هشدار تازه درباره هدفگیری صنایع حیاتی با روترهای ناایمن
نهادهای امنیت سایبری استرالیا¹ همراه با نزدیک به دو دوجین سازمان شریک، درباره فعالیت هکرهای مرتبط با روسیه² هشدار مشترک صادر کردهاند؛ فعالیتی که به گفته آنها، صنایع حیاتی استرالیا¹ را با سوءاستفاده از روترهای ضعیفمحافظتشده و دیگر تجهیزات شبکه هدف میگیرد.
مدیریت سیگنالهای استرالیا (ASD)³ اعلام کرده مهاجمان، دستگاههای شبکهای با تنظیمات نامناسب یا امنیت پایین را بهعنوان مسیر ورود انتخاب میکنند و این تهدید به بخشهایی مانند دفاع، ارتباطات، انرژی، خدمات مالی، دولت و سلامت مربوط میشود. در این هشدار آمده برخی نهادهای دولتی ایالتی و محلی نیز در معرض آسیبپذیری بیشتری قرار دارند.
روش کار مهاجمان از نگاه نهادهای امنیتی
طبق جزئیات هشدار، مهاجمان با ابزارهای ساده و در مقیاس بالا اینترنت را برای پیدا کردن دستگاههای در معرض دید جستوجو میکنند؛ از جمله روترهایی که هنوز از رمزهای عبور پیشفرض یا قابلحدس استفاده میکنند، یا نرمافزار قدیمی دارند و وصلههای امنیتی را دریافت نکردهاند. هدف آنها میتواند دسترسی اولیه به شبکه و سپس سرقت اطلاعاتی مانند نامهای کاربری و گذرواژهها باشد.
در گزارشهای مرتبط که توسط نهادهای همکار منتشر شده، به استفاده از تنظیمات ضعیف در پروتکلهایی مثل SNMP و همچنین کپیبرداری از فایلهای پیکربندی و انتقال آنها به سرورهای تحت کنترل مهاجم اشاره شده است. همچنین در هشدارهای همسو، بر این موضوع تاکید شده که حملات صرفاً در حد سناریو نیست و با الگوهای بهرهبرداری فعال از زیرساختهای واقعی همخوانی دارد.
هشدار مشترک با شریکهای بینالمللی
این هشدار در هماهنگی با نهادهایی از جمله ایالات متحده آمریکا⁴، بریتانیا⁵، نیوزیلند⁶، کانادا⁷ و چند کشور اروپایی منتشر شده است. در برخی گزارشها، ارتباط این فعالیتها با ساختارهای اطلاعاتی روسیه از جمله سرویس امنیت فدرال روسیه (FSB)⁸ و واحدهایی مانند «Center 16» مطرح شده است.
در متنهای هشداردهنده همچنین به مجموعهای از نامها/برچسبهایی اشاره شده که در گزارشدهی تهدید برای گروههای منتسب به این نوع فعالیتها استفاده میشود؛ از جمله Berserk Bear⁹، Energetic Bear¹⁰، Crouching Yeti¹¹، Dragonfly¹²، Ghost Blizzard¹³ و Static Tundra¹⁴.
اقدامهای پیشنهادی برای کاهش ریسک
نهادهای امنیتی از سازمانها خواستهاند روی «ایمنسازی فوری تجهیزات لبه شبکه» تمرکز کنند. راهکارهای پیشنهادی که در هشدارها تکرار شده شامل این موارد است: بهروزرسانی نرمافزار و فِرموِر، استفاده از گذرواژههای قوی و یکتا و حذف رمزهای پیشفرض، محدود کردن دسترسی مدیریتی، قرار دادن روترها پشت فایروال و حذف دسترسی غیرضروری از اینترنت، مسدودسازی ترافیک غیرلازم TFTP و SNMP در فایروالها، ارتقا به SNMPv3 و غیرفعالسازی Cisco Smart Install¹⁵ و همچنین جایگزینی سختافزارهای پایانعمر است.
مرکز ملی امنیت سایبری بریتانیا (NCSC)¹⁶ هم در هشدارهای خود روی تقویت احراز هویت و سختگیرانهتر کردن کنترلهای دسترسی مدیریتی در بخشهای حیاتی تاکید کرده است.
زمینه مرتبط در استرالیا
در گزارش ABC News¹⁷ از قول آلستر مکگیبون¹⁸، رئیس پیشین Australian Cyber Security Centre (ACSC)¹⁹ آمده است که این روش بهرغم سادگی میتواند موثر باشد: مهاجمان «درِ» سازمانها را در اینترنت امتحان میکنند تا ببینند دستگاهی با تنظیمات کارخانهای یا آسیبپذیری قدیمی باز مانده یا نه.
همچنین به دادههای ASD³ اشاره شده که نشان میدهد گزارشهای مرتبط با جرایم سایبری در استرالیا¹ به شکل مداوم ثبت میشود و همین موضوع باعث شده توصیههایی مثل خاموشکردن سامانههایی که ضرورتی برای آنلاین بودن ندارند، در هشدارهای اخیر دوباره مطرح شود.
پاورقی نامها (اصل انگلیسی):
¹ Australia
² Russia
³ Australian Signals Directorate (ASD)
⁴ United States of America (US)
⁵ United Kingdom (UK)
⁶ New Zealand
⁷ Canada
⁸ Federal Security Service (FSB)
⁹ Berserk Bear
¹⁰ Energetic Bear
¹¹ Crouching Yeti
¹² Dragonfly
¹³ Ghost Blizzard
¹⁴ Static Tundra
¹⁵ Cisco Smart Install
¹⁶ National Cyber Security Centre (NCSC)
¹⁷ ABC News
¹⁸ Alastair MacGibbon
¹⁹ Australian Cyber Security Centre (ACSC)
