گزارش Mandiant از افزایش استفاده از زیرودی ها در سال 2021

اخیرا Mandiant گزارشی رو منتشر کرده که در اون به آنالیز و بررسی زیرودی های استفاده شده در سال 2021 پرداخته. طبق این گزارش سال 2021 از لحاظ زیرودی یکی از سالهای پربار بوده.

طبق بررسی Mandiant ،در سال 2021 تعداد اکسپلویتهای زیرودیی که استفاده شده 80 مورد بوده که دو برابر رکورد قبلی در سال 2019 هستش.

گروههای تحت حمایت دولتها بیشترین استفاده کننده از این آسیب پذیریها بودن و در بین این گروهها چین بالاترین استفاده رو داشته.نسبت بازیگران با انگیزه مالی به ویژه گروه‌های باج‌افزاری که از اکسپلویتهای زیرودی استفاده میکنند نیز به طور قابل‌توجهی رشد کرده و تقریباً از هر 3 بازیگر شناسایی‌شده در سال 2021 که از اکسپلویت زیرودی استفاده می‌کردن، یکیشون انگیزه مالی داشته.

بازیگران تهدید اغلب از زیرودی در محصولات مایکروسافت، اپل و گوگل استفاده کردند که احتمالاً نشان دهنده محبوبیت این شرکتهاست. افزایش گسترده اکسپلویتهای زیرودی در سال 2021، و همچنین تنوع بازیگرانی که از اونا استفاده می کنند، سبد ریسک را برای سازمان ها تقریبا در هر بخش صنعت و جغرافیایی، به ویژه سازمان هایی که به این سیستم های محبوب متکی هستند،افزایش داده.

دامنه تحقیق :

این شرکت بیش از 200 آسیب‌پذیری زیرودی رو که از سال 2012 تا 2021 مورد اکسپلویت قرار گرفته‌اند، تجزیه و تحلیل کرد. Mandiant یک آسیب‌پذیری رو زیرودی می‌دونه که قبل از در دسترس قرار گرفتن وصله‌ای برای عموم، مورد اکسپلویت قرار گرفته باشه. این اکسپلویتهای زیرودی از تحقیقات اصلی Mandiant، یافته‌های تحقیقات نقض، و منابع عمومی، با تمرکز بر زیرودیهایی که توسط گروه‌های شناخته شده مورد استفاده قرار گرفتن ، بررسی شده. این منابع همانطور که در این تحلیل استفاده شده قابل اعتماد هستند، اما یافته های برخی منابع رو نتونستن تایید کنن. با توجه به کشف مداوم حوادث گذشته از طریق تحقیقات فارنزیک، انتظار میره که این تحقیقات پویا باقی بمونه و ممکنه در آینده تکمیل بشه.

اکسپلویتهای زیرودی در سال 2021 به بالاترین حد خود رسید

همانطور که در شکل زیر مشاهده میکنید، اکسپلویتهای زیرودی از سال 2012 تا 2021 افزایش یافته ، و انتظار میره تعداد زیرودی های مورد اکسپلویت در هر سال همچنان به رشد خود ادامه بده. تا پایان سال 2021، 80 زیرودی شناسایی شده که بیش از دو برابر رکورد قبلی در سال 2019 هستش که 32 مورد بود.

عوامل مختلفی منجر به رشد اکسپلویتهای زیرودی شدن. به عنوان مثال، حرکت به سمت فناوری‌های میزبانی ابری، تلفن همراه و اینترنت اشیاء (IoT) ، حجم و پیچیدگی سیستم‌ها و دستگاه‌های متصل به اینترنت افزایش داده، به زبان ساده، نرم‌افزار بیشتر منجر به نقص‌های نرم‌افزاری بیشتر میشه. گسترش بازار واسط های اکسپلویت نیز احتمالاً به این رشد کمک می کنه، زیرا منابع بیشتری به سمت تحقیق و توسعه زیرودی ، هم توسط شرکت های خصوصی و محققان و هم بازیگران تهدید اختصاص داده میشه. در نهایت، دفاع پیشرفته احتمالاً به مدافعان این امکان رو میده که اکنون نسبت به سال‌های گذشته، اکسپلویتهای زیرودی بیشتری رو شناسایی کنند، و سازمان‌های بیشتری ، پروتکل‌های امنیتی رو برای کاهش خطرات از طریق بردارهای حمله ، استفاده میکنن.

Confirmed exploitation of zero-day vulnerabilities in the wild 2012–2021
Confirmed exploitation of zero-day vulnerabilities in the wild 2012–2021


گروه‌های تحت حمایت دولت همچنان بیشترین استفاده کننده هستند، اما اکسپلویتهای زیرودی با انگیزه مالی نیز در حال رشد است

گروه‌های جاسوسی تحت حمایت دولت ها همچنان بازیگران اصلی هستند که از آسیب‌پذیری‌های زیرودی استفاده میکنن، اگرچه نسبت بازیگران با انگیزه مالی که از این اکسپلویتها استفاده میکنن هم ،در حال افزایشه . از سال 2014 تا 2018، مشاهده شده که تنها بخش کوچکی از بازیگران با انگیزه مالی از آسیب‌پذیری‌های زیرودی استفاده میکردن، اما تا سال 2021، تقریباً یک سوم از کل بازیگران شناسایی‌شده ، انگیزه مالی داشتن. همانطور که اشاره شد بازیگران تهدید جدیدی هم از زیرودی ها استفاده می‌کنن، اما هنوز اطلاعات کافی در مورد برخی از این بازیگران برای ارزیابی انگیزه شان وجود نداره.

Proportion of identified zero-days exploited by motivations from 2012-02021
Proportion of identified zero-days exploited by motivations from 2012-02021


گروه‌های چینی همچنان بیشترین استفاده کننده اکسپلویتهای زیرودی

مطابق با تحلیل قبلی ، در سال 2021 ، بیشترین حجم زیرودیهای مورد استفاده توسط گروه های مظنون به جاسوسی سایبری چینی بودند و بعد از چینی ها ، بازیگران تهدید از روسیه و کره شمالی به طور فعال از زیرودی ها در سال 2021 استفاده کردند . از سال 2012 تا 2021، چین بیش از هر کشور دیگه از زیرودی استفاده کرده. با این حال، شاهد افزایش تعداد کشورهایی هستیم که احتمالاً از زیرودیها استفاده می کنند، به ویژه در چند سال گذشته، و حداقل 10 کشور جداگانه احتمالاً از سال 2012 از این آسیب پذیریها استفاده کرده اند.

از ژانویه تا مارس 2021، Mandiant چندین فعالیت جاسوسی چینی رو مشاهده کرده که از چهار آسیب‌پذیری سرور Exchange که به عنوان آسیب‌پذیری ProxyLogon شناخته میشدند، استفاده کرده. مایکروسافت فعالیت های مرتبط با این کمپین را به عنوان "Hafnium" نامگذاری کرد.

در حالی که به نظر می رسید برخی از بازیگران تهدید ، اهداف را با دقت انتخاب می کنند، برخی دیگر ده ها هزار سرور را تقریباً در هر جا و منطقه ای به خطر می انداختن.

عملیات جاسوسی سایبری چین در سال‌های 2020 و 2021 نشان میده که پکن دیگه با اظهارات رسمی دولت و کیفرخواست‌های کشورهای قربانی ، بازدارندگی نداره و علاوه بر احیای مجدد گروه‌های غیر فعال جاسوسی سایبری که توسط وزارت دادگستری ایالات متحده (DOJ) متهم شده بودند ، گروه‌های جاسوسی چینی به طور فزاینده‌ای گستاختر هم شدن.

از سال‌های 2016 تا 2017، هیچ زیرودی که توسط APT28 تحت حمایت روسیه مورد استفاده قرار گرفته باشه شناسایی نشده تا زمانی که اونا احتمالاً در اواخر سال 2021 از یک زیرودی در مایکروسافت اکسل استفاده کردند. با این حال، گزارش‌های عمومی نشون داد که سایر گروههای وابسته به روسیه چندین زیرودی در سال‌های 2020 و 2021، از جمله در طول فعالیت احتمالی TEMP.Isotope روسی که احتمالاً شبکه‌های زیرساختی حیاتی را با یک زیرودی در محصول فایروال Sophos هدف قرار می‌دهد، مورد اکسپلویت قرار دادن.

Actors exploiting zero-days in 2021 by country
Actors exploiting zero-days in 2021 by country


فروشندگان شخص ثالث به واسطهای اکسپلویت مهم تبدیل شده اند

از اواخر سال 2017، Mandiant افزایش قابل توجهی را در تعداد زیرودیهای استفاده شده توسط گروه‌هایی که شناخته شده یا مشکوک به مشتریان شرکت‌های خصوصی هستند که ابزار و خدمات سایبری تهاجمی عرضه می‌کنند، مشاهده کرده .

اونا حداقل شش آسیب‌پذیری زیرودی شناسایی کردن که در سال 2021 به طور بالقوه توسط فروشندگان بدافزار مورد استفاده قرار گرفته، از جمله یکی از اونا که طبق گزارش‌ها در ابزارهای توسعه‌یافته توسط دو فروشنده جداگانه مورد استفاده قرار گرفتن. در سال 2021، حداقل پنج آسیب‌پذیری زیرودی توسط یک فروشنده تجاری اسرائیلی مورد استفاده قرار گرفت.

بهره برداری روز صفر مرتبط با عملیات باج افزار

از سال 2015، شاهد کاهش شدید آسیب‌پذیری‌های زیرودی موجود در کیت‌های اکسپلویت مجرمانه بودیم که احتمالاً به دلیل عوامل متعددی از جمله دستگیری توسعه‌دهندگان برجسته بود. با این حال، از زمانی که مجرمان زیرزمینی در عملیات باج‌افزار شرکت میکنن، از سال 2019 شاهد افزایش آلودگی‌های باج‌افزاری بودیم که از آسیب‌پذیری‌های زیرودی استفاده می‌کردند. این روند ممکنه نشون‌دهنده این باشه که این گروه‌های باج‌افزار پیچیده شروع به جذب یا خرید مهارت‌های لازم برای اکسپلویت زیرودیهایی می‌کنن، که ممکنه قبلاً برای کیت‌های اکسپلویت توسعه داده می شدن.

شرکت Mandiant رشد قابل توجهی رو در باج افزار از نظر کمیت و تأثیر مستند کرده . سود قابل توجه و همچنین افزایش تقسیم کاری، برون‌سپاری و اکوسیستم حرفه‌ای که باج‌افزار پشتیبانی می‌کنه، باعث شده دو مسیر قابل دوام،منابع مالی و پیچیدگی بازیگر، برای توسعه و/یا کسب اکسپلویتهای زیرودی برای اپراتورهای باج افزارها فراهم بشه.

حداقل دو مورد مشاهده شده که در اون عوامل تهدید مختلف ، از نقص‌های دستگاه‌های VPN جداگانه ، برای دسترسی به شبکه‌های قربانی و متعاقباً اجرای باج‌افزار در سال 2021 استفاده کردن.

فروشندگان محبوب، اهداف محبوبی برای اکسپلویتهای زیرودی هستند

زیرودی ها از 12 شرکت مختلف در سال 2021 تجزیه و تحلیل شدن و در بین این شرکتها ، مایکروسافت، اپل و گوگل 75 درصد از کل آسیب‌پذیری‌های زیرودی رو شامل میشن ، که احتمالاً به دلیل محبوبیت این محصولات در بین شرکت‌ها و کاربران در سراسر جهانه. تهدید ناشی از اکسپلویت از این ارائه دهندگان عمده با توجه به محبوبیت آنها همچنان قابل توجه . علاوه بر این، تنوع رو به رشدی در شرکتهایی که هدف قرار می‌گیرند مشاهده شده، که می‌تونه اولویت‌بندی پچ‌ها را پیچیده‌تر کنه و کار را برای سازمان‌هایی که نمی‌تونن تنها بر یک یا دو شرکت به عنوان اولویت تمرکز کنند، دشوارتر کنه.

از سال 2012 تا 2017، Adobe دومین شرکت آسیب پذیر به این زیرودی ها بوده که تقریباً 20 درصد از تمام زیرودی ها اختصاص به Adobe Flash داشته. از زمانی که اعلام شد، فلش به پایان عمر خود رسیده شاهد کاهش قابل توجهی در اکسپلویتهای Adobe شد

Proportion of identified zero-days exploited by vendor in 2021
Proportion of identified zero-days exploited by vendor in 2021


دورنما

همانطور که اشاره شد کمپین‌های مهم مبتنی بر اکسپلویتهای زیرودی به طور فزاینده‌ای برای طیف گسترده‌تری از بازیگران با حمایت دولتی و با انگیزه مالی قابل دسترسه، از جمله بدلیل افزایش فروشندگانی که اکسپلویت‌ها را می‌فروشند و عملیات باج‌افزار پیچیده‌ای که به طور بالقوه در حال توسعه اکسپلویت‌های سفارشی هستند. افزایش قابل توجه اکسپلویت آسیب پذیری های زیرودی، به ویژه در سال 2021، سبد ریسک را برای سازمان ها تقریباً در هر بخش صنعتی و جغرافیایی افزایش میده. در حالی که اکسپلویت ها در سال 2021 به اوج خود رسیدن، نشانه هایی وجود داره که سرعت اکسپلویت از زیرودی های جدید در نیمه دوم سال کاهش یافته . با این حال، اکسپلویتهای زیرودی همچنان در مقایسه با سال های گذشته با نرخ بالاتری در حال توسعه هستن.

پیامدهای اولویت بندی پچ

بسیاری از سازمان‌ها برای به حداقل رساندن خطرات اکسپلویتها، اقدام به اولویت‌بندی مؤثر وصله‌ها میکنن. ما بر این باوریم که برای سازمان‌ها مهمه که یک استراتژی دفاعی بسازند که انواع تهدیدهایی را که به احتمال زیاد محیط اونارو تحت تأثیر قرار میده و تهدیدهایی که می‌تونن بیشترین آسیب را ایجاد کنند، اولویت‌بندی کنن، که با تعداد نسبتاً کمتری از آسیب‌پذیری‌های فعال شروع میشه. وقتی سازمان‌ها تصویر روشنی از طیف بازیگران تهدید، خانواده‌های بدافزارها، کمپین‌ها و تاکتیک‌هایی داشته باشند که بیشترین ارتباط را با سازمانشون داره، زمانی که این تهدیدها با اکسپلویتهای فعال از آسیب‌پذیری‌ها مرتبط باشن، می‌تونن تصمیمات اولویت‌بندی دقیق‌تری اتخاذ کنند. یک آسیب‌پذیری با ریسک پایین‌تر که به طور فعال علیه سازمان شما یا سازمان‌های مشابه مورد استفاده قرار می‌گیره، احتمالاً تأثیر بالقوه‌تری برای شما نسبت به آسیب‌پذیری با رتبه بالاتری که به طور فعال مورد اکسپلویت قرار نمی‌گیرد، داره. دستورالعمل های جدید CISA تمرکز قابل توجهی بر آسیب‌پذیری‌هایی داره که طبق گزارش‌ها بطور فعال مورد استفاده قرار می‌گیرن. ما معتقدیم که این به افزایش وضعیت امنیتی و تقویت رویه های مدیریت پچ کمک می کنه.

در حالی که اکسپلویتهای زیرودی در حال گسترشه، عوامل مخرب نیز به استفاده از آسیب پذیری های شناخته شده، اغلب بلافاصله پس از افشای اونا، ادامه میدن. بنابراین، امنیت ممکنه با تداوم ترکیب درس‌هایی از تارگتهای گذشته و درک شکاف استاندارد بین افشا و اکسپلویت بهبود پیدا کنه. علاوه بر این، حتی اگر سازمانی نتونه اقدامات کاهشی را قبل از اینکه هدفی رخ بده داشته باشه، همچنان میتونه بینش بیشتری در مورد فوریت‌هایی که این سیستم‌ها باید با آن اصلاح بشن، ارائه بده. تأخیر در پچ کردن تنها این خطر را تشدید می‌کنه که سازمانی که از نرم‌افزارهای اصلاح‌نشده یا عدم استفاده از اقدامات کاهشی پشتیبانی می‌کنه، تحت تأثیر قرار خواهد گرفت.

منبع

ما را دنبال کنید

دنیای توسعه دهندگان زیرودی ، مشاهده در : آپارات - یوتیوب - تلگرام

اولین شماره از نشریه تخصصی امنیت سایبری با موضوعات مختلف و بروز