اخبار امنیتی

گروه The Shadow Brokers یک ابزار هک دیگر که متعلق به NSA است را فاش کرد

گروه هکری The Shadow Brokers، همان گروه مخوف و بدنامی که چند ابزار هک متعلق به NSA را فاش کرده بود، بار دیگر با انتشار یک اکسپلویت دیگر از NSA به سرخط خبرها بازگشته است – اما این بار تنها برای مشترکین ماهانه خود. برنامه ملقب به UNITEDRAKE یک ابزار کاملاً توسعه‌پذیر جمع‌آوری اطلاعات سیستم از راه دور است که با کمک چند پلاگین، به مهاجمان این امکان را می‌دهد که رایانه‌های ویندوزی را از راه دور به‌طور کامل تحت اختیار خود درآورند. در آخرین پست آن‌ها، این گروه هکری چند تغییر در سرویس ماهیانه خود ایجاد کرده و فایل‌های رمزنگاری‌شده از ماه‌های گذشته را نیز برای مشترکین ماهانه خود منتشر کرده است. به‌ویژه اطلاعات استخراج‌شده در ماه سپتامبر شامل فایل‌های PDF رمزنگاری نشده قرار دارد که درواقع فایل‌های راهنمای کاربران مربوط به اکسپلویت UNITEDRAKE (یا United Rake) است که توسط NSA توسعه داده‌شده است. بر اساس اطلاعات فاش شده از این فایل‌های راهنما، UNITEDRAKE یک بدافزار ماژولار باقابلیت ضبط اطلاعات وب کم، خروجی میکروفون، ثبت وقایع کلیدهای فشرده‌شده، دسترسی به درایوهای خارجی و موارد دیگری برای جاسوسی بر روی اهدافش است. این ابزار دارای 5 بخش است – سرور (پورت گوش دهنده)، سیستم مدیریت رابط کاربری (SMI)، پایگاه داده (برای ذخیره و بازیابی اطلاعات دزدیده‌شده)، ماژول‌های پلاگین (که به سیستم این امکان را می‌دهد که قابلیت‌های خود را افزایش دهد) و کلاینت (ایمپلنت). UNITEDRAKE اولین بار در سال 2014 به‌عنوان بخشی از اسناد طبقه‌بندی‌شده محرمانه NSA توسط کارگزار سابق NSA آقای ادوارد اسنودن فاش شده بود. اسناد اسنودن به این موضوع اشاره داشت که این آژانس از این ابزار در کنار چند بدافزار شامل CAPTIVATEDAUDIENCE، GUMFISH، FUGGYBOTTOM، GROK و SALVAGERABBIT به‌منظور آلوده سازی میلیون‌ها کامپیوتر در سراسر جهان مور استفاده قرارگرفته داده است. • بدافزار CAPTIVEAUDIENCE به‌منظور ضبط مکالمات رایانه‌های آلوده‌شده از طریق میکروفون‌های آن‌ها است. • GUMFISH به‌طور مخفیانه کنترل وب کم و عکس‌های صفحه‌نمایش کاربر را تحت اختیار می‌گیرد. • بدافزار FOGGYBOTTOM اطلاعات مربوط به اینترنت مانند تاریخچه جستجوها، اطلاعات ورود به‌حساب و پسوردها را جمع‌آوری می‌کند. • GROK یک تروجان کیلاگر برای جمع‌آوری اطلاعات کلیدهای فشرده‌شده است. • SALVAGERABBIT به‌منظور دسترسی به اطلاعات موجود بر روی درایوهای فلش متصل به کامپیوتر استفاده می‌شود. گروه The Shadow Brokers تنها پرداخت‌های از نوع ZCash (یا ZEC) را از مشترکین ماهانه خود قبول می‌کند و از سرویس Monero به دلیل اینکه اطلاعات ایمیل را به‌صورت متن آشکار و رمزنگاری نشده ارسال می‌کند استفاده نمی‌کند و همچنین نرخ اکسپلویت‌های آن نیز افزایش‌یافته و به نزدیک 4 میلیون دلار رسیده است. این گروه زمانی که در ماه ژوئن سرویس مشترکین ماهانه خود را راه‌اندازی کرد تنها 100 ZEC را از آن‌ها درخواست می‌کرد، اما آن‌ها این رقم را به 16 هزار ZEC (که حدود 3 میلیون و 914 هزار و 80 دلار است) برای تمامی اطلاعات فاش شده از NSA درخواست کرده‌اند. سرویس ZCach هم‌اکنون با 248 دلار برای هر سهم تجارت می‌کند. آن‌هایی که قصد دارند تنها به اطلاعات ماه سپتامبر دسترسی پیدا کنند که در آن بدافزارهای جدید NSA قرار دارد، بایستی 500 ZEC پرداخت کنند. گروه The Shadow Brokers پس از انتشار اکسپلویت مربوط به پروتکل SMB با نام EternalBlue سر زبان‌ها افتادند. این اکسپلویت منجر به ایجاد باج افزار WannaCry شد که در ماه مِی خسارات بسیاری به سازمان‌ها و ارگان‌های تجاری بزرگ وارد کرد. پس‌ازآن، این گروه مرموز یک سرویس افشای اطلاعات ماهانه را راه‌اندازی کرد که اگر کسی قصد دارد به اطلاعات خاص مربوط به NSA دسترسی پیدا کند می‌تواند از آن استفاده کند – ابزارها، بدافزارها و سرویس‌هایی که این گروه ادعا می‌کند متعلق به NSA است.

هکر اینستاگرام اطلاعات شخصی 6 میلیون کاربر سرشناس را برای فروش در DoxaGram قرار داد

بالاخره این خبر رسمی شد؛ اینستاگرام متحمل افشای اطلاعات بسیار زیادی شده و بر اساس گزارش‌ها یک هکر ناشناس اطلاعات شخصی حساب‌های کاربری تائید شده بیش از 6 میلیون کاربر را دزدیده است. روز گذشته بود که اخباری مبنی بر وجود یک آسیب‌پذیری در API اینستاگرام منتشر شد که به ‌موجب آن یک هکر ناشناس توانسته بود اطلاعات شخصی بسیاری از کاربران تائید شده اینستاگرام را از این طریق به دست آورد. اما به نظر می‌رسد اخبار مربوط به افشای اطلاعات اینستاگرام جدی‌تر شده است. نه‌تنها حساب چند هزار کاربر شناخته‌شده – بیش از 6 میلیون کاربر اینستاگرام، شامل سیاستمداران، ستاره‌های ورزشی و رسانه‌های شرکت‌ها که حساب‌رسمی اینستاگرام داشتند، اطلاعاتی شامل آدرس‌های ایمیل و شماره تلفن‌ها بر روی وب‌سایت DoxaGram برای فروش قرار داده‌شده است. هکر مظنون به هک اخیر اینستاگرام، سایت DoxaGram را راه‌اندازی کرده است که شما می‌توانید با پرداخت تنها 10 دلار برای هر حساب، اطلاعات حساب موردنظر خود را به دست آورید. یک پژوهشگر امنیتی از شرکت امنیتی Kaspersky Labs که همین آسیب‌پذیری را در اینستاگرام یافته و آن را گزارش داده بود خاطرنشان کرد که آسیب‌پذیری موجود، در بخش API موبایل اینستاگرام قرار دارد و به‌طور مشخص در بخش بازیابی گذرواژه که اطلاعات کاربر شامل شماره تلفن و آدرس ایمیل و نه گذرواژه را به فرمت JSON افشا می‌کند. اینستاگرام تا به این لحظه ادعاهای این هکر را تائید نکرده، اما این شرکت در روز جمعه به رسانه‌ها گفت که در حال تحقیق بر روی افشای اطلاعات است. اخبار 3 روز پس‌ازاین منتشر شد که یک هکر ناشناس اطلاعات کاربران شناخته‌شده اینستاگرام ازجمله سلنا گومز – با بیش از 125میلیون فالور – و عکس‌های جاستین بیبر را منتشر کرده است. بااین‌حال، اینستاگرام تا به این لحظه تائید نکرده است که اطلاعات فاش شده مربوط به سلنا گومز صحت دارد. اینستاگرام با ارسال ایمیلی به تمام کاربران تأییدشده خود، آن‌ها را نسبت ایمیل، تماس و پیام‌های مشکوک هشدار داده است. با در اختیار داشتن آدرس‌های ایمیل و شماره تلفن‌ها، قدم بعدی هکر می‌تواند این باشد که با استفاده از تکنیک‌های مهندسی اجتماعی به ‌حساب‌های تائید شده اینستاگرام دسترسی پیداکرده و به‌جای آن‌ها اقدام به انتشار پست کند. به‌شدت توصیه می‌شود که کاربران اینستاگرام حتماً از احراز هویت‌های دو-مرحله ای استفاده کنند و همواره گذرواژه‌هایی قوی و متفاوت برای حساب‌هایشان انتخاب کنند. همچنین توصیه می‌شود که از کلیک کردن بر روی لینک‌ها و ضمیمه ایمیل‌هایی که اطلاعات شخصی شما را دارند قبل از اینکه از منبع اطلاعات اطمینان حاصل کنید، اکیداً خودداری کنید.

باج افزار Defray با هدف حمله به موسسات آموزشی و مراکز درمانی

یک گونه جدید از باج افزار به نام Defray که به طور مشخص دارای اهداف از پیش تعیین شده میباشد، در حال حمله به موسسات آموزشی، مراکز درمانی، کارخانجات و واحدهای فناوری است. تیم تحقیقاتی شرکت امنیتی Proofpoint با ارائه گزارشی اعلام کرد که این باج افزار در ماه گذشته به شدت فعال بوده و برخلاف بسیاری از باج افزارها موجود، دارای اهداف مشخصی است. این باج افزار به صورت یک فایل Word در حال پخش شدن است که در داخل این فایل ورد، کد مخرب باج افزار قرار دارد و هنگام بازشدن، اقدام به آلوده سازی (رمزنگاری فایل ها) سیستم میکند. این باج افزار عموما با نشان دادن پیامی به کاربر سیستم قربانی، از آن درخواست مبلغی به اندازه 5 هزاردلار میکند. در حمله ای که در تاریخ 15 آگوست با هدف آلوده سازی بخش های تولیدی و فناوری-محور صورت پذیرفت، مهاجمان از یک ایمیل جعلی به عنوان طعمه استفاده کردند که در آن خود را نماینده یک شرکت آکواریومی واقع در بریتانیا که شعب مختلفی در سراسر دنیا دارد، معرفی کردند. در حمله ای کاملا مشابه در تاریخ 22 آگوست، مهاجمان به موسسات آموزشی و مراکز درمانی حمله کردند و این بار خود را مدیر بخش مدیریت اطلاعات و تکنولوژی بیمارستان معرفی کردند تا بتوانند افراد بیشتری را برای باز کردن فایل مخرب ترغیب کنند. هنگامی که قربانی بر روی فایل ضمیمه کلیک میکند، باج افزار فعال شده و عملیات رمزنگاری را شروع میکند. طبق گفته های موسسه امنیتی Proofpoint، این باج افزار ممکن است سرویس Startup Recover را غیرفعال و همچنین فایل های پشتیبان گیری شده ویندوز (Shadow Copy) را نیز حذف کند. بر اساس این گزارش مهاجمان قصد و نیتی برای فروش باج افزار خود ندارند، در عوض به دنبال منافع و اهداف شخصی خود هستند.