انتشار شده در تاریخ 1402/03/21 - 12:58

قرار دادن محتوای خطرناک در ایمیل کارکنان شورای گلوسستر توسط هکرهای روسی

روسای شورای شهر گلوسستر واقع در انگلستان، توضیح داده‌اند که چگونه ایمیلی که انتظار داشتند از یک تامین‌کننده دریافت کنند، حاوی محموله ای خطرناک از هکرهای روسی بوده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، افسران شورا در این مقام مطلع شدند که شبکه های آنها توسط یک حمله سایبری بسیار پیچیده در 20 دسامبر 2021 در معرض خطر قرار گرفته است.
حمله سایبری فیشینگ نیزه ای که به گروهی از مجرمان سایبری روسی که اکنون منحل شده است مرتبط است، منجر به اختلال بزرگی در خدمات شورای شهر در این شهر شده است.
پرداخت‌های مزایا و برنامه‌ریزی‌های فروش خانه همگی به تعویق افتاده و اعضای شورا از ارسال ایمیل به سایر سازمان‌ها مسدود شدند.
با گذشت بیش از 18 ماه، روسای شورا تحقیقات خود را در مورد این حادثه به پایان رسانده و اکنون یافته های خود را با مردم به اشتراک گذاشته اند.
هکرها از روشی به نام حمله فیشینگ نیزه ای (spear phishing) استفاده کرده اند که طی آن تظاهر به بودن یک فرد قابل اعتماد می کنند که هدف را فریب داده تا روی یک پیوند مخرب کلیک کند.
مدیر عامل جان مک گینتی می گوید این باج افزار پس از باز کردن ایمیلی که یکی از افسران وی از یک شرکت زنجیره تامین دریافت می کرد اما حاوی بدافزار بود، به سیستم های شورا راه یافته است.
سپس هکرها قبل از فعال کردن حمله باج‌افزاری در ماه دسامبر، یک ماه را صرف دور زدن سیستم‌های فناوری اطلاعات شورا کرده اند.
آقای مک گینتی می گوید:

این یک حمله سایبری بسیار پیچیده بود. روش استفاده شده همان چیزی است که در تجارت به عنوان فیشینگ نیزه ای شناخته می شود.
این با فیشینگ معمولی متفاوت است که فقط ایمیل‌های تصادفی هستند که می‌گویند لطفا اینجا را کلیک کنید یا مقداری پول برای من بفرستید، یا چیزهایی از این قبیل. این یک ایمیل غیرمنتظره از طرف کسی است که از او انتظارش را نداشتید. ما آموزش های زیادی در این زمینه با کارکنان و اعضای شورا انجام می دهیم تا مطمئن شویم که آنها آن ایمیل ها را باز نمی کنند.
اما یک فیشینگ نیزه ای یک رهگیری هدفمند از یک ارتباط است. اتفاقی که در این مورد افتاد این بود که یک شرکت زنجیره تامین سیستم هایش هک شد. آنها با یکی از افسران من بر سر یک پرونده در ارتباط بودند.
در طول این ارتباط، آنها یک ایمیل خطرناک از شخصی که ما انتظار داشتیم از او ایمیل دریافت کنیم، ارسال کردند. آنها کسی را که ما از او خواسته بودیم برای ما ایمیل بفرستد را رهگیری کرده و به جای او ایمیل را می فرستند.
آنها وانمود می کردند که کسی هستند که ما انتظار داشتیم ایمیل را از او دریافت کنیم؛ اما ایمیل حاوی محموله خطرناکی بود که شبکه ما را آلوده کرده و از دفاع ما عبور کرد. کاری که آنها با این شرکت انجام دادند و کاری که با ما انجام دادند این بود که وقتی سیستم دفاعی را زیر پا گذاشتند، مدتی را در اطراف سیستم های ما سپری کرده، ما را غافلگیر نموده، سیستم های ما را یاد گرفته و نوعی حمله را طراحی کردند.
یک ماه بعد و یا بیشتر، آنها حمله کردند. بنابراین ما معتقدیم که آنها یک ماه قبل از حمله دسامبر به سیستم های ما نفوذ کرده بوده اند.

فیشینگ نیزه ای شکل بسیار خطرناکی از حمله است. شما اساساً توسط کسی مورد هدف قرار می گیرید که به نظر می رسد همان فردی است که منتظر شنیدن خبری از سمت او هستید.
آقای مک گینتی توضیح می دهد که شورا قبل از حمله سایبری میلیون ها پوند برای تقویت سیستم های خود هزینه کرده است. و اکنون مجبور شده اند برای قوی تر کردن شبکه های خود زمان و پول بیشتری صرف کنند.
او در ادامه می گوید:

ما برای انعطاف‌پذیری بیشتر محافظت‌های بیشتری در نظر گرفتیم. ما قبل از این حادثه میلیون ها پوند هزینه کردیم تا سیستم های خود را ایمن کنیم.
ما نه تنها آن را برای فایروال ها و مواردی از این قبیل خرج کرده بودیم، بلکه مشترک هشدارهای واکنش اضطراری منطقه ای هستیم که شبکه مرکز امنیت سایبری ملی ایجاد می کند. ما آزمایش‌های نفوذ داوطلبانه سیستم‌های خود را انجام می‌دهیم تا ببینیم آیا هکرها می‌توانند راهی برای عبور از آن پیدا کنند یا خیر.
ما با کارکنان خود تمرین‌های خریدار مرموز انجام می‌دهیم و سعی می‌کنیم ایمیل‌های فیشینگ تصادفی را برای آن‌ها ارسال کنیم تا ببینیم آیا روی آن کلیک می‌کنند یا خیر. برای کسانی که روی آن کلیک می‌کنند آموزش‌های اضافی انجام می‌دهیم.