مایکروسافت اخیراً یه هشدار جدی داده درباره یه دسته هکر به اسم Storm-0501 که دیگه مثل قدیم سراغ کامپیوترها و سرورای معمولی نمیرن، بیشتر دنبال خرابکاری توی فضای ابری (Cloud) هستن. خب فضای ابری همون جاییه که کلی شرکت اطلاعات مهم خودشونو اونجا ذخیره میکنن. حالا چرا اینجوری؟ چون هم سریعتره، هم خیلی راحتتر میتونن اطلاعات رو بدزدن و نابود کنن، و در عین حال، جای خیلی بیشتری ضربه میزنن.
این گروه داستان، یعنی Storm-0501، به جای اینکه مستقیم به فضای ابری بزنه، اول سعی میکنه حسابها و دامینهای قدیمی شرکتها—مثل Active Directory که یه چیزی مثل دفترچه تلفن سازمانیه واسه ورود کارمندها—رو هک کنه. بعدش از سرورهایی استفاده میکنن که وظیفه سینک کردن اطلاعات بین اون دامینها و فضای ابری رو دارن (که بهش میگن Entra Connect Sync). از اونجا هم رد میشن و میزنن وسط دل ماجرا!
اینجا یه نکته مهم هست: اونا دنبال اکانتهایی میگردن که با همون سرورها سینک شدن ولی متعلق به آدم نیست (یعنی مثلا یه ربات یا برنامه). وقتی این اکانت سطح دسترسی گنده مثل Global Admin داشته باشه و احراز هویت دومرحلهای (که همون MFA هست، یعنی ورود با رمز و یه مدرک دیگه مثل کد پیامکی) هم براش فعال نباشه، عملاً راه هکر بازه. اونوقت خیلی راحت میتونن کل فضای ابری شرکتو صاحب بشن، حتی یه راه بکدور (یعنی در مخفی واسه خودشون) با استفاده از دامنههای جعلی و کلک زدن به سیستم هویت (با سواستفاده از SAML Tokenها) بذارن.
اوضاع وقتی عجیبتر میشه که طرف میفهمه هکرها مستقیم توی Azure (فضای ابری مایکروسافت) دسترسی گرفتند. اونوقت میتونن:
- به کلی از اطلاعات حیاتی شرکت دسترسی پیدا کنن و جای چیا قرار داره رو با ابزار AzureHound (یه برنامه برای نقشه کشیدن شبکه) بفهمن.
- دادهها رو با ابزاری مثل AzCopy CLI (یه برنامه انتقال فایل تو فضای ابری) بِکِشن بیرون.
- بکاپ و آرشیوها رو پاک کنن.
- حتی فایلها رو با کلید رمزگذاری خودشون رمزگذاری کنن از طریق Azure Key Vault (یعنی جایی که کلیدها و رمزهای حساس اونجا نگه داشته میشه).
جالبیش اینجاست، دیگه مثل روشهای قدیمی نیاز به نصب بدافزار هم ندارن! همش از امکانات خود فضای ابری استفاده میکنن، خیلی هم سریع و بیسر و صدا.
و اما ضد حال ماجرا: بعد از این همه خرابکاری، خودشون چون دسترسی دارن، از طریق Microsoft Teams (همون اپ دیدار مجازی شرکتها) به قربانی پیام میدن و میگن: “یا پول بده یا اطلاعاتت رو نابود میکنیم!” یه جورایی باجگیری از راه دور با امکانات خودت!
حالا چطوری میشه از این مهلکه در امان موند؟ مایکروسافت گفته اولین و مهمترین کار اینه که برای همه کاربرها—مخصوصاً مدیرها و اکانتهای حساس—حتماً MFA یا همون احراز هویت دوعاملی رو فعال کنید. بعد:
- مجوزهای اکانتهای Directory Synchronization رو محدود کنید (یعنی اونهایی که کارشون سینک بین سرور و کلاوده).
- از TPM واسه امنیت بیشتر روی سرورهای Entra Connect Sync استفاده کنین (TPM یه قطعه سختافزاریه که امنیت رمزگذاری رو تضمین میکنه).
- برای منابع Azure، قفل و سیاستهای غیرقابلتغییر بذارید تا کسی نتونه راحت دست ببری تو دیتاها.
- Defender for Endpoint و Defender for Cloud رو تو همه حسابهاتون فعال کنین (اینا بستههای امنیتی مایکروسافت هستن واسه کشف و دفاع از حملات).
- همیشه لاگها و فعالیتها رو با ابزارهای پیشرفته بررسی کنین (یعنی سر بزنین ببینین کی چی کار کرده).
در کل، فضای ابری خیلی جذابه و کلی مزیت داره، ولی نباید فکر کنیم دیگه امنه امنه! هر روز روشهای جدید خرابکاری پیدا میکنن و اگه حواسمون نباشه، یهو میبینیم اطلاعات و آبرو و حتی پولمون، همش پَر کشید رفته. پس بیخیال نشینا، این چندتا ترفند رو حتما جدی بگیرین!
اگه دوست دارین بیشتر بدونین، حتما یه سر به مقالههایی درباره “بهترین برنامههای احراز هویت” و “بهترین مدیر رمز عبور” هم بزنین. اونم میتونه کلی کمک کنه 😉
منبع: +
