انتشار شده در تاریخ 1392/07/17 - 02:04

تهدید Citadel برای بانکداری الکترونیکی

بانک‌ها همیشه هدف جذابی برای مجرمان بوده‌اند؛ بانکداری الکترونیکی نیز از این قضیه مستثنی نیست.

بانک‌ها همیشه هدف جذابی برای مجرمان بوده‌اند؛ بانکداری الکترونیکی نیز از این قضیه مستثنی نیست. سرقت سایبری از یک بانک، همانند یک سرقت فیزیکی، سودآور بوده و حملات اخیر، مانند حمله به بانک Barclays در شمال لندن، نشان‌دهنده‌ی آن است که «سرقت‌های سایبری» همچنان ادامه خواهند داشت.
این بدافزارهای پنهانکار، یک تروجان بر روی رایانه‌ی قربانی نصب می‌کنند که نه تنها قادر به سرقت نام‌های کاربری و گذرواژه‌ها است، بلکه می‌تواند کدهای دلخواه مهاجم را نیز در رایانه‌ی قربانی اجرا کند. بانکداری الکترونیکی به طور ویژه‌ای در برابر این تهدید آسیب‌پذیر بوده و از این نوع بدافزار برای سرقت نام‌های کاربری، گذرواژه‌ها و PIN کدها، و همچنین دستکاری‌نمودن صفحات وب جهت مهندسی اجتماعی و سرقت اطلاعات بیشتر استفاده می‌شود.
MitB تهدید جدیدی نیست و در‌واقع بدافزار Citadel از اوایل سال ۲۰۱۲ میلادی فعال بوده است. با این حال، این بدافزار از ماه آوریل ۲۰۱۳ جان تازه‌ای به خود گرفته است. تیم امنیتی ASERT بیشتر از ۴۰۰۰ پرونده‌ی اجرایی Citadel را در شبکه‌های سندباکس خود یافته‌اند و رشد این بدافزار همچنان ادامه دارد. در ماه ژوئن ۲۰۱۳، شرکت مایکروسافت عملیات b54 را برای مختل ساختن صدها بات‌نت Citadel راه‌اندازی کرد. حتی پس از آنکه در این عملیات بیش از ۱۴۰۰ بات‌نت از کار انداخته شد، این بدافزار همچنان فعال است و توسط عاملین مهاجم برای هدف قرار دادن کشورهای مختلف و بخش‌های مالیِ آن‌ها استفاده می‌شود. به عنوان یکی از مهمترین تروجان‌های بانکداری، مهم است که مؤسسات و سازمان‌های مالی از خطرات و توانایی این بات‌نت برای تاثیرگذاری در عملیات مالی بین‌المللی، آگاه باشند.
شیوه‌ی عمل‌کرد این حمله چگونه است؟ حمله ابتدا با آلوده ساختن رایانه‌ی کاربر شروع می‌شود، که می‌تواند از طریق فیشینگ، بسته‌های نرم‌افزاری مخرب و یا بارگیری ناخواسته، یعنی بارگیری بدافزار بدون آگاهی کاربر، انجام شود. زمانی که رایانه‌ی کاربر آلوده شد، بدافزار با کارگزار کنترل و فرماندهی خود ارتباط برقرار می‌کند تا دستورهای جدید خود را دریافت کند. سپس کارگزار کنترل و فرماندهی فرمان‌هایی را برای چگونگی دسترسی به وبگاه‌های بانکداری و ثبت اطلاعات کاربر ارسال می‌کند که برای شروع حمله‌ی MitB لازم است.

چهار دلیل اصلی وجود دارد که شرکت‌ها و سازمان‌ها باید مراقب این بات‌نت باشند:
    - بات‌نت Citadel در گسترش خود بسیار موفق است و در بسیاری از موارد، رایانه‌های اداری به این بات‌نت آلوده شده‌اند. با وجود اینکه بدافزار Citadel از ابتدای ۲۰۱۲ منتشر شده است، اما حدود ۷۵٪ آن بر اساس یک بدافزار بانکداری دیگر به نام Zeus بنا شده است که ابتدا در اواسط سال ۲۰۰۷ شناسایی شد. همچنین، تنها یک بات‌نت Citadel وجود ندارد؛ نسخه‌های متعددی از این بات‌نت وجود دارد که توسط عاملین مهاجم مختلف و در کشورها و سرویس‌های مالی مختلف فعالیت می‌کنند.
    - کاربران اغلب حساب‌های بانکی خود را در رایانه‌ها و دستگاه‌های اداری کنترل می‌کنند، که این مسأله می‌تواند ارتباط میان بات‌نت و کارگزار کنترل و فرماندهی را در شبکه‌ی شرکت/سازمان برقرار کرده و این بدافزار را در محیط شبکه‌ وارد کرده و آن را از کنترل‌های امنیتی محیطی شرکت عبور دهد.
    - همچنین بسیاری از افراد، بدون توجه به سیاست‌های شرکت، از گذرواژ‌ه‌های تکراری استفاده می‌کنند. به همین دلیل امکان دارد اطلاعات دسترسی به حساب بانکی و رایانه‌های اداری یک کاربر یکسان باشد؛ این مسأله به مهاجم امکان می‌دهد با نام کاربری و گذرواژه‌ی معتبر به اطلاعات محرمانه‌ی یک کارمند دسترسی داشته باشد.
    - Citadel تنها نمونه‌ای از بدافزارهایی است که بانکداری الکترونیکی را هدف قرار می‌دهند. حملات MitB می‌توانند برای انواع مختلف برنامه‌ها یا مرورگرها، مانند وبگاه‌های فروشگاه‌ها، برنامه‌های دولتی و برنامه‌های تولیدی طراحی شوند.

تیم‌های امنیتی فناوری اطلاعات، به ویژه در بخش مالی و اعتباری، باید بر این تهدید اشراف داشته و از به‌کارگیری سیاست‌های لازم جهت مقابله با این تهدید فزاینده اطمینان حاصل کنند. این سیاست‌ها شامل به‌روزرسانی دوره‌ای گذرواژه‌ها در رایانه‌های اداری و استفاده از نرم‌افزارهای امنیتی مناسب می‌شود. با آماده‌سازی کارکنان و آموزش آن‌ها جهت تأمین امنیت داده‌های شخصی و داده‌های سازمانی، مدیران فناوری اطلاعات می‌توانند امنیت شبکه‌های خود را تأمین کنند.