ما در این مقاله در مورد اینکه حملات «zero-click» چیست، چرا خطرناک هستند و چگونه از شرکت خود در برابر آنها محافظت کنید، صحبت می کنیم.
برخی افراد بر این باورند که اگر روی پیوندهای خطرناک کلیک نکنید، فایل های مشکوک را باز نکنید یا برنامه هایی را از منابع نامعتبر نصب نکنید، لازم نیست نگران آلودگی های بدافزار باشید. متأسفانه، این کاملاً درست نیست. به اصطلاح اکسپلویت های zero-click ای وجود دارد که نیازی به هیچ اقدامی از طرف کاربر هدف ندارد.
ایجاد اکسپلویت های zero-click هم به تخصص جدی و هم به منابع قابل توجهی نیاز دارد. آسیبپذیریهای مورد نیاز برای کارکردن zero-click ها، حداقل بهراحتی قابل کشف نیستند – اطلاعات در مورد چنین مسائل امنیتی میتواند صدها هزار، اگر نه میلیونها دلار در بازار سیاه هزینه داشته باشد.
با این حال، این بدان معنا نیست که حملات با استفاده از اکسپلویت های zero-click نادر هستند. اطلاعات مربوط به آسیبپذیریها (از جمله مواردی که برای ایجاد اکسپلویتهای بدون کلیک مناسب هستند) اغلب توسط محققان در اینترنت منتشر میشود، گاهی اوقات همراه با کد proof-of-concept ( اثبات مفهوم). یعنی پس از مدتی هر مجرم سایبری که اخبار infosec را دنبال می کند، می تواند از این آسیب پذیری در بدافزار خود استفاده کند. بله، توسعهدهندگان نرمافزار سعی میکنند در اسرع وقت این آسیبپذیریها را برطرف کنند، اما همانطور که میدانیم، همه بهسرعت بهروزرسانیها را نصب نمیکنند.
همچنین، نباید آسیبپذیریها را در دستگاههای IoT، سرورها و سایر سیستمهای متصل مانند ذخیرهسازی پیوست شبکه (NAS) فراموش کنیم. همه این تجهیزات بدون کنترل دائمی انسان عمل می کنند و بنابراین سوء استفاده های طراحی شده برای حمله به آنها به هیچ اقدام کاربر متکی نیست. در هر صورت، حداقل ارزش دانستن حملات صفر کلیک (zero-click) را دارد. حتی بهتر – برای محافظت از شرکت خود در برابر آنها اقداماتی انجام دهید.
با استفاده از نمونههای واقعی حملات صفر کلیک، بیایید ببینیم که در عمل چگونه کار میکنند و سازندگان این اکسپلویتها از چه روشهایی برای رسیدن به اهداف خود استفاده میکنند.
چندی پیش، کارمندان شرکت ما توسط یک گروه ناشناس با استفاده از یک سوء استفاده صفر کلیک مورد حمله قرار گرفتند. پس از کشف آن، نام این کمپین جاسوسی را عملیات مثلث گذاشتیم. با استفاده از سرویس iMessage اپل، مهاجمان پیامی را با یک ضمیمه خاص حاوی یک سوء استفاده به آیفون قربانی ارسال کردند. به لطف آسیبپذیری ناشناخته قبلی در iOS، این اکسپلویت، بدون هیچ ورودی کاربر، اجرای کد مخربی را آغاز کرد که به یک سرور C2 متصل شد و به تدریج بار مخرب اضافی را بارگیری کرد. ابتدا privileges را با استفاده از اکسپلویت های اضافی افزایش داد و سپس یک پلتفرم کامل APT را راه اندازی کرد.
برای دور زدن مکانیسمهای امنیتی داخلی آیفون، این پلتفرم منحصراً در رم دستگاه کار میکرد. این به مهاجمان این امکان را می داد که اطلاعات مربوط به مالک را جمع آوری کرده و افزونه های اضافی دانلود شده از سرورهای C2 را راه اندازی کنند. سرایت فقط به لطف سیستم نظارت و تجزیه و تحلیل رویداد شبکه ما شناسایی شد.
البته اپل به سرعت این آسیبپذیری را برطرف کرد، اما این اولین سوءاستفاده از یک باگ در iMessage نیست که به مهاجمان اجازه میدهد آیفون را با استفاده از یک بدافزار نامرئی آلوده کنند. از آنجایی که مهاجمان به طور فعال در حال تحقیق در مورد این سرویس هستند، هیچ تضمینی وجود ندارد که روش جایگزینی را پیدا نکنند و از آن استفاده نکنند (حتی احتمالاً برای حملات انبوه).
یکی دیگر از نمونههای نسبتاً جدید: اپل اخیراً بهروزرسانی مهمی را برای iOS، macOS و برخی محصولات نرمافزاری دیگر منتشر کرد که چندین آسیبپذیری جدی را برطرف کرد. یک آسیبپذیری در WebKit (موتور مرورگری که توسط مرورگر Apple Safari استفاده میشود) توسط یک اکسپلویت با کلیک صفر، بخشی از نرمافزار جاسوسی Intellexa Predator مورد سوء استفاده قرار گرفت.
ابتدا، مهاجمان منتظر لحظه ای بودند که قربانی به وب سایتی دسترسی پیدا کند که اتصال آن از رمزگذاری استفاده نمی کرد (یعنی HTTP به جای HTTPS). پس از آن، آنها یک حمله مرد میانی (MITM) را با هدایت قربانی به یک سایت آلوده انجام دادند. سپس، آسیبپذیری فوقالذکر در مرورگر سافاری مورد سوء استفاده قرار گرفت – به مهاجمان اجازه میداد تا کد دلخواه را بدون هیچ اقدامی از جانب قربانی روی آیفون اجرا کنند. متعاقبا، مجرمان از آسیبپذیریهای اضافی برای نصب نرمافزارهای جاسوسی بر روی آیفون آسیبدیده استفاده کردند.
محققان همچنین یک زنجیره سوء استفاده مشابه را کشف کردند که سازندگان Predator از آن برای آلوده کردن تلفن های هوشمند اندرویدی استفاده کردند. در این مورد، حمله صفر کلیک در مرورگر کروم اجرا شد.
در اوایل سال جاری، آسیبپذیریهای دیگری از این نوع را در Apple Safari و Google Chrome گزارش کردیم. همه آنها ایجاد صفحات وب مخرب را امکان پذیر می کنند که به نوبه خود، گوشی های هوشمند یا رایانه های کاربرانی را که از آنها بازدید می کنند با بدافزار آلوده می کنند – دوباره بدون هیچ گونه اقدام اضافی از جانب قربانیان.
از آنجایی که خطر اولیه صفر کلیک در این واقعیت نهفته است که سازندگان آنها به هیچ وجه به هیچ اقدام فعالی از جانب قربانی نیاز ندارند، اصول معمول بهداشت آنلاین در اینجا چندان مفید نیستند. با این حال، هنوز کارهایی وجود دارد که می توانید برای محافظت از دستگاه ها انجام دهید: