اخبار امنیت سایبری (جلسه 46ام) که در تاریخ نوزدهم شهریورماه 1401 در اتاق مرتبط با آن در کلاب Peneter.com برگزار شد رو از طریق پخش کننده زیر میتوانید گوش بدهید یا دانلود نمایید.
سلام و درود عرض میکنم خدمت همه دوستان و همراهان گرامی کلاب peneter.com در کنار سهیل جان هاشمی با جلسه 46 اخبار هفتگی امنیت سایبری در خدمتتون هستیم. امیدوارم که دکتر داود سجادی هم هرچه سریعتر به ما پیوندن. توضیحی که باز به عزیزانی که تازه به جمع ما پیوستن بدم. هرهفته شنبه شب ها ما اخبار امنیت سایبری رو در اتاقی تحت کلاب peneter پوشش میدیم. اگه مایل بودین خود کلاب peneter ، سخنرانان و شبکه های اجتماعیشون رو فالو کنید تا از زمان دقیق تشکیل اتاق ها باخبر بشید. میکروفون تقدیم سهیل جان. شما رو گوش میکنیم.
خیلی ممنون. سلام و عرض ادب خدمت تمام دوستانی که در اتاق حضور دارند. بریم سراغ اخبار امنیتی هفته گذشته. من خبرم رو با کشف آسیب پذیری Zeroday که یکی از پلاگین های وردپرس شروع میکنم. Backup buddy . این اکسپلویت zeroday روی Backup buddy بودش که CSS 7.5 اجازه Local file download میده. نوعی از آسیب پذیریه که میتونه هکر بدون اینکه پرمیشن داشته باشه، پسورد لینوکس یا file config وردپرس رو دانلود کنه و بعد از اینکه file config رو دانلود کرد، با وصل شدن به دیتابیسش میتونه دسترسی کامل از وردپرس بگیره . حالا اگه از این پلاگین استفاده می کنید حتما آپدیتش کنید که به مشکل نخورید.
بریم سراغ خبر بعدی، درمورد آسیب پذیری روی روترهای سیسکو بود که VPN IPsec سرور سیسکو سری روترهای RC130-RB130W آسیب پذیری روی authentication method وجود داره که امکان authentication method by pass وجود داره. هکر میتونه بدون اینکه یوزر و پسورد داشته باشه دسترسی پیدا کنه. اگر از همچنین سری های روترهای سیسکو استفاده میکنید، حتما آپدیتش رو مدنظرتون قرار بدین.
بریم سراغ خبرهای دیگه، من توی یکی از فروم هایی که دسترسی میفروشن bridge.to یه پست دیدم که دیتابیس فروشگاه رفاه رو داشتن میفروختن که مثل اینکه یه آسیب پذیری وجود داشته توی فروشگاه رفاه که دسترسی گرفته بودن و احتمال میدم که هکرش ایرانی باشه و دیتابیسش رو برای فروش گذاشته.
خبر داغ تر دیگه که وجود داشت، خبر هک زیرساخت های کشور آلبانی بود که حملات Wiper و علاوه بر اون ………. بود که گزارش های مختلفی توسط تیم های Trend Intelligence » مایکروسافت و Mandiant منتشر شد. توی این گزارش ها تکنیکالش اشاره کرده که این گروه که ملغب شده به APT42 از سال 2015 کارش رو شروع کرده و trackش کردن و از 2015 توسط Mandiant track شده، هدفشون اغلب افراد سیاست مدار و روزنامه نگاران و افراد دولتی بوده که عموما مخالف بودن با دولت و از متدهای Social Engineering که حالا هفته پیش هم درموردش خیلی صحبت کردم، از Phishing استفاده می کردن و اینهارو مورد هدف قرار میدادن با Pretext ی که ازشون داشتن. و برای اینکه بتونن اونها رو track کنن و حالا یجورایی شنود کنن، بدافزار اندروید داشتن که به عنوان مسنجر بوده یا به عنوان فیلترشکن بوده که توی گزارش Mandiant ذکر شده بود که اسمش Safer VPN بوده. که این رو پخش میکردن جاهای مختلف و بعد از اینکه نصب میشده امکان دسترسی به گالری و contact و SMS و حتی capture voice وجود داشته. و قابلیت ……. هم داشته و برای ……. کردنش از خود Bit locker ویندوز استفاده میکرده. Bit Locker یک feature اینترپراز ، پرو و… توی ویندوز (ادیشن همچنین فیچری نداره) توی فایل سیستم NTFSبیت لاکر رو فعال کنیم، رمز کنیم که اگر پسورد نداشته باشن نتونن بیان داخل. از این قابلیت استفاده میکرده. فقط کافی بوده که چند تا command رو بزنه و اون درایو ها رو رمز کنه. حالا خود مایکروسافت هم یک گزارش داشت که مثل گزارش Mandiant بود تقریبا ولی خب Mandiant در قالب PDF و 20 و خورده ای صفحه هستش که قسمت تکنیکالش اومده درمورد نحوه دسترسی گرفتن که انجام میدادن و ابزارهایی که برای دسترسی به ایمیل های قربانیان داشتن ، ابزار رو درموردش صحبت کرده که یکی از اون ابزارها، ابزار JSON.exe که این ابزار قبلا track شده بود که APT35 ازش استفاده میکرده. بعد از اینکه کوکی و یوزر پسورد قربانی ها رو سرقت کنه، بخاطر قابلیت Multi Factor Authentication توی گوگل شما حتی یوزر و پسورد هم بزنید نمیتونید برید داخل و نیازمند همچنین ابزاری مثل json.exe یا ابزاری مشابه که دو هفته پیش کشف شده بود توسط گوگل هستش که شما بتونید اینها رو add کنید و بعد دسترسی پیدا کنید به inbox جی میل. تارگت هایی هم که داشت APT42 تارگت هایی که داشته، education, government, manufacturing, و تقریبا تو همه طیفی تارگت داشت. طیف خاصی نبوده. مورد Safer VPN که بدافزاری بوده که توسعه دادن بودن به اسم VPN دسترسی داشته به کل گوشی، گوشی فارنزیکش رو گذاشتن و malware که detect کردن ، الان گوگل به عنوان malware میشناسه و زمانی که شما بخواین نصب کنید، اجازه نمیده که ران بشه. از سرویس BitLocker استفاده میکرده ، برم سراغ گزارش مایکروسافت. میگه که APT42 از چند Subgroup تشکیل شده که تقریبا 4 تاس که همشون زیر مجموه مویس میدونن که همون واژو هستش و حالا این تیم ها درواقع هرکدوم وظیفه ی توسعه ی ابزارهای عملیاتی رو بر عهده داشتن. یک تیمی مسئول بوده که باج افزار رو توسعه بده، یک تقیم initial access داشتن و یک تیم استخراج داشتن، مثل تمام APT هایی که در تمام دنیا وجود دارند. حتی همون APT که توی NSA وجود داره. APT که توی CIA یا چین یا روسیه وجود داره. تقریبا ساختار APT ها یکیه، یعنی همه این کارها رو انجام میدن، هیچ فرقی نمیکنه. این 4 تیم تقریبا مسئولیت این رو داشتن که دسترسی بگیرن. یه تیم دیگه مسئول استخراج دیتا رو داشته، یه تیم دیگه هم رنسامبر رو وایپ کردن داشتن. بنابر این که تارگتشون چقدر اهمیت داشته بین wipe و رنسام یکیش رو انتخاب میکردن. حالا اون اابزار json هم خود مایکروسافت توی سایتش اگه اون گزارش رو ببینید، که من روی توییتر share کردم، یک عکس گذاشته از ابزار json که این ابزار درواقع توسط گروه لب دوختگان پابلیش شده بود توی کانال تلگرامشون که مثل یک ابزار دیگه ای بودش که هفته پیش درموردش صحبت کردیم .که این ابزار هم کارش این بودش که جی میل ها رو بتونه بخونه. بحث initial access یا با آسیب پذیری بوده یا spa phishing بوده. حالا آسیب پذیری هم که استفاده میکردن، چون گروه های APT که اتریبیتوت شدن به ایران یا از پروکسی لاگ آن یا دو آسیب پذیری روی اکسچنج ها بودش که از اونها استفاده میکردن. یک آسیب پذیری بودش که تو share point ها بودش که از اونها برای initial access بوده حالا اون آسیب پذیری shell point یک دونه آپلودر داشته توی نسخه های قدیمیش که هکرها از میومدن از اون طریف web shell میگرفتن، دسترسی میگرفتن و وارد شبکه میشدن و جالبیش اینه که توی گزارش تحلیلی که انجام دادن، اون تیم DFIR که مال Mandiant بوده اشاره کرده اینها وقتی وارد شبکه میشدند، یک یوزر اکانت دیفالت تو همه شبکه ها داشتن که از این طریق میومدن این گروه رو شناسایی میکردن بنام default account معمولا این گروه های APT یک شاخصه ای دارن که از همدیگه جدا میشن. که اینها بهشون میگن indicator of attack با IOC یکم فرق داره که میشه malware و IP و هش و تکنیک هایی که استفاده میکنن. این حملاتی که استفاده میکنن رو وقتی استفاده میکنن از چه command هایی استفاده میکنن. بیشتر ابزارهایی که خودشون دستی نوشتن که ساخت اکانت بوده و بعد هم ادمین دامین کردن بوده و chain اتکش هم execution از VBA و PowerShell استفاده میکردن مثل تمام APT هایی که بوده. این گزارش Mandiant من روی توییتر هم share کردم که اگر علاقه مند هستید ببینید TTP ش چی بوده میتونید از اون گزارش دانلودش کنید. 21 صفحه هست که آخرش تمام TTP ها رو گذاشته. من عرایضم رو اینجا تموم میکنم. میکروفون رو میدم خدمت داود جان.
ممنونم سهیل عزیز. من هم درود و عرض ادب دارم خدمت همه دوستان. امیدوارم هرکجا که هستید شاد و سلامت و تندرست باشید. ببخشید که نتونستم از اول اتاق درخدمتتون باشم. من یک اخباری که توی هفته گذشته روی اینستاگرام خودم منتشر کرده بودم. خلاصه ای از اونها رو سعی میکنم مرور کنم. معمولا اخباری که روی توییتر منتشر میکنم خیلی حجمش بیشتره و روی selective تر هم روی اینستاگرام هم میذارم که حالا دستچین شده باشه، جالب تر باشه. سورس اخبار رو میتونید از روی اکانت اینستاگرام یا اکانت توییتر من چک کنید.
هفته ای که گذشت یکی از افرادی که در حوزه امنیت اینترنت فعالیت خیلی زیادی داشت، پیتر اکزلی فوت کرد. ایشون یکی از حامیان بحث رمزگذاری روی فضای اینترنت بود. بحث SSL و حالا همون Certificateی که روی http استفااده میکنید. کانشکشن هاشون https بشه. من این بارها در جاهای مختلف گفتم که تلاش های زیادی رو بنیادهایی مثل الکترونیک فاندیشین انجام دادن. کیس های زیادی رو به دادگاه بدن علیه دولت. دولت آمریکا که اجازه بدن بحث encryption اطلاعات انجام بشه و درنهایت تونستن این رو قانون کنن. اگر اشتباه نکنم در زمان بیل کلینتون این قانونش امضا شد و به اجرا گذاشته شد. یکی از افرادی که توی این حوزه خیلی فعالیت کردن از لحاظ فنی و خصوصی، پیتر اکزلی بود که هفته گذشته فوت کرد.
یک خبر جالب دیگه شاید درمورد بازداشت جوانی در کره جنوبی بود که اقدام میکرد به هک دوربین منازل شهروندان کره جنوبی که این رو ظرف سال های 2021-2022 چیزی نزیک 7 هزار ویدیو رو ریکورد کرده بود. از تصاویری که داخل منازل این افراد بود. اکثرا افراد شاید در خونه هاشون مخصوصا منازل جدا و خارج از آپارتمان ها هستن، از دوربین هایی برای بحث امنیت خونه استفاده میکنن. بعضا شاید داخل خونه. این میتونه مورد سواستفاده قرار بگیره. خود کره جنوبی روی بحث دوربین هایی که در اماکن عمومی یک عده میان ازشون استفاده میکنن. حتی در دستشویی های عمومی این یک چالش بزرگی شده تو خود کره جنوبی و هم از نظر فرهنگی و هم از نظر قانونی کشور خیلی داره روی این قضیه سرمایه گذاری میکنه که جلوی ضبط و انتشار همچنین ویدیوهایی رو بگیره. مشکلات روانی زیادی رو میتونه برای افراد مختلف به همراه داشته باشه و سر همین قضیه هم این شخص رو بعد از اینکه بازداشت کردن 4 سال براش جکم زندان دادن و به عنوان example برای افرادی که شاید تو این حوزه کار میکن، چون زمان کمی هم نیست. مخصوصا تو کشور آزاد و دموکراتی مثل کره جنوبی.
خبر دیگه بحث TikTok بود. حالا ممکنه بعضی از این اخبار رو سهیل جان گفته باشه، ببخشید اگه دومرتبه بهش اشاره میکنم. خب TikTok بحث Data Bridge خیلی بزرگی رو سورس های مختلف خبری بهش اشاره کردن. البته خود TikTok تا جایی که من یادمه تکذیب میکرد. یکیشون من اکانت سایبر سکیوریتی بود من دیدم یکسری از فایل های اینودیبی که روش بوده رو پابلیش کرده بود که توصیه کرده بود یوزرها اگه میخوان تحت تاثیر قرارنگیرن حتما Two factor authentication رو برای اکانت های خودشون فعال کنن.
بحث دیگه خبر جالب در مورد مقاله ای بود که من دیدم یک گروه از دانشجویان دانشگاه مونیخ آلمان این رو منتشر کرده بودن درمورد اون سرویس iCloud provide که اپل فکرمیکنم یک سال پیش این سرویس رو ارائه داد و گفت که داره روی browser خودش یک اوردلید نتورکی میذاره که این میاد و کل ترافیک کاربر رو encrypt میکنه و لایه ای روی اون بستری که telecom provider یا mobile provider گوشی شما به شما میده یا internet provider تون میده تا این بحث privacy رو ببره بالا. ولی عملا خب بیشتر میخواد کنترل دیتا دست خودش باشه و اون شرکت و تلکام نتونن از این استفاده کنن برای بحث تارگت advertisement و این گروه اومده بود بررسی کرده بودن متوجه شده بودن که این آدرس هایی که استفاده شده تحت شبکه ای تعداد محدودی لیست در حدود 1500 مثلا IP برای ورود و خروج به این شبکه استفاده شده و حالا اگه یک نهادی بخواد این IP ها رو بلاک کنه، که ایجاد اختلال کنه در عملکرد browsing کاربران اپل که دارن از این بستر استفاده میکنن، این میتونه مورد سواستفاده قرار بگیره و همچنین متوجه شدن که این اطلاعات فقط روی investiture اپل انتقال پیدا نمیکنه. بلکه روی بستر شرکت های دیگه ای مثل آکامین داره ازش استفاده میشه و حتی شرکت هایی مثل Cloudflare هم این اطلاعات رو میتونن بهش دسترسی داشته باشن. که این خلاف ادعایی هست که اپل از اول کرده بود که این کامل تحت زیرساخت اپل این ترافیک تراورس میشه. گارانتی کردن بحث privacy یه مقدار براش سوال مطرح میشه. برخلاف اون ادعایی که اول اپل اومده بود انجام داده بود. یک گزارشی رو هم شرکت safe bridge منتشر کرده بود درمورد بدافزاری که گویا کاربران ایرانی رو مشخصا هدف قرار داده بود، که حتی یکسری از کاربران در سایت هایی مثل دیجی کالا وموارد مختلف داخل ایران که اینها از این بدافزار استفاده میکردن بیشتر برای کپچر کردن اطلاعات. یک اکسپلویتی در مایکروسافت به اسم ddexploit که کد خود این بدافزار هم جالبه روی گیت هاب منتشر شده بود. قابلیت RAT یا Remote access trojan هم این بدافزار هم داشته و جزئیات جالبی توی این گزارشی که شرکت Safe bridge منتشر کرده درمورد این بدافزاری که مشخصا برای کاربران ایرانی استفاده شده بود، هم عنوان شده.
درمورد بحث دولت آلبانی و اون هکی که شده بود رو سهیل جان کامل کاوریج دادن براش. یکی دو خبر دیگه که بخوام اشاره کنم، درمورد هک گسترده ای بود که مدارس لس آنجلس انجام شده بود. یکسری حملات باج افزاری به مجموعه ای از مدارس ناحیه شهری لس آنجلس هستن که این حملات در آمریکا خیلی مرسوم هست. یعنی حملات باج افزاری که داره مدارس انجام میشه، بخاطر اینکه مدارس معمولا سیستم های قدیمی دارن. بودجه زیادی ندارن و اون سیستم های امنیتیشون خیلی ضعیف هست. تارگت خیلی خوبیه برای هکرها. بخاطر اینکه بلافاصله اگه این سیستم ها رو بیان رمزنگاری کنن، قادر هستن مجبور کنن اون سازمان ها و نهادها رو که پولی پرداخت کنن بهشون تا بتونن سیستم ها رو به حالت اول برگردونن. ولی حالا توی این کیس گویا، مخصوصا حمله زمانی انجام شده بود که تو long weekend بوده توی آمریکا فکرمیکنم تعطیلات روز کارگر بود و گویا تا حدی یکسری از این سیستم ها تونسته بود ریکاور بشه و یجوری ابعادش رو تونسته بودن کنترل کنن.
خبر دیگه درمورد خود اینستاگرام بود. یک جریمه نسبتا سنگینی 400 میلیون دلاری رو دلار ایرلند علیه اینستاگرام تعیین کرده بود که گویا این جریمه بخاطر این بوده که یک تحقیقی یکسری از محققین انجام داده بودن و متوجه شدن بودن اینستاگرام داره اطلاعات خصوصی بچه ها رو (افرادی که under age هستن) منتشر میکنه به advertiser ها این بار اول نیست. این ها معمولا بخاطر بحث privacy regulation اروپا همیشه تعهد میدن که این قوانین رو دنبال میکنن ولی درعمل خیلی از این قوانین زیرپا گذاشته میشه تا زمانی که یک مدارکی دال بر این به دادگاه ارائه بشه و دادگاه هم جریمه های سنگین اعمال کنه. نکته جالب اینه که بعد از همه این جریمه های سنگین مثلا چند صد میلیون دلاری باز هم می بینید اینها این کار رو چراغ خاموش انجام میدن. چون اون سود سرشاری که داره از اون advertisement به اینها میرسه چندین برابر شاید جریمه های باشه که داره پرداخت میشه. بخاطر همین داستان همیشه کم و بیش وجود داره. در مورد the north face هم جالبه. یک شرکت ……… هست توی آمریکای شمالی خیلی شناخته شده هست. من حتی من دیدم یکسری از لباس ها تو دیجی کالا هم به فروش گذاشته بودن. این برند گویا حجمی نزدیک 200 هزار تا از اکانت هاش از طریق وبسایتهای این شرکت هک شده که مثلا اطلاعات پرسنلی افراد، مثلا نام، شماره تلفن، ایمیل، آدرس منزل و خیلی چیزهای دیگه منتشر شده بود. حالا معمولا بعد از همچنین داستان هایی اگر اون افرادی که ضرر دیدن یک کیس حقوقی ببرن دادگاه قطعا اینها باز مجبور به پرداخت جریمه میشن. حالا ممکنه یه زمانی طول بکشه ظرف یکی دو سال ولی درنهایت بخاطر اون درز اطلاعاتی و آسیبی که شاید اینها دیده باشن، کیس هایی که معمولا حتی یکسری شرکت هایی هستن که تقبل میکنن بدون هیچ هزینه ای این کیس ها رو ببرن دادگاه و بعد از اون جریمه ای که از این شرکت ها گرفتن، یک بخشیش رو به عنوان کار حقوقی خودشون هزینه دریافت میکنن. به احتمال زیاد شاهد این داستان خواهیم بود.
کنفرانس استیل کان که یک کنفرانس تو حوزه security هست، من یکسری از ویدیوهاش رو لینکش رو شیر کرده بودم. اگر دوستان علاقه دارن ویدیوهای ای کنفرانس رو ببینن میتونن از اکانت اینستاگرام یا توییتر من این داستان رو ببینن.
خبر دیگ درمورد بحث هک عکس infinity بود. توسط هکرهای کره شمالی گروه Lazarus صورت گرفته بود. یه چیزی اگه اشتباه نکنم 500 میلیون دلار یکی از بزرگترین هک هایی بود که تو کریپتو صورت گرفته بود. گویا اخیرا شرکت چین الیسیس که یکی از شرکت هایی هستش که تو بحث track کردن تراکنش های کریپتو خیلی فعال هست با نهاد های قانونی آمریکا همکاری خیلی زیادی داره، تونسته این مبلغ نیم میلیارد دلار ، 30 میلیون دلارش رو ریکاور کنه. متوجه شده بود که به اکانتی وصل میشده که والتی که منتسب به گروه لزروس بوده و توی بلاگ پستی این چین الیسیس این رو اومده توضیح داده. این باز بحث ایننمس بودن توی پلفتفرم های کریپتو هست که من بارها درموردش صحبت کردم. یک ویدیو هم درمورد همین داستان مشخصا تهیه کرده بودم. اینکه شما دارین با کریپتو بیت کوین پرداخت میکنین توهم این رو داشته باشین که قابل track کردن نیست. این روش های مختلفی وجود داره که میتونن track کنن. حتی اگر شما اکانت های ناشناس داشته باشید از طریق چندین والت دارین این کارها رو انجام میدین. اون رمزارزهایی که خیلی کار رو پیچیده میکنن مثل مونرو مشکلشون شاید این باشه که خیلی قابل track کردن نیستن. خیلی سخته track کردنشون. مشکل اصلی اینه که خیلی از کریپتو اکسچنج ها ساپورتشون نمیکنن بخاطر همین بحث عدم شفافیتی که دارن. در این خصوص از کریپتوی دیگه استفاده کرده بودن برای جابجا کردن و تا حدی تونستن به مبلغی در حد 4-5 درصد کل اون مبلغ اصلی رو تونستن ریکاور کنن که مشابه این رو برای داستان کلونین پایپلاین هم اتفاق افتاد. یعنی FBI تونست بخشی یعنی چند میلیون دلار از رمزهایی که پرداخت شده بود رو بتونن ریکاور کنن. این یکسری از اخبار بود که میخواستم با دوستان به اشتراک بذارم. حالا اگر مطلبی یا سوالی هست ممنون میشم بشنویم، ممنونم
خیلی ممنون داود جان. دوستان اگه صحبتی دارن، اخباری دارن یا مطلبی دارن میتونن بیان بالا یا بصورت متنی به ما پیام بدن. سهیل جان ، دکتر جان اگر مطلبی نیست اتاق رو کم کم به پایان برسونیم.
نه مهدی جان مطلبی نیست. امیدوارم که هفته خوبی داشته باشید. شب و روزتون بخیر
خب خیلی ممنون سهیل جان داود جان، ممنون از همه شما دوستان عزیز که همیشه همراه ما هستید، باز هم توضیح همیشگی رو به دوستانی که تازه به جمع ما اضافه شدن بدم. هر هرهفته شنبه شب ها ما اخبار امنیت سایبری رو در اتاقی تحت همین نام کلاب peneter پوشش میدیم. اگر مایل بودین خود کلاب peneter ، سخنرانان و شبکه های اجتماعیشون رو فالو کنید تا از زمان دقیق تشکیل اتاق ها باخبر بشید. اگر هم علاقه مند به شنیدن جلسات برگزار شده خود کلاب هستین از طریق replay خود کلاب و کانال یوتیوب یا بلاگ ما به آدرس peneter.com میتونید به فایل صوتی این جلسات دسترسی داشته باشید. امیدوارم که در هفته های آینده هم درخدمتتون باشیم. لحظات خوب و خوشی رو براتون آرزومندم. شب و روزتون خوش
