ما در این مقاله در مورد اینکه حملات «zero-click» چیست، چرا خطرناک هستند و چگونه از شرکت خود در برابر آنها محافظت کنید، صحبت می کنیم.

برخی افراد بر این باورند که اگر روی پیوندهای خطرناک کلیک نکنید، فایل های مشکوک را باز نکنید یا برنامه هایی را از منابع نامعتبر نصب نکنید، لازم نیست نگران آلودگی های بدافزار باشید. متأسفانه، این کاملاً درست نیست. به اصطلاح اکسپلویت های zero-click ای وجود دارد که نیازی به هیچ اقدامی از طرف کاربر هدف ندارد.

ایجاد اکسپلویت های zero-click  هم به تخصص جدی و هم به منابع قابل توجهی نیاز دارد. آسیب‌پذیری‌های مورد نیاز برای کارکردن zero-click ها، حداقل به‌راحتی قابل کشف نیستند – اطلاعات در مورد چنین مسائل امنیتی می‌تواند صدها هزار، اگر نه میلیون‌ها دلار در بازار سیاه هزینه داشته باشد.

با این حال، این بدان معنا نیست که حملات با استفاده از اکسپلویت های zero-click  نادر هستند. اطلاعات مربوط به آسیب‌پذیری‌ها (از جمله مواردی که برای ایجاد اکسپلویت‌های بدون کلیک مناسب هستند) اغلب توسط محققان در اینترنت منتشر می‌شود، گاهی اوقات همراه با کد proof-of-concept ( اثبات مفهوم). یعنی پس از مدتی هر مجرم سایبری که اخبار infosec را دنبال می کند، می تواند از این آسیب پذیری در بدافزار خود استفاده کند. بله، توسعه‌دهندگان نرم‌افزار سعی می‌کنند در اسرع وقت این آسیب‌پذیری‌ها را برطرف کنند، اما همانطور که می‌دانیم، همه به‌سرعت به‌روزرسانی‌ها را نصب نمی‌کنند.

همچنین، نباید آسیب‌پذیری‌ها را در دستگاه‌های IoT، سرورها و سایر سیستم‌های متصل مانند ذخیره‌سازی پیوست شبکه (NAS) فراموش کنیم. همه این تجهیزات بدون کنترل دائمی انسان عمل می کنند و بنابراین سوء استفاده های طراحی شده برای حمله به آنها به هیچ اقدام کاربر متکی نیست. در هر صورت، حداقل ارزش دانستن حملات صفر کلیک (zero-click) را دارد. حتی بهتر – برای محافظت از شرکت خود در برابر آنها اقداماتی انجام دهید.

نمونه هایی از حملات با کلیک صفر

با استفاده از نمونه‌های واقعی حملات صفر کلیک، بیایید ببینیم که در عمل چگونه کار می‌کنند و سازندگان این اکسپلویت‌ها از چه روش‌هایی برای رسیدن به اهداف خود استفاده می‌کنند.

کمپین جاسوسی عملیات مثلثی

چندی پیش، کارمندان شرکت ما توسط یک گروه ناشناس با استفاده از یک سوء استفاده صفر کلیک مورد حمله قرار گرفتند. پس از کشف آن، نام این کمپین جاسوسی را عملیات مثلث گذاشتیم. با استفاده از سرویس iMessage اپل، مهاجمان پیامی را با یک ضمیمه خاص حاوی یک سوء استفاده به آیفون قربانی ارسال کردند. به لطف آسیب‌پذیری ناشناخته قبلی در iOS، این اکسپلویت، بدون هیچ ورودی کاربر، اجرای کد مخربی را آغاز کرد که به یک سرور C2 متصل شد و به تدریج بار مخرب اضافی را بارگیری کرد. ابتدا privileges را با استفاده از اکسپلویت های اضافی افزایش داد و سپس یک پلتفرم کامل APT را راه اندازی کرد.

برای دور زدن مکانیسم‌های امنیتی داخلی آیفون، این پلتفرم منحصراً در رم دستگاه کار می‌کرد. این به مهاجمان این امکان را می داد که اطلاعات مربوط به مالک را جمع آوری کرده و افزونه های اضافی دانلود شده از سرورهای C2 را راه اندازی کنند. سرایت فقط به لطف سیستم نظارت و تجزیه و تحلیل رویداد شبکه ما شناسایی شد.

البته اپل به سرعت این آسیب‌پذیری را برطرف کرد، اما این اولین سوءاستفاده از یک باگ در iMessage نیست که به مهاجمان اجازه می‌دهد آیفون را با استفاده از یک بدافزار نامرئی آلوده کنند. از آنجایی که مهاجمان به طور فعال در حال تحقیق در مورد این سرویس هستند، هیچ تضمینی وجود ندارد که روش جایگزینی را پیدا نکنند و از آن استفاده نکنند (حتی احتمالاً برای حملات انبوه).

نرم افزار جاسوسی Intellexa Predator و آسیب پذیری صفر کلیک در سافاری

یکی دیگر از نمونه‌های نسبتاً جدید: اپل اخیراً به‌روزرسانی مهمی را برای iOS، macOS و برخی محصولات نرم‌افزاری دیگر منتشر کرد که چندین آسیب‌پذیری جدی را برطرف کرد. یک آسیب‌پذیری در WebKit (موتور مرورگری که توسط مرورگر Apple Safari استفاده می‌شود) توسط یک اکسپلویت با کلیک صفر، بخشی از نرم‌افزار جاسوسی Intellexa Predator مورد سوء استفاده قرار گرفت.

ابتدا، مهاجمان منتظر لحظه ای بودند که قربانی به وب سایتی دسترسی پیدا کند که اتصال آن از رمزگذاری استفاده نمی کرد (یعنی HTTP به جای HTTPS). پس از آن، آنها یک حمله مرد میانی (MITM) را با هدایت قربانی به یک سایت آلوده انجام دادند. سپس، آسیب‌پذیری فوق‌الذکر در مرورگر سافاری مورد سوء استفاده قرار گرفت – به مهاجمان اجازه می‌داد تا کد دلخواه را بدون هیچ اقدامی از جانب قربانی روی آیفون اجرا کنند. متعاقبا، مجرمان از آسیب‌پذیری‌های اضافی برای نصب نرم‌افزارهای جاسوسی بر روی آیفون آسیب‌دیده استفاده کردند.

محققان همچنین یک زنجیره سوء استفاده مشابه را کشف کردند که سازندگان Predator از آن برای آلوده کردن تلفن های هوشمند اندرویدی استفاده کردند. در این مورد، حمله صفر کلیک در مرورگر کروم اجرا شد.

در اوایل سال جاری، آسیب‌پذیری‌های دیگری از این نوع را در Apple Safari و Google Chrome گزارش کردیم. همه آنها ایجاد صفحات وب مخرب را امکان پذیر می کنند که به نوبه خود، گوشی های هوشمند یا رایانه های کاربرانی را که از آنها بازدید می کنند با بدافزار آلوده می کنند – دوباره بدون هیچ گونه اقدام اضافی از جانب قربانیان.

چگونه در برابر حملات صفر کلیک دفاع کنیم؟

از آنجایی که خطر اولیه صفر کلیک در این واقعیت نهفته است که سازندگان آنها به هیچ وجه به هیچ اقدام فعالی از جانب قربانی نیاز ندارند، اصول معمول بهداشت آنلاین در اینجا چندان مفید نیستند. با این حال، هنوز کارهایی وجود دارد که می توانید برای محافظت از دستگاه ها انجام دهید:

• نرم افزار را به روز نگه دارید – به خصوص سیستم عامل و تمام مرورگرهای نصب شده روی آن.
• برای کاربران آیفون، استفاده از حالت قفل (Lockdown Mode) خوب است. این حالت تا حدی به محافظت در برابر حملات جدی کمک می کند، اما به هیچ وجه نباید آن را یک نوش دارویی در نظر گرفت.
• همه دستگاه‌های شرکتی را با یک راه‌حل حفاظتی قابل اعتماد عرضه کنید که از امنیت در دوره‌هایی که آسیب‌پذیری‌های جدید در حال سوءاستفاده هستند، مراقبت می‌کند، اما patch های مربوطه هنوز منتشر نشده‌اند.
• این در مورد iOS نیز صدق می کند. بله، با توجه به سیاست اپل، هیچ راه حل آنتی ویروس کاملی برای این سیستم عامل وجود ندارد. با این حال، Kaspersky Endpoint Security for Business شامل برنامه‌ای است که حداقل صفحات وب خطرناک را مسدود می‌کند و در نتیجه احتمال سوء استفاده از آسیب‌پذیری‌ها در مرورگر را کاهش می‌دهد.