افزایش سرقت و فروش دسترسی به شبکه سازمانها
سرقت و فروش دسترسی به شبکه سازمانها در سال ۲۰۲۰ و در پی فراگیری دورکاری کارکنان افزایش چشمگیری داشته است.
به گزارش ایلنا از مرکز مدیریت راهبردی افتا، هک شبکهها و فروش دسترسی به آنها، را افرادی با عنوان "دلالهای دسترسی اولیه" (Initial Access Broker) انجام میدهند که این افراد با هک سرور یا سامانه سازمان، پس از دستیابی به اطلاعات لازم برای رخنه به آنها، دسترسی فراهم شده را به سایر تبهکاران سایبری میفروشند.
خرید و فروش اطلاعات اصالتسنجی (Credential) دسترسیهای از راه دور مدتهاست که بخشی از اکوسیستم وب تاریک (Dark Web) شده است و تبلیغات واسطههای فروش همواره در وب تاریک منتشر میشود.
دسترسی از طریق( Remote Desktop Protocol) که به اختصار به آن RDP میگویند با ۱۷ درصد، بیشترین سهم از دسترسیهای اولیه فروخته شده در سال ۲۰۲۰ را به خود اختصاص داده و RDPبا میانگین قیمت ۹۸۰۰ دلار جایگاه گرانترین روش را نیز کسب کرده است.
رصد برخی از پایگاههای اینترنتی که در آنها دسترسیهای RDP به فروش میرسد نشان میدهد که بخشهای آموزش، بهداشت و درمان، فناوری، صنعت و ارتباطات اصلیترین اهداف حملات مبتنی بر RDP هستند. سازمانهای فعال در هر یک از این حوزهها میتوانند هدفی پرسود از نگاه باجگیران سایبری باشند.
شرکت «دیجیتال شدوز» میانگین قیمت یک دسترسی اولیه را ۷۱۰۰ دلار گزارش کرده است که این مبلغ بسته به سازمان، نوع و سطح دسترسی و تعداد دستگاههای قابل دسترس از طریق آن، میتواند متفاوت باشد.
در جریان برخی از این حملات و رخنه به شبکه قربانی از طریق RDP صدها هزار دلار و گاه میلیونها دلار از قربانی اخاذی میشود که مبلغ قریب به ۱۰ هزار دلار صرف شده برای خرید دسترسی در برابر آن مبالغ هنگفت اصلاً به چشم نمیآید.
با توجه به تداوم سوءاستفاده گسترده مهاجمان از RDP، و از آنجا که سرورهای با RDP باز بهسادگی از طریق جستجوگرهایی همچون Shodan قابل شناسایی هستند، کارشناسان مرکز مدیریت راهبردی افتا به همه مسئولان و کارشناسانIT دستگاههای زیرساخت تاکید میکنند تا دسترسی به RDP را در بستر اینترنت مسدود و از تغییر درگاه (Port) پیشفرض RDP اطمینان حاصل کنند.
ضروری است تا مسئولان و کارشناسانIT دستگاههای زیرساخت از پروتکل TCP بجای UDP و همچنین از اصالتسنجی موسوم به Network Level Authentication (NLA) استفاده کنند.
کارشناسان مرکز مدیریت راهبردی افتا از همه مسئولان و کارشناسانIT دستگاههای زیرساخت خواستهاند تا اطمینان حاصل کنند که سیاستهای مدیریت رمز عبور از جمله الزام پیچیده و غیرتکراری بودن آنها شامل حسابهای کاربری RDP نیزشده است تا احتمال هک شدن آنها در جریان حملات Brute-force به حداقل برسد.
برای در امان ماندن از رخنه به شبکه سازمانی از طریق RDP ، سازمانها و دستگاههای زیرساخت باید حتیالامکان از اصالتسنجیهای دوعاملی (2FA) برای دسترسی به RDP استفاده کنند و میزان دسترسی به RDP به نشانیهای IP مجاز و حسابهای کاربری خاص، محدود شود.
کارشناسان مرکز مدیریت راهبردی افتا بر تاکید بر اینکه ارتباطات RDP باید از طریق SSH یا IPSec امن شود از متخصصان IT سازمانها و دستگاههای زیرساخت خواسته اند تا از اعمال سریع اصلاحیههای (Patch) عرضه شده اطمینان حاصل کنند و در نامگذاریها تلاش شود که اطلاعات سازمان افشا نشود.
متخصصان IT سازمانها و دستگاههای زیرساخت باید سطح دسترسی کاربران محلی و تحت دامنه را در حداقل ممکن تنظیم و از سامانههای کنترل دسترسی نقش- محور RBAC- Role-based Access Control استفاده کنند.
مشروح گزارش فنی مرکز مدیریت راهبردی افتا، در باره حملات سایبری و رخنه به شبکه قربانیان از طریق RDP در لینک https://www.afta.gov.ir/portal/home/?news/235046/237266/242898/https://www.afta.gov.ir/portal/home/?news/235046/237266/242898/ منتشر شده است.