فاصله زمانی ششماهه بین شناسایی و رفع یک حفره امنیتی در نرمافزار مایکروسافت ورد، فرصت بهرهبرداری گسترده را به نفوذگران داده است.
فرآیند عرضه بهروزرسانیهای نرمافزاری برای برطرف کردن حفرههای امنیتی، در برخی موارد با گذشت چند ماه آغاز میشود. این در حالی است که در فاصله زمانی شناسایی تا رفع ایرادهای امنیتی، نفوذگران دست به کار شدهاند و تا حد امکان برای رسیدن به مقاصد خود از این فرصت بهرهبرداری میکنند.
برای فهم هرچه بهتر مشکلات و موانع موجود در مسیر ارائه بستههای امنیتی توسط شرکتها، بد نیست نگاهی به یک مورد نقص امنیتی در نرمافزار ورد شرکت مایکروسافت و به دنبال آن، عرضه بسته امنیتی توسط این شرکت داشته باشیم. این مشکل امنیتی، بهطور رسمی با کد CVE-2017-0199 شناخته میشود؛ مشکلی که با عرضه بسته امنیتی ماهیانه ۱۱ آوریل مایکروسافت برطرف شد. نکته قابل توجه آن است که از کشف تا رفع این مشکل امنیتی، ۹ ماه زمان نیاز بود که به اعتقاد اکثر متخصصان امنیتی، مدتزمانی طولانی است.
در مقام مقایسه، بد نیست بدانید محققان امنیتی گوگل، پیش از انتشار جزئیات حفرههای امنیتی، هشداری ۹۰ روزه به شرکتهای صاحب عناوین نرمافزاری مشکلدار میدهند. در مدتزمانی که مایکروسافت در حال انجام تحقیقات بود، هکرها این حفره امنیتی را شناسایی و از آن برای دستیابی به مقاصد مختلف نظیر جاسوسی از فعالان سیاسی در کشور اوکراین استفاده کردند. گروهی از سارقان اینترنتی نیز از این حفره امنیتی برای سرقت مبالغی از میلیونها حساب بانکی آنلاین در استرالیا و دیگر کشورها بهره بردند.
این باگ نرمافزاری، کاملا خطرناک است؛ اما در دسته حفرههای امنیتی متداول در حوزه امنیت سایبری قرار میگیرد. نفوذگران با استفاده از این حفره امنیتی، امکان در دست گرفتن کنترل کامپیوترهای شخصی قربانیان را با بهجا گذاشتن کمترین ردپا از خود داشتند.
آنچه در ادامه خواهید خواند، جزئیاتی است که در نتیجه مصاحبه با محققان مختلف شرکتهای حوزه امنیت سایبری، توسط رویترز جمعآوری شده است؛ محققانی که مطالعه رویدادها و تحلیل نسخههای مختلف کدهای مخرب را بر عهده داشتهاند. مایکروسافت نیز توالی این رویدادها را تأیید کرده است.
اصل ماجرا از جولای سال گذشته میلادی آغاز شد که رایان هانسون، فارغالتحصیل دانشگاه ایالت آیداهو و مشاور شرکت امنیتی اپتیو، نقطهضعفی در نحوه پردازش نرمافزار مایکروسافت ورد روی برخی مستندات متنی پیدا کرد. این نقطهضعف به هانسون اجازه داد لینکی به مقصد یک بدافزار را که امکان کنترل کامپیوتر را به نفوذگر میداد، در فرایند پردازش وارد کند.
ترکیب حفرههای امنیتی
هانسون پس از چند ماه موفق شد این نقص امنیتی را با دیگر حفرههای امنیتی ترکیب و راهکار خطرناکتری برای اجرایی کردن فرآیند نفوذ آماده کند. در ماه اکتبر، بالاخره هانسون این مشکل را به مایکروسافت گزارش داد. همانطور که میدانید مایکروسافت معمولا پاداشی هم برای افرادی که این حفرههای امنیتی را شناسایی میکنند در نظر میگیرد.
مایکروسافت تأیید کرده است که بلافاصله پس از دریافت این گزارش، امکان برطرف کردن مشکل را داشته؛ اما رفع کامل حفره امنیتی جدید به این سادگیها نبوده است. تغییر جزئی در تنظیمات نرمافزار مایکروسافت توسط مشتریان میتوانست به حل مشکل بینجامد؛ اما در صورتی که مایکروسافت این مورد را بهطور رسمی به کاربران خود اعلام میکرد، نفوذگران هم میتوانستند به بازگردانی تنظیمات و پیادهسازی مجدد حملات اقدام کنند.
گزینه بعدی، ایجاد یک بسته نرمافزاری بود تا بهعنوان بهروزرسانی نرمافزاری ماهیانه در اختیار کاربران قرار گیرد. مایکروسافت ترجیح داد بررسی بیشتری روی موضوع داشته باشد و از همین رو، این بسته نرمافزاری را بلافاصله منتشر نکرد. به بیان دقیقتر، معلوم نبود تمامی نفوذگران از روش خاص هانسون استفاده کنند و از همین رو باید تمامی احتمالات در نظر گرفته میشد.
سخنگوی مایکروسافت در این خصوص میگوید: ما تحقیقات تکمیلی را انجام دادیم تا دیگر روشهای مشابه نیز شناسایی و بررسی شوند. در نهایت، قصد ما بر آن بود تا اطمینان حاصل کنیم بسته امنیتی عرضهشده، فراتر از یک مورد خاص گزارششده را پوشش میدهد. این تحقیقات، کاملا پیچیده بود. این شرایط نشان میدهند عملکرد مایکروسافت و در نگاهی کلیتر، واکنش شرکتهای فعال در حوزه نرمافزار به مشکلات امنیتی، در دورهای که تعداد حفرههای نرمافزاری روزبهروز بیشتر میشود، ناهمگون و متفاوت است.
شروع حملات
هنوز مشخص نیست که نفوذگران در ابتدای امر چگونه از وجود حفره امنیتی شناسایی شده توسط هانسون باخبر شدند. این امر ممکن است در نتیجه تشخیص همزمان مشکل امنیتی توسط افراد دیگر، درز اطلاعات در فرآیند ایجاد بسته امنیتی توسط مایکروسافت یا حتی نفوذ به سیستمهای شرکت اپتیو یا مایکروسافت به وقوع پیوسته باشد.
در ماه ژانویه یعنی زمانی که مایکروسافت تمرکز خود را روی ارائه راهکاری امنیتی گذاشته بود، حملات نفوذگران آغاز شد. اولین قربانیان، کاربرانی بودند که ایمیلی به همراه لینک آلوده دریافت کردند. این لینک بهظاهر قرار بود مستنداتی به زبان روسی در خصوص استراتژیهای نظامی روسیه و نواحیی که توسط شورشیان بهرهمند از پشتیبانی این کشور، در شرق اوکراین تصرف شده بود، پیش روی کاربران قرار دهد. در نهایت، کامپیوتر این دسته از کاربران توسط نرمافزار استراق سمعی که توسط گاما گروپ توسعه یافته بود، آلوده میشد. گاما گروپ شرکتی خصوصی است که نرمافزارهای مختلف را به آژانسهای امنیتی دولتهای مختلف میفروشد.
دقیقترین تحلیل متخصصان امنیتی حکایت از آن دارد که احتمالا یکی از مشتریان گاما قصد داشته به کامپیوترهای سربازان یا احزاب سیاسی در اوکراین، روسیه یا دیگر کشورهای همسایه و متحدان آنها دسترسی پیدا کند. جاسوسیهای دولتی به این شکل و شمایل، امری معمول و متداول بهحساب میآیند.
حملات اولیه با هدف کنترل کامپیوتر اهداف مشخص و محدودی انجام میشد و از همین رو امکان رصد میزان پراکندگی آلودگی وجود داشت. این در حالی است که در ماه مارس، محققان امنیتی شرکت فایرآی متوجه فعالیت بدافزاری به نام لیتنبات (Latenbot) شدند که بهمنظور نفوذ به مؤسسههای مالی و اعتباری، با استفاده از همین باگ مایکروسافت توزیع شده بود. بررسی بیشتر حکایت از آن داشت که پیش از این نیز حملاتی بر این اساس انجام شده است. در نهایت، فایرآی، مایکروسافت را از این موضوع مطلع کرد. مایکروسافت نیز تأیید کرده که اولین هشدارها در خصوص وقوع حملات را در ماه مارس میلادی دریافت کرده است.
در ادامه، شرکت مکافی هم حملاتی را در ششم آوریل رصد کرد که با استفاده از همین حفره امنیتی مایکروسافت ورد صورت گرفته بود. مکافی مایکروسافت را از وجود این مشکل باخبر کرد و در هفتم آوریل نیز شرح ماجرا را در وبلاگ خود قرار داد. پست منتشرشده در وبلاگ این شرکت آنچنان مبسوط بود که حتی نفوذگران دیگر هم میتوانستند با استفاده از آن، از حملات انجامشده الگوبرداری کنند. متخصصان امنیتی معتقدند مکافی باید در سیاستی مشابه با آنچه توسط اپتیو و فایرآی اتخاذ شده بود خویشتنداری بیشتری میکرد، منتظر عرضه بسته امنیتی توسط مایکروسافت میماند و دست به افشای جزئیات نمیزد. پس از این، در نهم آوریل، نرمافزاری که امکان بهرهبرداری از این حفره امنیتی را فراهم میکرد در بازارهای زیرزمینی ویژه نفوذگران به فروش رسید.
روز بعد، شاهد پیادهسازی حملات به شکل گستردهتر بودیم و یکی از نفوذگران، بدافزار کلاهبرداری از حسابهای بانکی را با استفاده از همین باگ نرمافزار ورد توسعه داد و به میلیونها کامپیوتر در استرالیا ارسال کرد. در نهایت، با گذشت شش ماه از دریافت اولین هشدار، مایکروسافت بسته امنیتی رفع مشکل را آماده کرد. این در حالی است که طبق معمول، برخی کاربران نسبت به دریافت و نصب این بسته امنیتی بیاعتنا بودند.
مارتن میکوس، مدیر اجرایی هکر وان که در زمینه آمادهسازی بستههای امنیتی به محققان و شرکتها مشاوره میدهد در خصوص این تأخیر ششماهه میگوید: تأخیر ششماهه، امری ناخوشایند در حوزه امنیت سایبری است؛ اما پیش از این نیز چنین تأخیری در عرضه بستههای امنیتی شاهد بودهایم. حال آنکه فرآیند رفع مشکل، در حالت معمول تنها به چند هفته زمان نیاز دارد.
سخنگوی اپتیو اعلام کرده است که این شرکت پیش از انتشار نتایج تحقیقات یا جزئیات تکمیلی، معمولا فرصتی ۴۵ روزه برای رفع مشکلات امنیتی به شرکتها میدهد. اپتیو در حال حاضر مقایسه اطلاعاتی را که توسط هانسون به مایکروسافت اعلام شده بود با آنچه توسط جاسوسان و مجرمان سایبری به مرحله اجرا درآمده، در دستور کار قرار داده است. این در حالی است که هنوز اطلاعات دقیقی از تعداد کامپیوترهای آلودهشده یا میزان وجوه سرقت شده از قربانیان در دست نیست.
منبع REUTERS