایبری مورد نیاز خود را نادیده گرفتهاند و نتوانستهاند رعایت کنند.
تاکتیک های ثابت و موثر
هکرها از دسترسی به شبکه های CDC برای به دست آوردن اطلاعات حساس در مورد برنامه ها و قابلیت های دفاعی و اطلاعاتی ایالات متحده استفاده کرده اند. نهادهایی که مستقر شدند شامل مراکز کنترل بیماری بود که از ارتش ایالات متحده، نیروی هوایی ایالات متحده، نیروی دریایی ایالات متحده، نیروهای فضایی ایالات متحده، وزارت دفاع (DoD) و برنامه های اطلاعاتی پشتیبانی می کرد.
بر اساس این هشدار، هکرها از رمزهای عبور ساده، سیستمهای اصلاحنشده و کارمندان بیمعنا برای دسترسی اولیه قبل از حرکت افقی در سراسر شبکه برای نشان دادن پایداری و کشیدن دادهها استفاده کردهاند. در بسیاری از تلاشهای مصالحه، آنها از تاکتیکهای مشابه برای دسترسی به شبکههای سازمانی و ابری استفاده کردند.
از نظر تاریخی، بازیگران سایبری تحت حمایت دولت روسیه از تاکتیکهای رایج اما مؤثر برای دسترسی به شبکههای هدف استفاده کردهاند. این روشها شامل فیشینگ نیزه، جمعآوری اعتبار، تکنیکهای brute force/spray password و سوء استفاده از آسیبپذیریهای شناختهشده در برابر حسابها و شبکههای با امنیت ضعیف بود.
هکرهای تحت حمایت روسیه تلاش های خود را در برابر محیط پرکاربرد Microsoft 365 (M365) در اولویت قرار داده اند. آنها اغلب با استفاده از اعتبارنامه های قانونی و انواع بدافزارها هنگام هک ایمیل ها و داده ها، استقامت خود را حفظ کردند.
تاکتیک های مشابه
با توجه به سناریوهای حمله قبلی و اخیراً حملات سایبری تحت حمایت روسیه، چیزهای کمی متفاوت است. دولت ایالات متحده بیش از یک دهه است که شاهد حملات مشابه علیه دولت-ملت ها بوده است.
دولت فدرال همچنان دستورالعمل هایی را برای پیروی از پروتکل ها و توصیه های اولیه امنیت سایبری، مانند استفاده از رمزهای عبور قوی و منحصر به فرد، صادر می کند. نونان توضیح داد که دولت این توصیهها را به این دلیل ارائه میکند که پایگاه دفاع صنعتی اصول اولیه امنیت سایبری را که روسیه و چین شناسایی کردهاند و بارها و بارها از فرصت استفاده کردهاند، انجام نمیدهد.
یکی از بزرگترین مسائل این است که پیمانکاران فدرال موضع خود را در مورد امنیت سایبری دولت فدرال تأیید می کنند. او افزود، این بسیار شبیه به شرکتها است که اظهارنامه مالیاتی خود را بررسی کنند.
او گفت: «یکی دیگر از عوامل ناامیدکننده این است که ما همچنان شاهد به کارگیری تاکتیکهای حمله اولیه مانند spear phishing و بهرهبرداری از سیستمهای اصلاح نشده با آسیبپذیریهای شناختهشده هستیم.»
دزدیده شده دیجیتال به سرقت رفته آسیب
بسیاری از قراردادها و توضیحات منعقد شده در دسترس عموم است. اما تحولات برنامه و ارتباطات داخلی شرکت همچنان حساس است. سارقان سایبری این و بیشتر را دارند.
ایمیل های طبقه بندی نشده بین کارمندان یا با مشتریان دولتی اغلب حاوی جزئیات اختصاصی در مورد تحقیقات علمی و فناوری است. همچنین شامل به روز رسانی برنامه و وضعیت بودجه است.
اطلاعات بهدستآمده به بازیگران دولتی بینشی در مورد توسعه پلتفرمهای تسلیحاتی ایالات متحده و زمانبندی استقرار آنها ارائه کرد. سرقت اطلاعات همچنین شامل مشخصات خودرو و طرحهای زیرساخت فناوری اطلاعات و ارتباطات میشد.
دسترسی به اسناد داخلی و ارتباطات ایمیلی به دشمنان این امکان را می دهد که برنامه ها و اولویت های نظامی خود را تنظیم کنند. بر اساس هشدار امنیت سایبری، همچنین میتواند تلاشهای توسعه فناوری را تسریع کند، سیاستگذاران خارجی را از نیات ایالات متحده آگاه کند و منابع بالقوه اشتغال را هدف قرار دهد.
با توجه به حساسیت اطلاعات گسترده در دسترس در مورد شبکه های CDC طبقه بندی نشده، FBI، NSA و CISA پیش بینی می کنند که بازیگران سایبری تحت حمایت دولت روسیه همچنان مراکز کنترل و پیشگیری از بیماری ها را برای اطلاعات دفاعی ایالات متحده در آینده نزدیک هدف قرار دهند.
اجرای ناکافی دولت
پیمانکاران فدرال باید حداقل به حداقل امنیت سایبری اجباری مورد نیاز امروز خود دست یابند. اما به گفته نونان، این حداقل ها توسط دولت بررسی و اجرا نشده است.
پایگاه صنعتی دفاعی ما یک شبه امن تر خواهد شد. دولت تا حد زیادی در انتخاب الزامات موفق بوده است. آنها آن را اجرا نکردند.»
بنابراین دولت محدودیت سرعت را در سطح مناسبی تعیین می کند. او گفت که مشکل این است که هیچ کس بیرون نیست و یک تفنگ رادار کسی را برای سرعت بیش از حد بیرون می کشد، به دلیل نبود امنیت.
نونان پیشنهاد کرد، علاوه بر این، دولت باید به سرعت کل زنجیره تامین را برای دفاع بهتر در برابر این حملات با ایجاد امنیت سایبری مانعی برای درآمد آماده کند.
دولت باید پیمانکاران فدرال را در برابر استانداردهای امنیت سایبری مؤسسه ملی استاندارد و فناوری (NIST) بررسی کند و قراردادها را تا زمانی که با حداقل اجباری امنیت سایبری مطابقت داشته باشند، متوقف کند.
او تاکید کرد که “درآمد باعث رفتار می شود و دولت ایالات متحده می تواند از آن به عنوان انگیزه ای برای حل این مشکل استفاده کند.”
سپس خطرات ذاتی ظاهر می شوند
نونان تاکید کرد که برای اهمیت دادن به امنیت ملی چیزهای زیادی تحت عنوان امنیت ملی پوشانده شده است، اما نوع مالکیت معنوی ما در اینجا واقعاً شایسته این طبقه بندی است. تصور کنید سیستم تسلیحاتی که مالیات دهندگان میلیاردها دلار برای توسعه آن هزینه کرده اند، در زمانی که به آن نیاز دارند، کار نکند.
برخی از این اطلاعات را می توان پیش پا افتاده در نظر گرفت. اما وقتی با هم گروه بندی می شوند، حریف می تواند کل یک زنجیره تامین خاص را ترسیم کند و بداند که تامین کنندگان اولیه چه کسانی هستند و بهترین مکان برای ایجاد اختلال در کجاست.
موارد استفاده بی پایان هستند، اما ما همه اینها را می دانیم. پس چگونه است که در پی SolarWinds و این حملات روسیه، ما هنوز حداقل الزامات اجباری امنیت سایبری را برای همه پیمانکاران فدرال نداریم؟ با قاطعیت پرسید.