افزایش سرقت و فروش دسترسی به شبکه سازمان‌ها

به‌گزارش خبرنگار گروه علمی فرهنگی هنری خبرگزاری صدا و سیما به نقل از روابط عمومی مرکز مدیریت راهبردی افتا، هک شبکه‌ها و فروش دسترسی به آن‌ها را افرادی با عنوان " دلال‌های دسترسی اولیه" (Initial Access Broker) انجام می‌دهند که این افراد با هک سرور یا سامانه سازمان، پس از دستیابی به اطلاعات لازم برای رخنه به آنها، دسترسی فراهم شده را به سایر تبهکاران سایبری می‌فروشند.
خرید و فروش اطلاعات اصالت‌سنجی (Credential) دسترسی‌های از راه دور مدتهاست که بخشی از اکوسیستم وب تاریک (Dark Web) شده است و تبلیغات واسطه‌های فروش همواره در وب تاریک منتشر می‌شود.
دسترسی از طریق (Remote Desktop Protocol) که به اختصار به آن RDP می‌گویند با ۱۷ درصد، بیشترین سهم از دسترسی‌های اولیه فروخته شده در سال ۲۰۲۰ را به خود اختصاص داده و RDP با میانگین قیمت ۹۸۰۰ دلار جایگاه گران‌ترین روش را نیز کسب کرده است.
رصد برخی از پایگاه‏‌های اینترنتی که در آن‌ها دسترسی‌های RDP به فروش می‌رسد نشان می‌دهد که بخش‌های آموزش، بهداشت و درمان، فناوری، صنعت و ارتباطات اصلی‌ترین اهداف حملات مبتنی بر RDP هستند. سازمان‌های فعال در هر یک از این حوزه‌ها می‌توانند هدفی پرسود از نگاه باج‌گیران سایبری باشند.
شرکت «دیجیتال شدوز» میانگین قیمت یک دسترسی اولیه را ۷۱۰۰ دلار گزارش کرده است که این مبلغ بسته به سازمان، نوع و سطح دسترسی و تعداد دستگاه‌های قابل دسترس از طریق آن، می‌تواند متفاوت باشد.
در جریان برخی از این حملات و رخنه به شبکه قربانی از طریق RDP صد‌ها هزار دلار و گاه میلیون‌ها دلار از قربانی اخاذی می‌شود که مبلغ قریب به ۱۰ هزار دلار صرف شده برای خرید دسترسی در برابر آن مبالغ هنگفت اصلاً به چشم نمی‌آید.
با توجه به تداوم سوءاستفاده گسترده مهاجمان از RDP، و از آنجا که سرور‌های با RDP باز به‌سادگی از طریق جستجوگر‌هایی همچون Shodan قابل شناسایی هستند، کارشناسان مرکز مدیریت راهبردی افتا به همه مسئولان و کارشناسان IT دستگاه‌های زیرساخت تاکید می‌کنند تا دسترسی به RDP را در بستر اینترنت مسدود و از تغییر درگاه (Port) پیش‌فرض RDP اطمینان حاصل کنند.
ضروری است تا مسئولان و کارشناسان IT دستگاه‌های زیرساخت از پروتکل TCP بجای UDP و همچنین از اصالت‌سنجی موسوم به Network Level Authentication (NLA) استفاده کنند.
کارشناسان مرکز مدیریت راهبردی افتا از همه مسئولان و کارشناسان IT دستگاه‌های زیرساخت خواسته‌اند تا اطمینان حاصل کنند که سیاست‌های مدیریت رمز عبور از جمله الزام پیچیده و غیرتکراری بودن آن‌ها شامل حساب‌های کاربری RDP نیزشده است تا احتمال هک شدن آن‌ها در جریان حملات Brute-force به حداقل برسد.
برای در امان ماندن از رخنه به شبکه سازمانی از طریق RDP، سازمان‌ها و دستگاه‌های زیرساخت باید حتی‌الامکان از اصالت‌سنجی‌های دوعاملی (۲FA) برای دسترسی به RDP استفاده کنند و میزان دسترسی به RDP به نشانی‌های IP مجاز و حساب‌های کاربری خاص، محدود شود.
کارشناسان مرکز مدیریت راهبردی افتا بر تاکید بر اینکه ارتباطات RDP باید از طریق SSH یا IPSec امن شود از متخصصان IT سازمان‌ها و دستگاه‌های زیرساخت خواسته اند تا از اعمال سریع اصلاحیه‌های (Patch) عرضه شده اطمینان حاصل کنند و در نامگذاری‌ها تلاش شود که اطلاعات سازمان افشا نشود.
متخصصان IT سازمان‌ها و دستگاه‌های زیرساخت باید سطح دسترسی کاربران محلی و تحت دامنه را در حداقل ممکن تنظیم و از سامانه‌های کنترل دسترسی نقش- محور RBAC- Role-based Access Control استفاده کنند.
مشروح گزارش فنی مرکز مدیریت راهبردی افتا، در باره حملات سایبری و رخنه به شبکه قربانیان از طریق RDP در لینک https://www.afta.gov.ir/portal/home/?news/۲۳۵۰۴۶/۲۳۷۲۶۶/۲۴۲۸۹۸/ منتشر شده است.