ادعای حمله سایبری موفق به شرکت امنیتی ریسکیوریتی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، گروه بدنام جرایم سایبری اسکترد لپسوس هانترز (Scattered LAPSUS$ Hunters) پس از لاف‌زنی درباره یک رخنه داده‌ای که بعداً مشخص شد یک «هانی‌پات» (تله فریب امنیتی) بوده، به‌شدت رسوا شده است.

این گروه اسکرین‌شات‌هایی را در تلگرام منتشر کرد — که بعداً حذف شدند — و مدعی شد به‌طور کامل به سامانه‌های شرکت امنیت سایبری ریسکیوریتی (Resecurity) دسترسی پیدا کرده است.

به گزارش دیتا بریچز (DataBreaches)، در این پست ادعا شده بود که اسکترد لپسوس هانترز به تمام چت‌ها و لاگ‌های داخلی، داده‌های کارکنان از جمله نام‌ها و آدرس‌های ایمیل، و همچنین اطلاعات تهدیدات سایبری و فهرست مشتریان دست یافته است.

این گروه با لحن تمسخرآمیز نوشته بود:

آن‌ها دور شرکت‌ها می‌گردند و می‌گویند از آن‌ها در برابر حملات سایبری “محافظت” می‌کنند، خدمات گران می‌فروشند و نقش کارشناس را بازی می‌کنند… اما در نهایت، درست مثل کاری که با کراود استرایک (CrowdStrike) و اف بی آی (FBI) کردیم، کاملاً زمین‌گیر شدند.

با این حال، این شادی و فخرفروشی دوام چندانی نداشت؛ زیرا اسکترد لپسوس هانترز خود قربانی یک کارزار هانی‌پات شد که توسط پژوهشگران ریسکیوریتی اجرا شده بود.

در ماه نوامبر، این شرکت یک عامل تهدید را شناسایی کرد که در حال انجام فعالیت‌های مخرب و شناسایی (Reconnaissance) روی چندین سرویس و برنامه در معرض عموم بود.

این عامل همچنین یکی از کارکنان شرکت را هدف قرار داده بود که هیچ داده حساس یا دسترسی سطح‌بالایی نداشت.

ریسکیوریتی در یک پست وبلاگی اعلام کرد:

با درک اینکه این عامل در حال شناسایی است، تیم ما یک حساب هانی‌پات ایجاد کرد. این کار منجر به ورود موفق عامل تهدید به یکی از برنامه‌های شبیه‌سازی‌شده حاوی داده‌های مصنوعی شد. اگرچه این ورود موفق می‌توانست به عامل امکان دسترسی غیرمجاز و ارتکاب جرم را بدهد، اما در عین حال شواهد محکمی از فعالیت او در اختیار ما قرار داد.

این طرح هانی‌پات از داده‌های مصنوعی استفاده می‌کرد؛ داده‌هایی که عمداً با الگوها و ویژگی‌های داده‌های واقعی تولید می‌شوند، اما هیچ اطلاعات مالکیتی یا واقعی در آن‌ها وجود ندارد.

در این مورد خاص، داده‌ها شامل بیش از ۲۸ هزار رکورد مصنوعی مصرف‌کنندگان و بیش از ۱۹۰ هزار رکورد مصنوعی تراکنش‌های پرداخت بود.

ریسکیوریتی توضیح داد:

در زمینه شکار تهدید، داده‌هایی که پیش‌تر دچار رخنه شده‌اند می‌توانند برای طراحی مدل‌های فریب بسیار مؤثر باشند؛ مدل‌هایی که کاملاً واقعی به نظر می‌رسند و عاملان تهدید را جذب می‌کنند. برای مثال، یک هانی‌پاتِ عمداً کاشته‌شده — حاوی رکوردهایی با ظاهر واقعی (اما عملاً بی‌فایده) — می‌تواند عاملان تهدید را به تلاش برای سرقت آن ترغیب کند.

پژوهشگران ریسکیوریتی صبر پیشه کردند و در تاریخ ۱۲ دسامبر، این گروه فعالیت خود را از سر گرفت و طی دو هفته بعد بیش از ۱۸۸ هزار درخواست برای تخلیه داده‌های مصنوعی ارسال کرد.

سپس تلاش کرد با استفاده از خودکارسازی مخرب (Malicious Automation) داده‌ها را اسکرپ کند.

در مقطعی، عامل تهدید به‌طور ناخواسته آدرس‌های آی پی (IP) واقعی خود را فاش کرد.

این اشتباه، همراه با خطاهای دیگر، به ریسکیوریتی امکان داد سرورهای دقیق مورد استفاده برای خودکارسازی را شناسایی کند؛ آن هم با وجود استفاده از فهرست‌هایی از پراکسی‌های آی پی مسکونی برای جعل منبع اتصال.

ریسکیوریتی اعلام کرد:

گروهی با نام شاینی هانترز (ShinyHunters) که پیش‌تر توسط ریسکیوریتی پروفایل شده بود، در دام یک هانی‌پات افتاد. در واقع، ما با نسخه بازبرندسازی‌شده آن‌ها مواجه هستیم که خود را “اسکترد لپسوس هانترز” می‌نامد؛ نامی که به‌دلیل هم‌پوشانی ادعایی میان عاملان تهدید شاینی هانترز، لپسوس (Lapsus$) و اسکترد اسپایدر (Scattered Spider) انتخاب شده است.

به گفته ریسکیوریتی، اطلاعات به‌دست‌آمده درباره این عاملان تهدید از طریق این کارزار، در اختیار نهادهای مجری قانون قرار داده شده است که در حال تحقیق درباره این گروه هستند.