⚠️ نفوذگران هنگام تلاش برای هک شرکت شما چه خطری را تهدید می کنند؟ قسمت 1.
• داستان دو نفوذگر (گری و جاستین) در مورد اینکه چگونه یک روز یک ممیزی امنیتی برای آنها انجام شد. متخلفان ورودی ساختمان و زیرساخت های فناوری اطلاعات دادگاه را هک کردند و تنها چند ساعت بعد خود را در آنجا یافتند اما به عنوان متهم:
• یک هفته برای یک پروژه جدید اختصاص داده شد، نفوذگران تقریباً کارت سفید کامل داشتند - آنها می توانستند هر کاری انجام دهند: از کلیدهای اصلی استفاده کنند، از در پشتی عبور کنند، ظروف زباله را حفر کنند، درایوهای فلش را وصل کنند. تنها کاری که آنها از انجام آن منع شده بودند، خاموش کردن سیستم هشدار بود.
• تعهدات آزمایش کنندگان در 28 صفحه نوشته شد. بیمه در برابر دستگیری فهرستی از افرادی بود - کارمندان سیستم دادگاه آیووا - که از این روند آگاه بودند و می توانستند ثابت کنند که مجرمان مجرم نیستند.
• اولین روز پروژه یک هفته ای بدون حادثه گذشت. پنتسترها شبانه وارد ساختمان شدند و از نشانه هایی از مشکلات امنیتی که پیدا کردند عکس گرفتند. آنها کارت ویزیت خود را روی میز مشتری گذاشتند تا دلیلی بر این باشد که آنها داخل شدند و او را از تمام یافته های خود مطلع کردند.
• تماس بعدی سه شنبه بود و درهای طبقاتی که جلسات دادگاه برگزار می شد برای همان شب تعیین شده بود. در اول به راحتی تسلیم شد، اما در دومی مشکلاتی به وجود آمد - مکانیزم امنیتی پنهانی داشت که نفوذگران آن را نمی دیدند. در راه، آنها همچنین اتاقی با مانیتورهای تمام دوربین های امنیتی که می توانستند وارد شوند، پیدا کردند. از دوربین ها دیدند که یک افسر امنیتی در راهروها قدم می زند. برای جلوگیری از گرفتار شدن، نفوذگران از پوشش در "نقاط کور" استفاده کردند و سپس به آزمایش ادامه دادند. اما نه برای مدت طولانی - زنگ هشدار به صدا درآمد. معلوم شد که درهای طبقه ای که از آن عبور کرده بودند قفل مانده بود. علیرغم این واقعیت که زنگ هشدار به صدا درآمد، متخلفان وظایف خود را برای آن شب انجام دادند و با یادآوری اینکه چگونه از سرویس امنیتی در انبوهی از چیزها پنهان شده بودند، خندیدند.
• با گذشت زمان، آنها به بازرسی دادگاه دیگری ادامه دادند. وقتی می خواستند وارد شوند، معلوم شد که درب آن باز است. آنها او را هل دادند، اما آلارم به صدا درآمد. پس از چندین بار تلاش برای بیدار کردن زنگ، آنها تصمیم گرفتند در را ببندند تا طبق وظیفه خود نفوذ کنند. و به محض اینکه شروع به باز کردن آن کردند، یک سیگنال هشدار و سپس یک زنگ واقعی شنیدند. این اتفاق به قدری سریع رخ داد که زمانی برای وارد کردن کد امنیتی برای متوقف کردن زنگ هشدار وجود نداشت. آنقدر فریاد زد که تمام شهر می شنیدند. پناهجویان فقط می توانستند منتظر پلیس باشند....
#داستان
@TryHackBoxStory
• داستان دو نفوذگر (گری و جاستین) در مورد اینکه چگونه یک روز یک ممیزی امنیتی برای آنها انجام شد. متخلفان ورودی ساختمان و زیرساخت های فناوری اطلاعات دادگاه را هک کردند و تنها چند ساعت بعد خود را در آنجا یافتند اما به عنوان متهم:
• یک هفته برای یک پروژه جدید اختصاص داده شد، نفوذگران تقریباً کارت سفید کامل داشتند - آنها می توانستند هر کاری انجام دهند: از کلیدهای اصلی استفاده کنند، از در پشتی عبور کنند، ظروف زباله را حفر کنند، درایوهای فلش را وصل کنند. تنها کاری که آنها از انجام آن منع شده بودند، خاموش کردن سیستم هشدار بود.
• تعهدات آزمایش کنندگان در 28 صفحه نوشته شد. بیمه در برابر دستگیری فهرستی از افرادی بود - کارمندان سیستم دادگاه آیووا - که از این روند آگاه بودند و می توانستند ثابت کنند که مجرمان مجرم نیستند.
• اولین روز پروژه یک هفته ای بدون حادثه گذشت. پنتسترها شبانه وارد ساختمان شدند و از نشانه هایی از مشکلات امنیتی که پیدا کردند عکس گرفتند. آنها کارت ویزیت خود را روی میز مشتری گذاشتند تا دلیلی بر این باشد که آنها داخل شدند و او را از تمام یافته های خود مطلع کردند.
• تماس بعدی سه شنبه بود و درهای طبقاتی که جلسات دادگاه برگزار می شد برای همان شب تعیین شده بود. در اول به راحتی تسلیم شد، اما در دومی مشکلاتی به وجود آمد - مکانیزم امنیتی پنهانی داشت که نفوذگران آن را نمی دیدند. در راه، آنها همچنین اتاقی با مانیتورهای تمام دوربین های امنیتی که می توانستند وارد شوند، پیدا کردند. از دوربین ها دیدند که یک افسر امنیتی در راهروها قدم می زند. برای جلوگیری از گرفتار شدن، نفوذگران از پوشش در "نقاط کور" استفاده کردند و سپس به آزمایش ادامه دادند. اما نه برای مدت طولانی - زنگ هشدار به صدا درآمد. معلوم شد که درهای طبقه ای که از آن عبور کرده بودند قفل مانده بود. علیرغم این واقعیت که زنگ هشدار به صدا درآمد، متخلفان وظایف خود را برای آن شب انجام دادند و با یادآوری اینکه چگونه از سرویس امنیتی در انبوهی از چیزها پنهان شده بودند، خندیدند.
• با گذشت زمان، آنها به بازرسی دادگاه دیگری ادامه دادند. وقتی می خواستند وارد شوند، معلوم شد که درب آن باز است. آنها او را هل دادند، اما آلارم به صدا درآمد. پس از چندین بار تلاش برای بیدار کردن زنگ، آنها تصمیم گرفتند در را ببندند تا طبق وظیفه خود نفوذ کنند. و به محض اینکه شروع به باز کردن آن کردند، یک سیگنال هشدار و سپس یک زنگ واقعی شنیدند. این اتفاق به قدری سریع رخ داد که زمانی برای وارد کردن کد امنیتی برای متوقف کردن زنگ هشدار وجود نداشت. آنقدر فریاد زد که تمام شهر می شنیدند. پناهجویان فقط می توانستند منتظر پلیس باشند....
#داستان
@TryHackBoxStory
❤2
⚠️ نفوذگران هنگام تلاش برای هک شرکت شما چه خطری را تهدید می کنند؟ قسمت 2.
• وقتی پلیس حاضر شد، به او گفتند که آنها چه کسانی هستند و توسط چه کسانی استخدام شده اند. آنها توسط مشتریانی از ایالت آیووا استخدام شدند، افسران پلیسی که وارد شدند زیردستان منطقه بودند، و به همین دلیل متخلفان تصمیم گرفتند که تأخیر نکنند و بلافاصله بیمه خود را در برابر دستگیری - یک لیست مخفی از تماس ها - گرفتند. از هر سه نفر دو نفر به تلفن جواب ندادند. سومی گفت که صبح می تواند همه چیز را مرتب کند. به دلیل دیر وقت هیچکس در کوالفایر کارفرما جواب نداد.
• سپس داستان یک چرخش تعیین کننده پیدا کرد - کلانتر ظاهر شد. او گفت که متخلفان اجازه آزمایش ندارند زیرا مراجعین مالک دادگاه نیستند.
• گذراندن یک یا دو ساعت در سلول تا روشن شدن شرایط بدترین سناریو برای نفوذگران است. اما معلوم شد که همه چیز حتی بدتر است. کلانتر گفت که گری و جاستین باید به جرم دزدی دستگیر شوند. آنها در اتاق های جداگانه بازجویی شدند، هیچ سندی که قرار بود از آنها محافظت کند کار نکرد. تمام ابزارهایی که برای کارشان در اختیار داشتند برای پلیس مانند ابزار جنایت به نظر می رسید. بنابراین ، متخلفان نه تنها به دلیل نفوذ، بلکه به دلیل داشتن وسایل غیرمجاز نیز با زندان مواجه شدند.
• چند دقیقه دیگر - و مداخلهگران از قبل مانند زندانیان واقعی لباسهای نارنجی به تن کرده و در یک سلول قرار داده بودند.
• گری و جاستین آن روز صبح با قاضی قرار ملاقات داشتند. از قضا در همان دادگاهی که شبانه هجوم آوردند. فقط حالا پلیس آنها را همراهی می کرد.
• معلوم شد که متخلفان کاملاً بیحفاظ هستند - فردی که از لیست مخفیانه قرار بود در دادگاه توضیح دهد، نیامد. دو مخاطب دیگر هرگز پاسخی ندادند و نمایندگان کارفرما به موقع به جلسه دادگاه نرسیدند.
• قاضی حرفی را که گری گفته بود باور نکرد. علاوه بر این، او از این که چیزهایی مانند انزجار وجود دارد، به ویژه در سازمان های دولتی، خشمگین بود. او 5000 دلار وثیقه تعیین کرد .
• اما دادستان منطقه این مقدار را ناکافی دانست. به محض اینکه قاضی متوجه شد که "دزدان" نه تنها در هر جایی، بلکه در دادگاه او فعالیت می کنند، با غیرت از دادستان حمایت کرد. بنابراین مبلغ وثیقه به 50000 دلار افزایش یافت. بعلاوه ، حکم هفت سال زندان در پیش است!
• کارفرما وثیقه را پرداخت کرد، گری و جاستین از زندان آزاد شدند. آنها وکیل گرفتند و بعد معلوم شد که شرکت کنندگان در محاکمه فقط خود مجرمان بوده اند. همه چیز عواقب وحشتناکتری از آنچه در ابتدا به نظر میرسید داشت.
• تحقیقات با به رسمیت شناختن حق دولت برای استخدام متخلفان توسط دادگاه به پایان رسید. بنابراین اتهامات سنگین منتفی شد، اما اتهامات جنحه باقی ماند. این را نمی توان نتیجه خوبی برای مدعیان نامید و آنها به مبارزه برای پاکسازی نام خوب خود ادامه دادند.
• تحقیقات چندین ماه به طول انجامید. گزارشهای خبری محلی ادعا کردند که دادگاه افراد نفوذی را فقط برای آزمایش امنیت اطلاعات و نه هک فیزیکی استخدام کرده است. این نکته مشتری بود که قرارداد را نشان داد و در آنجا قید شده بود که هک توافق شده است. بنابراین، طرفین به تبادل نظر پرداختند و در مورد نکاتی که به نظر میرسید یک توافق ایدهآل تنظیم شده بود، بحث کردند.
• این دعواها بالاخره یک اختلاف نظر مهم را آشکار کرد. مقامات دولتی دستور آزمایش نفوذ را صادر کردند. و کلانتر، قاضی و دادستان که کارمندان شهرستان بودند، از تصمیم ایالت اطلاعی نداشتند و بنابراین حق داشتند که متخلفان را با مجرمان اشتباه بگیرند.
• در نتیجه، در 30 ژانویه 2020، اتهامات علیه متخلفان لغو شد و گری و جاستین به مردان آزاد تبدیل شدند. آنها علاوه بر اعصاب از بین رفته و زمان از دست رفته، آسیب های ملموس دیگری را متحمل شدند - صدمه به شهرت. از این گذشته ، از نظر مشتریان ، آنها اکنون برای همیشه کسانی هستند که سوء ظن مأموران اجرای قانون را برانگیختند. اما مهمتر از همه، آنها در سراسر ایالات مشهور شدند. و شهرت در کار مداحان همراه ضروری نیست.
#داستان
@TryHackBoxStory
• وقتی پلیس حاضر شد، به او گفتند که آنها چه کسانی هستند و توسط چه کسانی استخدام شده اند. آنها توسط مشتریانی از ایالت آیووا استخدام شدند، افسران پلیسی که وارد شدند زیردستان منطقه بودند، و به همین دلیل متخلفان تصمیم گرفتند که تأخیر نکنند و بلافاصله بیمه خود را در برابر دستگیری - یک لیست مخفی از تماس ها - گرفتند. از هر سه نفر دو نفر به تلفن جواب ندادند. سومی گفت که صبح می تواند همه چیز را مرتب کند. به دلیل دیر وقت هیچکس در کوالفایر کارفرما جواب نداد.
• سپس داستان یک چرخش تعیین کننده پیدا کرد - کلانتر ظاهر شد. او گفت که متخلفان اجازه آزمایش ندارند زیرا مراجعین مالک دادگاه نیستند.
• گذراندن یک یا دو ساعت در سلول تا روشن شدن شرایط بدترین سناریو برای نفوذگران است. اما معلوم شد که همه چیز حتی بدتر است. کلانتر گفت که گری و جاستین باید به جرم دزدی دستگیر شوند. آنها در اتاق های جداگانه بازجویی شدند، هیچ سندی که قرار بود از آنها محافظت کند کار نکرد. تمام ابزارهایی که برای کارشان در اختیار داشتند برای پلیس مانند ابزار جنایت به نظر می رسید. بنابراین ، متخلفان نه تنها به دلیل نفوذ، بلکه به دلیل داشتن وسایل غیرمجاز نیز با زندان مواجه شدند.
• چند دقیقه دیگر - و مداخلهگران از قبل مانند زندانیان واقعی لباسهای نارنجی به تن کرده و در یک سلول قرار داده بودند.
• گری و جاستین آن روز صبح با قاضی قرار ملاقات داشتند. از قضا در همان دادگاهی که شبانه هجوم آوردند. فقط حالا پلیس آنها را همراهی می کرد.
• معلوم شد که متخلفان کاملاً بیحفاظ هستند - فردی که از لیست مخفیانه قرار بود در دادگاه توضیح دهد، نیامد. دو مخاطب دیگر هرگز پاسخی ندادند و نمایندگان کارفرما به موقع به جلسه دادگاه نرسیدند.
• قاضی حرفی را که گری گفته بود باور نکرد. علاوه بر این، او از این که چیزهایی مانند انزجار وجود دارد، به ویژه در سازمان های دولتی، خشمگین بود. او 5000 دلار وثیقه تعیین کرد .
• اما دادستان منطقه این مقدار را ناکافی دانست. به محض اینکه قاضی متوجه شد که "دزدان" نه تنها در هر جایی، بلکه در دادگاه او فعالیت می کنند، با غیرت از دادستان حمایت کرد. بنابراین مبلغ وثیقه به 50000 دلار افزایش یافت. بعلاوه ، حکم هفت سال زندان در پیش است!
• کارفرما وثیقه را پرداخت کرد، گری و جاستین از زندان آزاد شدند. آنها وکیل گرفتند و بعد معلوم شد که شرکت کنندگان در محاکمه فقط خود مجرمان بوده اند. همه چیز عواقب وحشتناکتری از آنچه در ابتدا به نظر میرسید داشت.
• تحقیقات با به رسمیت شناختن حق دولت برای استخدام متخلفان توسط دادگاه به پایان رسید. بنابراین اتهامات سنگین منتفی شد، اما اتهامات جنحه باقی ماند. این را نمی توان نتیجه خوبی برای مدعیان نامید و آنها به مبارزه برای پاکسازی نام خوب خود ادامه دادند.
• تحقیقات چندین ماه به طول انجامید. گزارشهای خبری محلی ادعا کردند که دادگاه افراد نفوذی را فقط برای آزمایش امنیت اطلاعات و نه هک فیزیکی استخدام کرده است. این نکته مشتری بود که قرارداد را نشان داد و در آنجا قید شده بود که هک توافق شده است. بنابراین، طرفین به تبادل نظر پرداختند و در مورد نکاتی که به نظر میرسید یک توافق ایدهآل تنظیم شده بود، بحث کردند.
• این دعواها بالاخره یک اختلاف نظر مهم را آشکار کرد. مقامات دولتی دستور آزمایش نفوذ را صادر کردند. و کلانتر، قاضی و دادستان که کارمندان شهرستان بودند، از تصمیم ایالت اطلاعی نداشتند و بنابراین حق داشتند که متخلفان را با مجرمان اشتباه بگیرند.
• در نتیجه، در 30 ژانویه 2020، اتهامات علیه متخلفان لغو شد و گری و جاستین به مردان آزاد تبدیل شدند. آنها علاوه بر اعصاب از بین رفته و زمان از دست رفته، آسیب های ملموس دیگری را متحمل شدند - صدمه به شهرت. از این گذشته ، از نظر مشتریان ، آنها اکنون برای همیشه کسانی هستند که سوء ظن مأموران اجرای قانون را برانگیختند. اما مهمتر از همه، آنها در سراسر ایالات مشهور شدند. و شهرت در کار مداحان همراه ضروری نیست.
#داستان
@TryHackBoxStory
❤2
🔒 زندانیان، 2 کامپیوتر و هک شبکه زندان.
• من یک داستان واقعی در مورد زندانیانی برای شما تعریف می کنم که توانسته اند 2 رایانه شخصی را جمع آوری کنند، شبکه زندان را هک کنند و در اینترنت فعالیت های غیرقانونی انجام دهند. داستان کاملا قدیمی است (2015)، اما بسیار جذاب و جالب:
• پنج زندانی از مؤسسه اصلاحی ماریون (اوهایو، MCI) مخفیانه دو رایانه را جمع آوری کردند، آنها را پشت سقف کاذب در یک منطقه خدماتی پنهان کردند، شبکه زندان را هک کردند، به مناطق ممنوعه دسترسی پیدا کردند و در فعالیت های غیرقانونی در اینترنت شرکت کردند. همه موارد فوق به لطف این واقعیت امکان پذیر شد که زندانیان تحت برنامه ابتکار سبز کار می کردند، جایی که آنها وسایل الکترونیکی مختلف را بازیافت می کردند.
• مدیران MCI در تابستان 2015 متوجه چیز عجیبی شدند: حسابی متعلق به یکی از پیمانکاران زندان شروع به فراتر رفتن از سهمیه ترافیک روزانه خود کرد. سپس حساب های سایر کارمندان شروع به نشان دادن رفتار مشابه کردند، از جمله در آخر هفته ها که این کارمندان اصلاً سر کار نبودند. بدتر از آن، چند روز بعد، این کارمندان شروع به تلاش برای فرار از نمایندگانی کردند که ترافیک را زیر نظر داشتند. سوء ظن مدیران منجر به تحقیقات همه جانبه ای شد که طی آن ردیابی این فعالیت عجیب در رایانه صورت گرفت که در گزارش با نام -lab9- ظاهر می شود. این نام اصلاً در سیستم نامگذاری داخلی نمی گنجید.
• در نهایت ترافیک مشکوک به پورت 16 سوئیچ واقع در محوطه زندان ردیابی شد و سپس متوجه شدند که کابل متصل به دستگاه به یکی از کابینت های مجاور و سپس به سقف کاذب رفته است. در پشت کاشی های سقف تخته سه لا، کارکنان MCI از پیدا کردن دو کامپیوتر در حال کار شگفت زده شدند.
• در دو هارد دیسک کشف شده، محققان چیزهای جالب زیادی پیدا کردند: ابزارهای هک، نرم افزارهای قانونی، آثار فعالیت غیرقانونی. کارشناسان فارنزیک می نویسند که گواهی های خود امضا شده، حساب های Pidgin، پیوندهایی به سایت های مختلف Tor و نرم افزارهای زیر کشف شده است:
CC Proxy، Cain، Zed Attack Proxy (ZAP)، #Wireshark ، #NMap ، ZenMap، Webslayer، JanaServer، Yoshi، AdvOr #Tor Browser، THC Hydra، Cavin، Paros، 3CXVoip Phone، #VirtualBox ، Video CCCLean , Clamwin, phpBB, SoftEther VPN. OpenVPN و سایر نرم افزارهای سفارشی.
• همانطور که مشخص شد، زندانیان فقط «آنلاین میشوند» نبودند، بلکه ترافیک زندان را رهگیری میکردند، حسابهای کارکنان را هک میکردند، و شبکه زندان را به خطر انداختند و به سیستم ردیابی مجرمان دپارتمان دسترسی پیدا کردند. آنها سپس به سوابق داخلی سایر زندانیان دسترسی پیدا کردند و توانستند برای ورود به مناطق ممنوعه MCI مجوز صادر کنند.
• در اینترنت، مجرمان عمدتاً به فعالیت های مجرمانه علاقه مند بودند: آنها مقالاتی در مورد ساخت مواد مخدر و مواد منفجره در خانه می خواندند، طرح های کلاهبرداری کارت بانکی و بازپرداخت مالیات را مطالعه می کردند، همچنین پورن تماشا می کردند و با خانواده ارتباط برقرار می کردند. به هر حال، شایان ذکر است که خواندن بیهوده نبود، به عنوان بخشی از یک طرح کلاهبرداری، مجرمان سعی کردند کارت های اعتباری را به نام سایر زندانیان صادر کنند، زیرا اطلاعات شخصی افراد دیگر کم نبود.
• پس از شناسایی هر پنج هکر، آنها از هم جدا شدند و اکنون در مراکز اصلاح و تربیت مختلف دوران محکومیت خود را می گذرانند.
#داستان
@TryHackBoxStory
• من یک داستان واقعی در مورد زندانیانی برای شما تعریف می کنم که توانسته اند 2 رایانه شخصی را جمع آوری کنند، شبکه زندان را هک کنند و در اینترنت فعالیت های غیرقانونی انجام دهند. داستان کاملا قدیمی است (2015)، اما بسیار جذاب و جالب:
• پنج زندانی از مؤسسه اصلاحی ماریون (اوهایو، MCI) مخفیانه دو رایانه را جمع آوری کردند، آنها را پشت سقف کاذب در یک منطقه خدماتی پنهان کردند، شبکه زندان را هک کردند، به مناطق ممنوعه دسترسی پیدا کردند و در فعالیت های غیرقانونی در اینترنت شرکت کردند. همه موارد فوق به لطف این واقعیت امکان پذیر شد که زندانیان تحت برنامه ابتکار سبز کار می کردند، جایی که آنها وسایل الکترونیکی مختلف را بازیافت می کردند.
• مدیران MCI در تابستان 2015 متوجه چیز عجیبی شدند: حسابی متعلق به یکی از پیمانکاران زندان شروع به فراتر رفتن از سهمیه ترافیک روزانه خود کرد. سپس حساب های سایر کارمندان شروع به نشان دادن رفتار مشابه کردند، از جمله در آخر هفته ها که این کارمندان اصلاً سر کار نبودند. بدتر از آن، چند روز بعد، این کارمندان شروع به تلاش برای فرار از نمایندگانی کردند که ترافیک را زیر نظر داشتند. سوء ظن مدیران منجر به تحقیقات همه جانبه ای شد که طی آن ردیابی این فعالیت عجیب در رایانه صورت گرفت که در گزارش با نام -lab9- ظاهر می شود. این نام اصلاً در سیستم نامگذاری داخلی نمی گنجید.
• در نهایت ترافیک مشکوک به پورت 16 سوئیچ واقع در محوطه زندان ردیابی شد و سپس متوجه شدند که کابل متصل به دستگاه به یکی از کابینت های مجاور و سپس به سقف کاذب رفته است. در پشت کاشی های سقف تخته سه لا، کارکنان MCI از پیدا کردن دو کامپیوتر در حال کار شگفت زده شدند.
• در دو هارد دیسک کشف شده، محققان چیزهای جالب زیادی پیدا کردند: ابزارهای هک، نرم افزارهای قانونی، آثار فعالیت غیرقانونی. کارشناسان فارنزیک می نویسند که گواهی های خود امضا شده، حساب های Pidgin، پیوندهایی به سایت های مختلف Tor و نرم افزارهای زیر کشف شده است:
CC Proxy، Cain، Zed Attack Proxy (ZAP)، #Wireshark ، #NMap ، ZenMap، Webslayer، JanaServer، Yoshi، AdvOr #Tor Browser، THC Hydra، Cavin، Paros، 3CXVoip Phone، #VirtualBox ، Video CCCLean , Clamwin, phpBB, SoftEther VPN. OpenVPN و سایر نرم افزارهای سفارشی.
• همانطور که مشخص شد، زندانیان فقط «آنلاین میشوند» نبودند، بلکه ترافیک زندان را رهگیری میکردند، حسابهای کارکنان را هک میکردند، و شبکه زندان را به خطر انداختند و به سیستم ردیابی مجرمان دپارتمان دسترسی پیدا کردند. آنها سپس به سوابق داخلی سایر زندانیان دسترسی پیدا کردند و توانستند برای ورود به مناطق ممنوعه MCI مجوز صادر کنند.
• در اینترنت، مجرمان عمدتاً به فعالیت های مجرمانه علاقه مند بودند: آنها مقالاتی در مورد ساخت مواد مخدر و مواد منفجره در خانه می خواندند، طرح های کلاهبرداری کارت بانکی و بازپرداخت مالیات را مطالعه می کردند، همچنین پورن تماشا می کردند و با خانواده ارتباط برقرار می کردند. به هر حال، شایان ذکر است که خواندن بیهوده نبود، به عنوان بخشی از یک طرح کلاهبرداری، مجرمان سعی کردند کارت های اعتباری را به نام سایر زندانیان صادر کنند، زیرا اطلاعات شخصی افراد دیگر کم نبود.
• پس از شناسایی هر پنج هکر، آنها از هم جدا شدند و اکنون در مراکز اصلاح و تربیت مختلف دوران محکومیت خود را می گذرانند.
#داستان
@TryHackBoxStory
TryHackBox Story
#جاسوسیهای_سایبرنتیک
📌 جاسوسیهای سایبرنتیک KGB - من به اطلاعات دشمن دسترسی دارم، پس هستم.
در سال 1986 یک مدیر سیستم در آزمایشگاه ملی لارنس برکلی واقع در کالیفرنیا متوجه یک نفوذ شد، این فرد کلیف استال نام داشت که یک اخترشناس بود و به عنوان یک مهندس سیستم در آزمایشگاه ملی لارنس برکلی کار میکرد. این فرد به شکلی عجیب متوجه اختلاف 75سنتی شده بود و از نظر او بعید به نظر میرسد که این اتفاق یک خطای حسابداری باشد، زیرا این اختلاف نشاندهنده این بود به مدت 9 ثانیه از منابع سیستم آزمایشگاه استفاده شده است.
پس از بررسیهایی که او انجام داد متوجه شد علاوه بر اینکه یک هکر سیستمهای آزمایشگاه را مورد نفوذ قرار داده است، دسترسی superuser نیز دست یافته است. پس از آن استال فعالیتهای مهاجم را از طریق شبکه آزمایشگاه ردیابی کرد و متوجه شد که مهاجم از یک اتصال با سرعت 1200Baud استفاده میکرده است. او با بررسیهایی که انجام داد، دریافت که این اتصال از طریق یک مرکز تماس واقع در مک لین ویرجینیا برقرار شده است.
از نظر استال بعید بود که از یک مرکز تماس حمله شروع شده باشد، اون احتمال داد مهاجم از مرکز تماس به عنوان یک پروکسی استفاده کرده است تا هنگامی که حمله شناسایی شد، بنظر برسد از مرکز تماس این حمله انجام شده است. استال با کمک همکارانش چند ترمینال و یک teleprinter را به بخشی از شبکه آزمایشگاه جایی که مهاجم بیشتر علاقه را به آن نشان داده بود، وصل کرد. استال قصد داشت با استفاده از این تجهیزات به هدف خود یعنی ردیابی و چاپ لاگ فعالیتهای مهاجم دست یابد که در نهایت استال اکنون میتوانست تمامی فعالیتهای مهاجم را مستند کند.
حالا استال فقط باید منتظر میماند تا شوهد کافی مبنی بر وجود هر چیز مخربی که در سیستمها و شبکههای حساس ازمایشگاه پیدا کند تا از آن برای متقاعد کردن مجریان قانون، دولت و... استفاده کند. استال در تلاش بود بفهمد که انگیزه مهاجم از نفوذ چه بود. با این سیستم ساده نظارت شبکه ایی که استال راهاندازی کرده بود، متوجه شد مهاجم بدنبال اصلاحات مرتبط با نظامی و دفاعی است که در آن برهه زمانی فقط برای یک کشور اهمیت داشت. شایان ذکر است، فناوریهای شبکه آن زمان در مراحل ابتدایی خود بودند و ارتش ایالات متحده از این فناوری برای مدیریت سیستمهای مهم و همچنین نگهداری اطلاعات حساس مربوط به ماهوارهها و محل ایستگاههای موشکی استفاده میکرد.
شایان ذکر است شبکه آزمایشگاه نیز داخل این شبکه بود که بدین معناست با هک ازمایشگاه میتوان به اسناد و اطلاعات حساس نظامی دست یافت. مهاجم در حال جستجوی اصطلاحات مرتبط با دفاع، استال مشاهده کرد که مهاجم یک بدافزار بر روی سیستمهای ازمایشگاه اجرا کرده که وظیفه آن کپچر کردن کردنشیالهای کاربران بود.
همچنین بسیاری از حسابهای مدیریتی در آزمایشگاه از رمزعبورهای پیشفرض که هنگام تولید تعیین شده استفاده میکردند و بدتر از آن بدون وارد کردن رمز عبور مهاجم میتوانست به سیستم اکانتهای guest وارد شود، زیرا حسابهای guest فاقد هرگونه رمز عبوری بودند. پس از گذشت مدتی استال موفق شد اطلاعات دقیقی درباره مهاجم را جمعآوری کند که شامل رفتارها، اقدامات، زمان فعالیت مهاجم، زبان برنامهنویسی و سیستمعاملهایی که مهاجم از آن استفاده میکرد، شناسایی کند. همچنین استال میدانست که مهاجم به اطلاعات مرتبط با SDI علاقه دارد. این مسئله سبب شد، استال یک نقشه برای بدست آوردن شواهد و مدارکی مبنی وجود مهاجم و در گام بعد دست داشتن شوروی در این حمله بدست آورد.
استال یک حساب با نام SDInet ایجاد کرد و اسناد ساختگی را در دایرکتوری home قرارداد و در نهایت مهاجم طعمه را گاز زد. استال با کمک مقامات توانستند مهاجم را شناسایی کنند نام مهاجم مارکوس هس بود، این مرد ساکن هانوفر آلمان بود و شایان ذکر است این مرد بعنوان یک عامل استخدام شده توسط KGB عملیات های هکینگ را به نمایندگی از اتحاد جماهیر شوروری انجام میداد.
پ.ن: مارکوس هس همراه با دیرک برزینسکی و پیتر کارل به شبکه های کامپیوتری نظامی و صنعتی در آمریکا، اروپا و شرق آسیا نفوذ می کردند و اطلاعات را به قیمت 54 هزار دلار به KGB میفروختند. در برخی از بازههای زمانی که هس برای KGB کار میکرد به 400 کامپیوتر نظامی آمریکا نفوذ کرده که شامل اطلاعات مرتبط با فناوریهای حساس Semiconductor، ماهوارهایی، فضایی و هواپیمایی بوده است.
✍️ نویسنده محمد مهدی انبارکی
@TryHackBoxStory
در سال 1986 یک مدیر سیستم در آزمایشگاه ملی لارنس برکلی واقع در کالیفرنیا متوجه یک نفوذ شد، این فرد کلیف استال نام داشت که یک اخترشناس بود و به عنوان یک مهندس سیستم در آزمایشگاه ملی لارنس برکلی کار میکرد. این فرد به شکلی عجیب متوجه اختلاف 75سنتی شده بود و از نظر او بعید به نظر میرسد که این اتفاق یک خطای حسابداری باشد، زیرا این اختلاف نشاندهنده این بود به مدت 9 ثانیه از منابع سیستم آزمایشگاه استفاده شده است.
پس از بررسیهایی که او انجام داد متوجه شد علاوه بر اینکه یک هکر سیستمهای آزمایشگاه را مورد نفوذ قرار داده است، دسترسی superuser نیز دست یافته است. پس از آن استال فعالیتهای مهاجم را از طریق شبکه آزمایشگاه ردیابی کرد و متوجه شد که مهاجم از یک اتصال با سرعت 1200Baud استفاده میکرده است. او با بررسیهایی که انجام داد، دریافت که این اتصال از طریق یک مرکز تماس واقع در مک لین ویرجینیا برقرار شده است.
از نظر استال بعید بود که از یک مرکز تماس حمله شروع شده باشد، اون احتمال داد مهاجم از مرکز تماس به عنوان یک پروکسی استفاده کرده است تا هنگامی که حمله شناسایی شد، بنظر برسد از مرکز تماس این حمله انجام شده است. استال با کمک همکارانش چند ترمینال و یک teleprinter را به بخشی از شبکه آزمایشگاه جایی که مهاجم بیشتر علاقه را به آن نشان داده بود، وصل کرد. استال قصد داشت با استفاده از این تجهیزات به هدف خود یعنی ردیابی و چاپ لاگ فعالیتهای مهاجم دست یابد که در نهایت استال اکنون میتوانست تمامی فعالیتهای مهاجم را مستند کند.
حالا استال فقط باید منتظر میماند تا شوهد کافی مبنی بر وجود هر چیز مخربی که در سیستمها و شبکههای حساس ازمایشگاه پیدا کند تا از آن برای متقاعد کردن مجریان قانون، دولت و... استفاده کند. استال در تلاش بود بفهمد که انگیزه مهاجم از نفوذ چه بود. با این سیستم ساده نظارت شبکه ایی که استال راهاندازی کرده بود، متوجه شد مهاجم بدنبال اصلاحات مرتبط با نظامی و دفاعی است که در آن برهه زمانی فقط برای یک کشور اهمیت داشت. شایان ذکر است، فناوریهای شبکه آن زمان در مراحل ابتدایی خود بودند و ارتش ایالات متحده از این فناوری برای مدیریت سیستمهای مهم و همچنین نگهداری اطلاعات حساس مربوط به ماهوارهها و محل ایستگاههای موشکی استفاده میکرد.
شایان ذکر است شبکه آزمایشگاه نیز داخل این شبکه بود که بدین معناست با هک ازمایشگاه میتوان به اسناد و اطلاعات حساس نظامی دست یافت. مهاجم در حال جستجوی اصطلاحات مرتبط با دفاع، استال مشاهده کرد که مهاجم یک بدافزار بر روی سیستمهای ازمایشگاه اجرا کرده که وظیفه آن کپچر کردن کردنشیالهای کاربران بود.
همچنین بسیاری از حسابهای مدیریتی در آزمایشگاه از رمزعبورهای پیشفرض که هنگام تولید تعیین شده استفاده میکردند و بدتر از آن بدون وارد کردن رمز عبور مهاجم میتوانست به سیستم اکانتهای guest وارد شود، زیرا حسابهای guest فاقد هرگونه رمز عبوری بودند. پس از گذشت مدتی استال موفق شد اطلاعات دقیقی درباره مهاجم را جمعآوری کند که شامل رفتارها، اقدامات، زمان فعالیت مهاجم، زبان برنامهنویسی و سیستمعاملهایی که مهاجم از آن استفاده میکرد، شناسایی کند. همچنین استال میدانست که مهاجم به اطلاعات مرتبط با SDI علاقه دارد. این مسئله سبب شد، استال یک نقشه برای بدست آوردن شواهد و مدارکی مبنی وجود مهاجم و در گام بعد دست داشتن شوروی در این حمله بدست آورد.
استال یک حساب با نام SDInet ایجاد کرد و اسناد ساختگی را در دایرکتوری home قرارداد و در نهایت مهاجم طعمه را گاز زد. استال با کمک مقامات توانستند مهاجم را شناسایی کنند نام مهاجم مارکوس هس بود، این مرد ساکن هانوفر آلمان بود و شایان ذکر است این مرد بعنوان یک عامل استخدام شده توسط KGB عملیات های هکینگ را به نمایندگی از اتحاد جماهیر شوروری انجام میداد.
پ.ن: مارکوس هس همراه با دیرک برزینسکی و پیتر کارل به شبکه های کامپیوتری نظامی و صنعتی در آمریکا، اروپا و شرق آسیا نفوذ می کردند و اطلاعات را به قیمت 54 هزار دلار به KGB میفروختند. در برخی از بازههای زمانی که هس برای KGB کار میکرد به 400 کامپیوتر نظامی آمریکا نفوذ کرده که شامل اطلاعات مرتبط با فناوریهای حساس Semiconductor، ماهوارهایی، فضایی و هواپیمایی بوده است.
✍️ نویسنده محمد مهدی انبارکی
@TryHackBoxStory
📌 حمله خرس سیاه به چشم عقاب، عملیات بر علیه یانکیها در مرزهای سایبرنتیک
در سال 2008 یک مهاجم ناشناس به شبکههای وزارت دفاع آمریکا نفوذ کرد. مدافعان امنیت سایبری در ماه اکتبر موفق به شناسایی یک بدافزار شدند که این بدافزار بعدها توسط شرکت امنیتی F-Secure با عنوان Agent.btz یا BTZ نامیده شد. این بدافزار بعد از اجرا شدن در سیستم هدف به سرور C&C خود متصل میشد. شایان ذکر است، این بدافزار بسیار پیچیده بود و پس از اجرا شدن در سیستم قربانی عملا تشخیص آن دشوار بود.
برخلاف اکثر حملات دولتی مهاجمین از یک روش غیرمرسوم برای بدست آوردن دسترسی اولیه از سیستمهای وزارت دفاع آمریکا (DOD) استفاده کردند. آنها به شکل هدفمندی فلشهای USB آلوده به BTZ را در مکانهایی که فاصله نزدیکی با تاسیسات وزارت دفاع آمریکا داشت قرار دادند. به گفته مقامات نظامی احتمالا یکی از سربازان یا کارمندان فلش آلوده را پیدا کرده و به سیستمهای وزارت دفاع متصل کرده که موجب آلوده شدن سیستمها به BTZ شد. شایان ذکر است، وزارت دفاع بدافزار BTZ را به یک آژانس اطلاعات خارجی نسبت داد.
بدافزار موجود در فلش یک نوع کرم بوده است که پس از ورود به سیستم هدف شروع به آلوده کردن دیگر سیستمها میکرد. این بدافزار پس از آلوده کردن سیستمهای جدید به دنبال اسناد آفیس که حاوی اطلاعات محرمانه بودند میگشت و پس از پیدا کردن اسناد مربوطه آن را به C&C خود ارسال میکرد.
حدود 14 ماه زمان برد تا وزارت دفاع توانست خود را در مقابل این تهدید میتیگیت کند، زیرا کرم BTZ به سرعت انتشار پیدا میکرد. رویکرد اولیه که شامل شناسایی و حذف بدافزار از سیستمهای آلوده بود که این رویکرد موٍثر واقع نشد. وزارت دفاع یک رویکرد برای مقابله موثر با بدافزار در پیش گرفت، این سازمان شروع به بررسی و تحلیل ارتباطات بدافزار مذکور با سرور C&C کرد و در گام بعد یک سرور پروکسی را میان بدافزار و سرور C&C قرار داد که اینکار سبب این می شد که براحتی بتوانند به مطالعه و واکاوی ساختاری ارتباطی بدافزار با سرور C&C بپردازند. سپس با اطلاعات بدست آمده وزارت دفاع توانست سرور مهاجم مهاجم را اسپوف کرده و دستور terminate را به بدافزار ارسال کرد که موجب رفع آلودگی شد.
واشنگتن پست اولین بار این داستان را منتشر کرد و اطلاعات ایالات متحده مشخص میکرد که این کمپین با نام مستعار Buckshot Yankee با سازمان اطلاعات روسیه یعنی FSB مرتبط است. تحلیلهای وندورهای امنیت نشان میداد که زمانهایی که مهاجمان بر روی شبکههای قربانی در حال انجام فعالیت بودند با ساعت کاری استاندارد در مسکو مطابقت داشت علاوه بر این تحقیقات نشان میداد که قبل از کشف بدافزار در سال 2008 این جمله سایبری به مدت چند سال در جریان بوده و به سازمانهای دیپلماتیم، سیاسی و نظامی انجام شده بود.
پ.ن: پس از عملیات Buckshot Yankee، فرماندهی سایبری ایالات متحده (USCYBERCOM) ایجاد شد.
✍️ نویسنده میلاد کهساری الهادی و محمد مهدی انبارکی
#خرس_سیاه
@TryHackBoxStory
در سال 2008 یک مهاجم ناشناس به شبکههای وزارت دفاع آمریکا نفوذ کرد. مدافعان امنیت سایبری در ماه اکتبر موفق به شناسایی یک بدافزار شدند که این بدافزار بعدها توسط شرکت امنیتی F-Secure با عنوان Agent.btz یا BTZ نامیده شد. این بدافزار بعد از اجرا شدن در سیستم هدف به سرور C&C خود متصل میشد. شایان ذکر است، این بدافزار بسیار پیچیده بود و پس از اجرا شدن در سیستم قربانی عملا تشخیص آن دشوار بود.
برخلاف اکثر حملات دولتی مهاجمین از یک روش غیرمرسوم برای بدست آوردن دسترسی اولیه از سیستمهای وزارت دفاع آمریکا (DOD) استفاده کردند. آنها به شکل هدفمندی فلشهای USB آلوده به BTZ را در مکانهایی که فاصله نزدیکی با تاسیسات وزارت دفاع آمریکا داشت قرار دادند. به گفته مقامات نظامی احتمالا یکی از سربازان یا کارمندان فلش آلوده را پیدا کرده و به سیستمهای وزارت دفاع متصل کرده که موجب آلوده شدن سیستمها به BTZ شد. شایان ذکر است، وزارت دفاع بدافزار BTZ را به یک آژانس اطلاعات خارجی نسبت داد.
بدافزار موجود در فلش یک نوع کرم بوده است که پس از ورود به سیستم هدف شروع به آلوده کردن دیگر سیستمها میکرد. این بدافزار پس از آلوده کردن سیستمهای جدید به دنبال اسناد آفیس که حاوی اطلاعات محرمانه بودند میگشت و پس از پیدا کردن اسناد مربوطه آن را به C&C خود ارسال میکرد.
حدود 14 ماه زمان برد تا وزارت دفاع توانست خود را در مقابل این تهدید میتیگیت کند، زیرا کرم BTZ به سرعت انتشار پیدا میکرد. رویکرد اولیه که شامل شناسایی و حذف بدافزار از سیستمهای آلوده بود که این رویکرد موٍثر واقع نشد. وزارت دفاع یک رویکرد برای مقابله موثر با بدافزار در پیش گرفت، این سازمان شروع به بررسی و تحلیل ارتباطات بدافزار مذکور با سرور C&C کرد و در گام بعد یک سرور پروکسی را میان بدافزار و سرور C&C قرار داد که اینکار سبب این می شد که براحتی بتوانند به مطالعه و واکاوی ساختاری ارتباطی بدافزار با سرور C&C بپردازند. سپس با اطلاعات بدست آمده وزارت دفاع توانست سرور مهاجم مهاجم را اسپوف کرده و دستور terminate را به بدافزار ارسال کرد که موجب رفع آلودگی شد.
واشنگتن پست اولین بار این داستان را منتشر کرد و اطلاعات ایالات متحده مشخص میکرد که این کمپین با نام مستعار Buckshot Yankee با سازمان اطلاعات روسیه یعنی FSB مرتبط است. تحلیلهای وندورهای امنیت نشان میداد که زمانهایی که مهاجمان بر روی شبکههای قربانی در حال انجام فعالیت بودند با ساعت کاری استاندارد در مسکو مطابقت داشت علاوه بر این تحقیقات نشان میداد که قبل از کشف بدافزار در سال 2008 این جمله سایبری به مدت چند سال در جریان بوده و به سازمانهای دیپلماتیم، سیاسی و نظامی انجام شده بود.
پ.ن: پس از عملیات Buckshot Yankee، فرماندهی سایبری ایالات متحده (USCYBERCOM) ایجاد شد.
✍️ نویسنده میلاد کهساری الهادی و محمد مهدی انبارکی
#خرس_سیاه
@TryHackBoxStory
❤1
شبگردی مخوف: جزئیات هولناک عملیات جاسوسی سایبری Moonlight Maze - بخش اول
در سال 1999، در فرودگاه دالاس ویرجینیا، مأموران FBI سوار هواپیمای 2772 به مقصد مسکو شدند تا حمله سایبری که به وزارت امور خارجه آمریکا شده بود را بررسی کنند. این حمله سایبری با نام Moonlight Maze شناخته میشد.
از نظر FBI، دولت روسیه مظنون به دست داشتن در حملات علیه ایالات متحده بود. در تحقیقاتی که FBI با مشاوره سفیر آمریکا انجام داده بود، شواهدی بدست آمد که نشان میداد این یک حمله ساده نبوده بلکه یک عملیات هماهنگ، بلندمدت و چند هدفه بوده است. هدف این حملات سرقت دادههای حساس آمریکا بوده است.
یک سال قبل از سفر مأموران FBI به روسیه، یک کارگروه مشترک متشکل از دفتر تحقیقات ویژه نیروی هوایی و FBI ایجاد شد. این دو آژانس شواهدی از حملات سایبری از مبدأ چند کشور علیه سازمانهای نظامی، دولتی و آموزشی بدست آورده بودند و سعی داشتند روشها و ابزارهای مورد استفاده مهاجمین را شناسایی کنند. اما باید در وهله اول مشخص میکردند آیا یک سرویس اطلاعاتی این حملات را هدایت میکند یا خیر، و اگر چنین است، کدام سرویس است.
این کارگروه مشترک کاری بسیار دشوار پیش رو داشت زیرا مهاجم بسیاری از زیرساختهای وزارت دفاع آمریکا (DOD) از جمله پایگاه نیروی هوایی Wright Patterson، آزمایشگاههای تحقیقاتی ارتش (ARL) و سیستمهای نظامی غیرمحرمانه را مورد حمله قرار داده بود. علاوه بر این، مهاجم از زیرساختهای چندین دانشگاه در آمریکا استفاده کرده بود. شایان ذکر است که دانشگاهها جزو اهداف اصلی نبودند بلکه مهاجم از آنها بهعنوان منبعی برای فاز بعدی حمله استفاده میکرد.
مأموران FBI شروع به مصاحبه با قربانیانی که در بخش IT و مهندسی این دانشگاهها مشغول به کار بودند کردند. مأموران سؤالاتی مرتبط با کردنشیال و بطور کل رمز عبور آنها پرسیدند. برای مثال، آیا از رمزعبورهای یکسانی برای حسابهای مختلف استفاده میکردند یا کردنشیال خود را با دیگران به اشتراک گذاشته بودند یا خیر. امروزه به ندرت این سؤالات توسط یک تیم تحقیقاتی رسمی پرسیده میشود زیرا روزانه سرقت کردنشیال انجام میشود. اما اگر به دهه 90 بازگردیم، اینگونه حملات غیرمعمول بودند و FBI تنها تجربه انجام تحقیقاتی که مربوط به انسان میشد را داشت و تجربهای در رابطه با تحقیقات سایبری نداشت.
#جاسوسی_سایبری
@TryHackBoxStory
در سال 1999، در فرودگاه دالاس ویرجینیا، مأموران FBI سوار هواپیمای 2772 به مقصد مسکو شدند تا حمله سایبری که به وزارت امور خارجه آمریکا شده بود را بررسی کنند. این حمله سایبری با نام Moonlight Maze شناخته میشد.
از نظر FBI، دولت روسیه مظنون به دست داشتن در حملات علیه ایالات متحده بود. در تحقیقاتی که FBI با مشاوره سفیر آمریکا انجام داده بود، شواهدی بدست آمد که نشان میداد این یک حمله ساده نبوده بلکه یک عملیات هماهنگ، بلندمدت و چند هدفه بوده است. هدف این حملات سرقت دادههای حساس آمریکا بوده است.
یک سال قبل از سفر مأموران FBI به روسیه، یک کارگروه مشترک متشکل از دفتر تحقیقات ویژه نیروی هوایی و FBI ایجاد شد. این دو آژانس شواهدی از حملات سایبری از مبدأ چند کشور علیه سازمانهای نظامی، دولتی و آموزشی بدست آورده بودند و سعی داشتند روشها و ابزارهای مورد استفاده مهاجمین را شناسایی کنند. اما باید در وهله اول مشخص میکردند آیا یک سرویس اطلاعاتی این حملات را هدایت میکند یا خیر، و اگر چنین است، کدام سرویس است.
این کارگروه مشترک کاری بسیار دشوار پیش رو داشت زیرا مهاجم بسیاری از زیرساختهای وزارت دفاع آمریکا (DOD) از جمله پایگاه نیروی هوایی Wright Patterson، آزمایشگاههای تحقیقاتی ارتش (ARL) و سیستمهای نظامی غیرمحرمانه را مورد حمله قرار داده بود. علاوه بر این، مهاجم از زیرساختهای چندین دانشگاه در آمریکا استفاده کرده بود. شایان ذکر است که دانشگاهها جزو اهداف اصلی نبودند بلکه مهاجم از آنها بهعنوان منبعی برای فاز بعدی حمله استفاده میکرد.
مأموران FBI شروع به مصاحبه با قربانیانی که در بخش IT و مهندسی این دانشگاهها مشغول به کار بودند کردند. مأموران سؤالاتی مرتبط با کردنشیال و بطور کل رمز عبور آنها پرسیدند. برای مثال، آیا از رمزعبورهای یکسانی برای حسابهای مختلف استفاده میکردند یا کردنشیال خود را با دیگران به اشتراک گذاشته بودند یا خیر. امروزه به ندرت این سؤالات توسط یک تیم تحقیقاتی رسمی پرسیده میشود زیرا روزانه سرقت کردنشیال انجام میشود. اما اگر به دهه 90 بازگردیم، اینگونه حملات غیرمعمول بودند و FBI تنها تجربه انجام تحقیقاتی که مربوط به انسان میشد را داشت و تجربهای در رابطه با تحقیقات سایبری نداشت.
#جاسوسی_سایبری
@TryHackBoxStory
👍1
📌شبگردی مخوف: جزئیات هولناک عملیات جاسوسی سایبری Moonlight Maze - بخش دوم
پس از اینکه FBI دریافت که قربانیان به شکل آگاهانه در سرقت کردنشیالها دست نداشتند، سبب شد FBI مطمئن شود که قربانیان در حمله نقشی نداشتند. کارگروه مشترک تمرکز خود را بر شواهد سایبری گذاشت و لاگهای سیستمهای قربانیان دانشگاهی را برای تجزیه و تحلیل جمعآوری کرد.
در 29 جولای 1998، نماینده سازمان تحقیقات کارولینای جنوبی (SCRA) با یکی از مأموران کارگروه Moonlight Maze تماس گرفت. نماینده SCRA ادعایی مبنی بر مورد حمله قرار گرفتن توسط مهاجمی ناشناس که از روسیه نشأت گرفته است داشت. بنظر میرسید این مهاجم با استفاده از زیرساخت SCRA به یک کامپیوتر در پایگاه هوایی Wright Patterson متصل شده است.
اینجا دقیقا نقطهای بود که FBI در انتظار آن بود. SCRA متوجه شده بود که مورد حمله قرار گرفته است و جزئیاتی از انتقال فایلها از پایگاه هوایی Wright Patterson و SCRA به یک کامپیوتر مستقر در روسیه بدست آورد. لاگها حاوی جزئیاتی درباره فایلهای سرقت شده و اتصالات بودند که موجب بدست آوردن بینشهایی از اهداف مهاجم میشد. مهاجم بدنبال نمودارهای مهندسی و تحقیقاتی در مورد فناوری دفاعی برای تشخیص و مقابله با موشکهای بالستیک قارهپیما (هستهای) بود. شایان ذکر است این دادهها از آمریکا در مقابل حملات موشکی محافظت میکردند.
در ژانویه 1999، یکسری نقض جدید در آزمایشگاه ملی Brookhaven، وزارت دفاع (DOD) و چندین سیستم وزارت دفاع واقع در ویکسبورگ میسیسیپی رخ داد. وزارت دفاع یک هانیپات مشابه آنچه که در برکلی ایجاد شده بود راهاندازی کرد. بر اساس گزارشهای رسمی، وزارت دفاع در هانیپات یک سند که در آن کد ردیاب جاسازی شده بود توانست مکان واقعی مهاجم را ردیابی کند. در نهایت، وزارت دفاع آمریکا با بررسیهایی که انجام داد متوجه شد فایلهای سرقت شده به یک آدرس IP که مرتبط با آکادمی علوم روسیه بود منتقل شدهاند. شایان ذکر است آکادمی علوم روسیه مرتبط به دولت و ارتش روسیه است.
مدتی پس از وقوع این حوادث، رسانهها از این داستان مطلع شدند و گزارشهای برنامه خبری شبانه ABC و نیویورک تایمز به جزئیات حملات چند ساله پرداختند. این خبرگزاریها این حادثه را بهعنوان مجموعهای از ابتکارات انجام شده توسط یک کشور بهجهت سرقت اطلاعات حساس از آمریکا طی سالهای متمادی معرفی کردند. پس از اینکه این حمله توسط رسانههای جهانی اعلام شد که این حملات توسط روسیه انجام شدهاند، با این حال مهاجمین به کار خود ادامه دادند و عملیات خود را گسترش دادند و اهداف جدیدی را مورد حمله قرار دادند که سبب شد عملیات گستردهتر از پیش شود. مدتی بعد مهاجم روسی به دو آزمایشگاه تحقیقاتی وابسته به وزارت دفاع نفوذ کردند.
در نهایت، این کمپین جاسوسی فعالیتش پایان یافت و در 2 آوریل 1999 مأموران FBI عازم مسکو شدند تا با پرسنل ارشد نظامی در مقر وزارت دفاع روسیه دیدار کنند. مأموران FBI دادهها و یافتههایشان را به روسها ارائه دادند و مأموران FBI شواهدی را ارائه کردند که نشان میداد این حملات از سرورهای وابسته به آکادمی علوم روسیه نشأت گرفتهاند. روز بعد، مأموران FBI هتل خود را ترک کرده و در حال رفتن به مقر وزارت دفاع روسیه بودند که به ادامه مذاکرات بپردازند که اسکورت روسی مسیر آنها را تغییر داد و آنها را به یک گردش اجباری برد.
چند روز گذشت و مشخص شد روسها علاقهای به مذاکره و همکاری با مأموران FBI ندارند و در نهایت مأموران FBI به کشور خود بازگشتند. مأموران FBI عملاً دست خالی به کشور خود بازگشتند اما بیخیال نشدند و با پشتکار و تحلیلهای قوی توانستند زیرساخت، ابزارها، اکسپلویت و کدهای مخرب مرتبط با Moonlight Maze را کشف و شناسایی کنند که در نهایت FBI به شواهدی رسید که احتمال دست داشتن دولت روسیه در این حملات را تأیید میکرد.
#جاسوسی_سایبری
@TryHackBoxStory
پس از اینکه FBI دریافت که قربانیان به شکل آگاهانه در سرقت کردنشیالها دست نداشتند، سبب شد FBI مطمئن شود که قربانیان در حمله نقشی نداشتند. کارگروه مشترک تمرکز خود را بر شواهد سایبری گذاشت و لاگهای سیستمهای قربانیان دانشگاهی را برای تجزیه و تحلیل جمعآوری کرد.
در 29 جولای 1998، نماینده سازمان تحقیقات کارولینای جنوبی (SCRA) با یکی از مأموران کارگروه Moonlight Maze تماس گرفت. نماینده SCRA ادعایی مبنی بر مورد حمله قرار گرفتن توسط مهاجمی ناشناس که از روسیه نشأت گرفته است داشت. بنظر میرسید این مهاجم با استفاده از زیرساخت SCRA به یک کامپیوتر در پایگاه هوایی Wright Patterson متصل شده است.
اینجا دقیقا نقطهای بود که FBI در انتظار آن بود. SCRA متوجه شده بود که مورد حمله قرار گرفته است و جزئیاتی از انتقال فایلها از پایگاه هوایی Wright Patterson و SCRA به یک کامپیوتر مستقر در روسیه بدست آورد. لاگها حاوی جزئیاتی درباره فایلهای سرقت شده و اتصالات بودند که موجب بدست آوردن بینشهایی از اهداف مهاجم میشد. مهاجم بدنبال نمودارهای مهندسی و تحقیقاتی در مورد فناوری دفاعی برای تشخیص و مقابله با موشکهای بالستیک قارهپیما (هستهای) بود. شایان ذکر است این دادهها از آمریکا در مقابل حملات موشکی محافظت میکردند.
در ژانویه 1999، یکسری نقض جدید در آزمایشگاه ملی Brookhaven، وزارت دفاع (DOD) و چندین سیستم وزارت دفاع واقع در ویکسبورگ میسیسیپی رخ داد. وزارت دفاع یک هانیپات مشابه آنچه که در برکلی ایجاد شده بود راهاندازی کرد. بر اساس گزارشهای رسمی، وزارت دفاع در هانیپات یک سند که در آن کد ردیاب جاسازی شده بود توانست مکان واقعی مهاجم را ردیابی کند. در نهایت، وزارت دفاع آمریکا با بررسیهایی که انجام داد متوجه شد فایلهای سرقت شده به یک آدرس IP که مرتبط با آکادمی علوم روسیه بود منتقل شدهاند. شایان ذکر است آکادمی علوم روسیه مرتبط به دولت و ارتش روسیه است.
مدتی پس از وقوع این حوادث، رسانهها از این داستان مطلع شدند و گزارشهای برنامه خبری شبانه ABC و نیویورک تایمز به جزئیات حملات چند ساله پرداختند. این خبرگزاریها این حادثه را بهعنوان مجموعهای از ابتکارات انجام شده توسط یک کشور بهجهت سرقت اطلاعات حساس از آمریکا طی سالهای متمادی معرفی کردند. پس از اینکه این حمله توسط رسانههای جهانی اعلام شد که این حملات توسط روسیه انجام شدهاند، با این حال مهاجمین به کار خود ادامه دادند و عملیات خود را گسترش دادند و اهداف جدیدی را مورد حمله قرار دادند که سبب شد عملیات گستردهتر از پیش شود. مدتی بعد مهاجم روسی به دو آزمایشگاه تحقیقاتی وابسته به وزارت دفاع نفوذ کردند.
در نهایت، این کمپین جاسوسی فعالیتش پایان یافت و در 2 آوریل 1999 مأموران FBI عازم مسکو شدند تا با پرسنل ارشد نظامی در مقر وزارت دفاع روسیه دیدار کنند. مأموران FBI دادهها و یافتههایشان را به روسها ارائه دادند و مأموران FBI شواهدی را ارائه کردند که نشان میداد این حملات از سرورهای وابسته به آکادمی علوم روسیه نشأت گرفتهاند. روز بعد، مأموران FBI هتل خود را ترک کرده و در حال رفتن به مقر وزارت دفاع روسیه بودند که به ادامه مذاکرات بپردازند که اسکورت روسی مسیر آنها را تغییر داد و آنها را به یک گردش اجباری برد.
چند روز گذشت و مشخص شد روسها علاقهای به مذاکره و همکاری با مأموران FBI ندارند و در نهایت مأموران FBI به کشور خود بازگشتند. مأموران FBI عملاً دست خالی به کشور خود بازگشتند اما بیخیال نشدند و با پشتکار و تحلیلهای قوی توانستند زیرساخت، ابزارها، اکسپلویت و کدهای مخرب مرتبط با Moonlight Maze را کشف و شناسایی کنند که در نهایت FBI به شواهدی رسید که احتمال دست داشتن دولت روسیه در این حملات را تأیید میکرد.
#جاسوسی_سایبری
@TryHackBoxStory
🔥1
📌رمزگشایی تاریک بخش اول: چگونه ایالات متحده از طریق بکدور پنهانی، ارتباطات جهانی را تحت کنترل گرفت
از میان چند کشوری که پیشتر بررسی کردیم، ایالات متحده به خوبی توانسته خود را از افکار عمومی پنهان کند و عملاً اطلاعات زیادی در رابطه با عملیات سایبری این کشور در دست نبود. در سال 2013، ادوارد اسنودن، که بهعنوان پیمانکار در NSA کار میکرد، بیش از 9000 سند طبقهبندیشده را افشا کرد که حاوی اطلاعات بسیار مهمی از NSA، بخصوص فعالیتهایی مبنی بر جاسوسی و حملات سایبری که توسط این آژانس انجام شده بود.
در 23 آوریل 2015، ایالات متحده 52000 سند طبقهبندیشده را از حالت طبقهبندی خارج کرد و آنها را منتشر کرد. این اسناد بینشهای تاریخی در رابطه با عملیاتهای جاسوسی آمریکا به افرادی که آنها را مطالعه میکردند ارائه میداد. این گنجینه اطلاعاتی حاوی گزارشهای مفصلی درباره William F. Friedman، رمزگشای مشهور آمریکایی بود.
امروز وقتی مردم درباره انتقال پیام به شکل امن صحبت میکنند، اکثر افراد فکر میکنند که ریشه انتقال پیامهای رمزگزاریشده در ارتباطات رمزگذاریشدهای است که در بستر کامپیوترهای مدرن انجام میشود. در صورتی که این تفکر اشتباه است، زیرا این نوع رمزنگاری نگاری ریشه در جنگ جهانی دوم دارد، هنگامی که ارتش آلمان اولین ماشین رمزنگاری را برای تأمین امنیت ارتباطات نظامی خود توسعه داد. شایان ذکر است آن ماشین رمزنگاری انیگما نام داشت. این ماشین رمزنگاری از یک متن رمزی کنترلشده توسط یک روتور مکانیکی و یک سیستم نور برای رمزگذاری و رمزگشایی پیامها استفاده میکرد. شایان ذکر است آلمان تنها کشوری نبود که در طول جنگ دستگاههای رمزنگاری ارتباطات توسعه میداد، زیرا در سال 1933، دقیقاً همان سالی که هیتلر صدراعظم آلمان شد، تاجری به نام بوریس هاگلین یک شرکت کوچک سوئیسی تأسیس کرد. این شرکت Crypto AG نام دارد، که شروع به تولید دستگاههای رمزنگاری ارتباطات کرد. شایان ذکر است که ایالات متحده و انگلیس در طول جنگ از این دستگاهها استفاده کردند. در آن زمان، این شرکت دستگاههای رمزنگاری ارتباطات مشابه انیگما تولید میکرد. شایان ذکر است که ماشینهای Crypto AG برای انتقال پیامها بهصورت رمزگذاریشده از یک مکانیزم رمزنگاری سفارشی استفاده میکردند، اما این ماشین به اندازه رقیب آلمانی خود پیشرفته نبود.
در طول جنگ، Crypto AG درآمد بسیار خوبی داشت، اما با پایان جنگ، این شرکت نیاز داشت راههای جدیدی برای کسب درآمد پیدا کند. به بیان دیگر، پس از جنگ، این شرکت با کاهش درآمد روبرو شد. هاگلین برای حل این مشکل از ویلیام فریدمن کمک گرفت. ویلیام در آن زمان بهخاطر شکستن رمز دستگاههای رمزنگاری ماشین بنفش ژاپنی که از فناوری مشابه انیگما استفاده میکرد، مشهور شده بود. شایان ذکر است که هاگلین و فریدمن در طول جنگ با هم همکاریهایی داشتند و این دوستی نزدیکی پیدا کردند. فریدمن در آن زمان بهعنوان رمزنگار ارشد در U.S. Signals Intelligence Service مشغول بود.
✍️ نویسنده میلاد کهساری الهادی و محمد مهدی انبارکی
#اسنودن #ایالات_متحده #رمزگشایی_تاریک
@TryHackBoxStory
از میان چند کشوری که پیشتر بررسی کردیم، ایالات متحده به خوبی توانسته خود را از افکار عمومی پنهان کند و عملاً اطلاعات زیادی در رابطه با عملیات سایبری این کشور در دست نبود. در سال 2013، ادوارد اسنودن، که بهعنوان پیمانکار در NSA کار میکرد، بیش از 9000 سند طبقهبندیشده را افشا کرد که حاوی اطلاعات بسیار مهمی از NSA، بخصوص فعالیتهایی مبنی بر جاسوسی و حملات سایبری که توسط این آژانس انجام شده بود.
در 23 آوریل 2015، ایالات متحده 52000 سند طبقهبندیشده را از حالت طبقهبندی خارج کرد و آنها را منتشر کرد. این اسناد بینشهای تاریخی در رابطه با عملیاتهای جاسوسی آمریکا به افرادی که آنها را مطالعه میکردند ارائه میداد. این گنجینه اطلاعاتی حاوی گزارشهای مفصلی درباره William F. Friedman، رمزگشای مشهور آمریکایی بود.
امروز وقتی مردم درباره انتقال پیام به شکل امن صحبت میکنند، اکثر افراد فکر میکنند که ریشه انتقال پیامهای رمزگزاریشده در ارتباطات رمزگذاریشدهای است که در بستر کامپیوترهای مدرن انجام میشود. در صورتی که این تفکر اشتباه است، زیرا این نوع رمزنگاری نگاری ریشه در جنگ جهانی دوم دارد، هنگامی که ارتش آلمان اولین ماشین رمزنگاری را برای تأمین امنیت ارتباطات نظامی خود توسعه داد. شایان ذکر است آن ماشین رمزنگاری انیگما نام داشت. این ماشین رمزنگاری از یک متن رمزی کنترلشده توسط یک روتور مکانیکی و یک سیستم نور برای رمزگذاری و رمزگشایی پیامها استفاده میکرد. شایان ذکر است آلمان تنها کشوری نبود که در طول جنگ دستگاههای رمزنگاری ارتباطات توسعه میداد، زیرا در سال 1933، دقیقاً همان سالی که هیتلر صدراعظم آلمان شد، تاجری به نام بوریس هاگلین یک شرکت کوچک سوئیسی تأسیس کرد. این شرکت Crypto AG نام دارد، که شروع به تولید دستگاههای رمزنگاری ارتباطات کرد. شایان ذکر است که ایالات متحده و انگلیس در طول جنگ از این دستگاهها استفاده کردند. در آن زمان، این شرکت دستگاههای رمزنگاری ارتباطات مشابه انیگما تولید میکرد. شایان ذکر است که ماشینهای Crypto AG برای انتقال پیامها بهصورت رمزگذاریشده از یک مکانیزم رمزنگاری سفارشی استفاده میکردند، اما این ماشین به اندازه رقیب آلمانی خود پیشرفته نبود.
در طول جنگ، Crypto AG درآمد بسیار خوبی داشت، اما با پایان جنگ، این شرکت نیاز داشت راههای جدیدی برای کسب درآمد پیدا کند. به بیان دیگر، پس از جنگ، این شرکت با کاهش درآمد روبرو شد. هاگلین برای حل این مشکل از ویلیام فریدمن کمک گرفت. ویلیام در آن زمان بهخاطر شکستن رمز دستگاههای رمزنگاری ماشین بنفش ژاپنی که از فناوری مشابه انیگما استفاده میکرد، مشهور شده بود. شایان ذکر است که هاگلین و فریدمن در طول جنگ با هم همکاریهایی داشتند و این دوستی نزدیکی پیدا کردند. فریدمن در آن زمان بهعنوان رمزنگار ارشد در U.S. Signals Intelligence Service مشغول بود.
✍️ نویسنده میلاد کهساری الهادی و محمد مهدی انبارکی
#اسنودن #ایالات_متحده #رمزگشایی_تاریک
@TryHackBoxStory
👏3👍2
در رابطه با خبر باج ۳ میلیون دلاری باید عرض کنم که این تازه شروع ماجراست...
کاری که توسن انجام داده چراغ سبزی برای تمام هکرهای دنیاست که بله، پرداخت می کنیم، میلیون دلاری هم پرداخت می کنیم ....
از همین امروز حساب کنید افزایش حجم حملات بر روی زیرساخت های کشور چقدر افزایش پیدا خواهد کرد.
بنده با این موضوع که پول دادن و از داده های کف خیابون مردم محافظت کردن به اصطلاح مخالفت یا مشکلی ندارم، اما از اونجایی که سطوح مدیریتی چیزی جز پول رو نمی بینن و با چیزی جز پول و عدد و رقم نمیشه مطلبی رو بهشون حالی کرد، میخوام بدونم حالا که میلیون دلاری تو یک ثانیه هزینه می کنید، اون سمت دیگر ماجرا رو هم دیدین؟ ریشه این اتفاقات رو درک کردین؟
زمانیکه شما باج میدی بایستی تمهیداتی در پیش بگیری که مجددا از یک سوراخ دوبار گزیده نشی، اما واقعا همچین تمهیداتی رو در نظر دارین؟ اصلا بهش فکر کردین که مشکل کارتون از کجاست؟
این سه میلیون دلار در واقع اون هزینه ای بود که شما باید برای جذب و آموزش نیروی متخصص می کردین ، انجام ندادید و حالا بصورت باج پرداخت می کنید. اگرچه این اولیش بود...
نگاه مدیران و صاحبان تصمیم در این کشور در حوزه امنیت سایبر به سمت کمیت رفته و اصلا توجهی به کیفیت دانش نیروها نمیشه.
نه تنها توجهی به دانش نیروها نمیشه! بلکه صرفا یکسری آدم لاگ بخوان درست کردن که از Cyber kill chain حملات هم دانش ندارن. و فقط هر لاگ رو بصورت جداگانه می تونن بخونن و تحلیل کنن.
همانطور که نیروی زمینی متخصص و کارکشته، ستون فقرات امنیت فیزیکی کشور هستش! به همون میزان در حوزه امنیت سایبر، نیروی متخصص و با تجربه ستون فقرات حوزه سایبر رو تشکیل میده...
حالا هی نیروهای Mid-level رو بخاطر سیاست های حقوقی تون جذب نکنید، Senior ها رو با پیشنهاد حقوقی کم فراری بدین از این کشور برن و تا می تونین کارآموز جذب کنین.( در نهایت هم عمر این بنده های خدا بخاطر ساختارها و فرآیندهای غلط شما تباه میشه)
متأسفانه مسئله حاد و جدی که من الان دارم تو جامعه سایبری ایران می بینم، فارغ از بحث مدیریتی، نبود نیروی فنی کار بلده، تو حوزه offensive کماکان نیروی خوب فنی انگشت شمار پیدا میشه ولی تو حوزه Defensive من نیروی فنی که ده سال کار کرده باشه و عمیق شده باشه رو نمی بینم، اکثرا در حال شوآف کردن و سلبریتی شدن هستن و از اون جایی که موضوع دفاع به شکل درست و صحیحی قابل ارزیابی نیست ، پر شده از آدم های تو خالی پر مدعا.
» صحبت از چهارتا فریم ورک و استاندارد در حوزه دفاع در عمق نیست! بحث بحث نیروی فنی کار بلده.
نویسنده : میلاد چراغی
#irleaks
@TryHackBoxStory
کاری که توسن انجام داده چراغ سبزی برای تمام هکرهای دنیاست که بله، پرداخت می کنیم، میلیون دلاری هم پرداخت می کنیم ....
از همین امروز حساب کنید افزایش حجم حملات بر روی زیرساخت های کشور چقدر افزایش پیدا خواهد کرد.
بنده با این موضوع که پول دادن و از داده های کف خیابون مردم محافظت کردن به اصطلاح مخالفت یا مشکلی ندارم، اما از اونجایی که سطوح مدیریتی چیزی جز پول رو نمی بینن و با چیزی جز پول و عدد و رقم نمیشه مطلبی رو بهشون حالی کرد، میخوام بدونم حالا که میلیون دلاری تو یک ثانیه هزینه می کنید، اون سمت دیگر ماجرا رو هم دیدین؟ ریشه این اتفاقات رو درک کردین؟
زمانیکه شما باج میدی بایستی تمهیداتی در پیش بگیری که مجددا از یک سوراخ دوبار گزیده نشی، اما واقعا همچین تمهیداتی رو در نظر دارین؟ اصلا بهش فکر کردین که مشکل کارتون از کجاست؟
این سه میلیون دلار در واقع اون هزینه ای بود که شما باید برای جذب و آموزش نیروی متخصص می کردین ، انجام ندادید و حالا بصورت باج پرداخت می کنید. اگرچه این اولیش بود...
نگاه مدیران و صاحبان تصمیم در این کشور در حوزه امنیت سایبر به سمت کمیت رفته و اصلا توجهی به کیفیت دانش نیروها نمیشه.
نه تنها توجهی به دانش نیروها نمیشه! بلکه صرفا یکسری آدم لاگ بخوان درست کردن که از Cyber kill chain حملات هم دانش ندارن. و فقط هر لاگ رو بصورت جداگانه می تونن بخونن و تحلیل کنن.
همانطور که نیروی زمینی متخصص و کارکشته، ستون فقرات امنیت فیزیکی کشور هستش! به همون میزان در حوزه امنیت سایبر، نیروی متخصص و با تجربه ستون فقرات حوزه سایبر رو تشکیل میده...
حالا هی نیروهای Mid-level رو بخاطر سیاست های حقوقی تون جذب نکنید، Senior ها رو با پیشنهاد حقوقی کم فراری بدین از این کشور برن و تا می تونین کارآموز جذب کنین.( در نهایت هم عمر این بنده های خدا بخاطر ساختارها و فرآیندهای غلط شما تباه میشه)
متأسفانه مسئله حاد و جدی که من الان دارم تو جامعه سایبری ایران می بینم، فارغ از بحث مدیریتی، نبود نیروی فنی کار بلده، تو حوزه offensive کماکان نیروی خوب فنی انگشت شمار پیدا میشه ولی تو حوزه Defensive من نیروی فنی که ده سال کار کرده باشه و عمیق شده باشه رو نمی بینم، اکثرا در حال شوآف کردن و سلبریتی شدن هستن و از اون جایی که موضوع دفاع به شکل درست و صحیحی قابل ارزیابی نیست ، پر شده از آدم های تو خالی پر مدعا.
» صحبت از چهارتا فریم ورک و استاندارد در حوزه دفاع در عمق نیست! بحث بحث نیروی فنی کار بلده.
نویسنده : میلاد چراغی
#irleaks
@TryHackBoxStory
👍2👏1
حمله بزرگ سایبری اخیر به بانکهای ایرانی از طریق حملات پسیو و گردش و تفریح هکرها در زیرساختهای کشور که نمونهاش، توسط Politico گزارش شد، و هکر احتمالا با فراق خاطر مدیران ما و فراغ خاطر خودش این کار سنگین را انجام داده است! و شاید رفقا مجبور شدهاند برای پایان دادن به این عدم انتشار دادهها ریسک کنند و چند میلیون دلار به عنوان باج پرداخت کند؛ حملهای که بنابر به گزارشها، توسط گروه هکری #IRLeaks انجام شده؛ گروهی که سابقه هدف قرار دادن شرکتهای ایرانی را دارد کل تیپ زدن و کلاس گذاشتنهای مدیریتی فناوری و دم زدن از امنیت سایبری را زیر سوال برد!
☑️ این حادثه بر اهمیت حیاتی اما اغلب نادیده گرفتهشده امنیت سایبری تأکید میکند. اقدامات امنیتی به اولویتهای پایینتر سازمانها تبدیل شده و بیشتر بهعنوان یک نگرانی فرعی در نظر گرفته میشود تا یک عنصر اصلی در استراتژی عملیاتی. این نوع دیدگاه میتواند عواقب فاجعهباری به همراه داشته باشد. که میبینیم!
☑️ این حمله سایبری نشاندهنده یک درس مهم است: امنیت نباید اختیاری باشد، و نباید به دست مدیرانی سپرده شود که فاقد درک فنی یا بینش لازم برای اولویتبندی آن هستند. مدیرانی که اهمیت امنیت سایبری را نادیده میگیرند، چه به دلیل ناآگاهی و چه به دلیل تمایل به کاهش هزینهها، بهطور غیرمستقیم سازمان و سهامداران خود را در معرض خطرات جدی قرار میدهند. در صنایعی به حساسی بانکداری، خطرات بسیار بالاست. یک نقص امنیتی میتواند مقادیر زیادی از دادههای شخصی و مالی را به خطر بیندازد، اعتماد عمومی را تضعیف کند و زیانهای مالی بلندمدتی را به بار آورد که به مراتب بیشتر از هزینههای اولیه برای ایجاد چارچوبهای امنیتی قدرتمند است.
در نگاهی وسیعتر، حوزه امنیت سایبری به سرعت در حال تکامل است و از مکانیزمهای دفاعی واکنشی به مدلهای امنیت شناختی پیشرفته تبدیل شده است. این مدلها که با استفاده از کلان داده، یادگیری ماشینی و سیستمهای پشتیبانی از تصمیمگیری طراحی شدهاند، به تحلیلگران انسانی در پاسخ سریعتر و دقیقتر به تهدیدات کمک میکنند. در محیطهایی مانند مراکز عملیات امنیتی (SOC) یا تیمهای واکنش به حوادث امنیتی سایبری (CSIRT)، تخصص انسانی با الگوریتمهای پیشرفتهای که حجم زیادی از دادهها را بهصورت بلادرنگ پردازش میکنند، تکمیل میشود. نقش علوم شناختی در این زمینه حیاتی است، زیرا به تحلیلگران این امکان را میدهد تا ظرفیتهای شناختی خود را افزایش داده و تصمیمات آگاهانهتری در شرایط بحرانی بگیرند. با این حال، هیچگونه فناوری پیشرفتهای نمیتواند جایگزین رهبری استراتژیکی شود که ضرورت تأمین امنیت داراییهای حیاتی را درک میکند.
بهعنوان یکی از متخصصان امنیت سایبری-شناختی، باید تأکید کنم که امنیت سایبری تنها یک مسئله فنی نیست؛ بلکه یک مسئله حاکمیتی، یک موضوع امنیت ملی و یکی از ارکان اصلی پایداری هر سازمان مدرن و سکیوریتیزم یک مکتب است. این حوزه فضایی برای کاهلی و برای مدیرانی که پیچیدگیهای عصر دیجیتال را درک نمیکنند، نیست. رهبران فنی در بخشهای کلیدی باید با دانش و بینش لازم برای محافظت از سیستمهای خود در برابر تهدیدهای در حال تحول تجهیز شوند. علاوه بر این، امنیت سایبری باید نه بهعنوان یک مرکز هزینه، بلکه بهعنوان سرمایهگذاری در تابآوری و تداوم عملیات در نظر گرفته شود.
✔️ دانش و شایسته سالاری در بزنگاه خود را نشان میدهد، تا زمانی با نیروی بیسواد خواهید خندید که با دانشتر از او به شما حمله نکرده باشد!
نویسنده : رسول لطفی
@TryHackBoxStory
☑️ این حادثه بر اهمیت حیاتی اما اغلب نادیده گرفتهشده امنیت سایبری تأکید میکند. اقدامات امنیتی به اولویتهای پایینتر سازمانها تبدیل شده و بیشتر بهعنوان یک نگرانی فرعی در نظر گرفته میشود تا یک عنصر اصلی در استراتژی عملیاتی. این نوع دیدگاه میتواند عواقب فاجعهباری به همراه داشته باشد. که میبینیم!
☑️ این حمله سایبری نشاندهنده یک درس مهم است: امنیت نباید اختیاری باشد، و نباید به دست مدیرانی سپرده شود که فاقد درک فنی یا بینش لازم برای اولویتبندی آن هستند. مدیرانی که اهمیت امنیت سایبری را نادیده میگیرند، چه به دلیل ناآگاهی و چه به دلیل تمایل به کاهش هزینهها، بهطور غیرمستقیم سازمان و سهامداران خود را در معرض خطرات جدی قرار میدهند. در صنایعی به حساسی بانکداری، خطرات بسیار بالاست. یک نقص امنیتی میتواند مقادیر زیادی از دادههای شخصی و مالی را به خطر بیندازد، اعتماد عمومی را تضعیف کند و زیانهای مالی بلندمدتی را به بار آورد که به مراتب بیشتر از هزینههای اولیه برای ایجاد چارچوبهای امنیتی قدرتمند است.
در نگاهی وسیعتر، حوزه امنیت سایبری به سرعت در حال تکامل است و از مکانیزمهای دفاعی واکنشی به مدلهای امنیت شناختی پیشرفته تبدیل شده است. این مدلها که با استفاده از کلان داده، یادگیری ماشینی و سیستمهای پشتیبانی از تصمیمگیری طراحی شدهاند، به تحلیلگران انسانی در پاسخ سریعتر و دقیقتر به تهدیدات کمک میکنند. در محیطهایی مانند مراکز عملیات امنیتی (SOC) یا تیمهای واکنش به حوادث امنیتی سایبری (CSIRT)، تخصص انسانی با الگوریتمهای پیشرفتهای که حجم زیادی از دادهها را بهصورت بلادرنگ پردازش میکنند، تکمیل میشود. نقش علوم شناختی در این زمینه حیاتی است، زیرا به تحلیلگران این امکان را میدهد تا ظرفیتهای شناختی خود را افزایش داده و تصمیمات آگاهانهتری در شرایط بحرانی بگیرند. با این حال، هیچگونه فناوری پیشرفتهای نمیتواند جایگزین رهبری استراتژیکی شود که ضرورت تأمین امنیت داراییهای حیاتی را درک میکند.
بهعنوان یکی از متخصصان امنیت سایبری-شناختی، باید تأکید کنم که امنیت سایبری تنها یک مسئله فنی نیست؛ بلکه یک مسئله حاکمیتی، یک موضوع امنیت ملی و یکی از ارکان اصلی پایداری هر سازمان مدرن و سکیوریتیزم یک مکتب است. این حوزه فضایی برای کاهلی و برای مدیرانی که پیچیدگیهای عصر دیجیتال را درک نمیکنند، نیست. رهبران فنی در بخشهای کلیدی باید با دانش و بینش لازم برای محافظت از سیستمهای خود در برابر تهدیدهای در حال تحول تجهیز شوند. علاوه بر این، امنیت سایبری باید نه بهعنوان یک مرکز هزینه، بلکه بهعنوان سرمایهگذاری در تابآوری و تداوم عملیات در نظر گرفته شود.
✔️ دانش و شایسته سالاری در بزنگاه خود را نشان میدهد، تا زمانی با نیروی بیسواد خواهید خندید که با دانشتر از او به شما حمله نکرده باشد!
نویسنده : رسول لطفی
@TryHackBoxStory
👍5🔥1👏1
گروه هکری #حنظله #Handala و فعالیتهای آن علیه اسرائیل
این گروه سفر خود را با نام Handala Hack در دسامبر ۲۰۲۳ آغاز کرد.
ابتدا کاملاً مشخص نبود که این گروه متعلق به کجاست، اما به مرور زمان مشخص شد که این گروه تحت همایت ایران یا به طور دقیق تر زیر نظر وزارت اطلاعات و امنیت ملی (MOIS) فعالیت می کند.
اگرچه نام Handala نام فعلی است، اما این گروه در چند سال گذشته با نامهای مختلفی فعالیت کرده است. از مطالعات مختلف و بررسیهای متقاطع دادهها به نظر میرسد که گروه حنظله در واقع همان گروهی است که با نام کارما و با نام عدالت میهن فعالیت میکرد. در نامهای دیگر آن، که توسط نهادهای تحقیقاتی مختلف ارائه میشود، این گروه با نامهای Void Manticore ، DUNE و Storm-0842 نیز شناخته میشود.
اگر کمی جلوتر برویم گروه Handala با گروه حمله ایرانی معروف به Banished Kitten مرتبط است. گروهی که از سال ۲۰۰۸ فعال بوده و به غیر از اسرائیل به کشورهای دیگر حمله میکند.
این گروه با نام Handala در تلگرام، X و انجمنهای مختلف فعالیت را مدیریت میکند. ارتباطات اضافی توسط گروه از طریق یک حساب کاربری در پلتفرم چت Tox مدیریت میشود، جایی که هر از گاهی به سوالات پاسخ میدهد.
بردار اصلی حمله گروه ، فیشینگ ایمیل است - این گروه در ایمیلهای نسبتاً خوب سرمایهگذاری میکند و در عین حال هویت موجودات مختلفی مانند F5 ، National Cyber Array ، Crowdstrike و موارد دیگر را جعل میکند .
در برخی موارد ، این گروه از ضعف های شناخته شده برای نفوذ به سازمان ها و اطلاعات فاسد استفاده کرد .
پس از دسترسی به شبکه شرکتی، این گروه به تخریب و سرقت اطلاعات میپردازد و بعداً اطلاعاتی را که دزدیده است در پلتفرمهای مختلف منتشر میکند در حالی که گاهی اوقات جعل شخصیتهای کلیدی شرکتی است که به آن نفوذ کرده است. در برخی از حملات، این گروه از زیرساختی که #هک کرده بود برای ارسال پیامک به شهروندان استفاده کرد.
بیشتر حملات منتشر شده توسط این گروه واقعاً رخ داده است.
در طول جنگ اسرائیل، این گروه ادعا کرد که به تعدادی از شرکتها و نهادها در اسرائیل آسیب رسانده است.
در زیر لیستی از تمامی ارگانهای منتشر شده توسط این گروه بر اساس ماه مربوطه آمده است:
فوریه ۲۰۲۴
- بندر اشدود
- شرکت پزشکی خانگی
- شرکت شهرداری روش هااین
- تخریب چندین وب سایت در اسرائیل
مارس ۲۰۲۴
- شرکت رادا
- شرکت CDNwiz
- شرکت فناوری غذایی الف فارمز
- شرکت آب روتک
- شرکت وایبر (با توجه به اتصال به اسرائیل)
- شرکت کوگول
آوریل ۲۰۲۴
- شرکت ArrowNet
- شرکت مهندسی الیتک
- شرکت نساجی استاندارد
- دانشکده مساد
- کالج هوشمند
- شرکت دیجیتال 99
- هک دیگری از شرکت رادا
- شرکت کاشین
می ۲۰۲۴
- شرکت Hi-Group
- شرکت املاک آمیگور
- داروخانه هارمونی فارم
- کالج آکادمیک رامات گان
- شرکت ویولن سل
- تخریب وب سایت های مختلف در اسرائیل
ژوئن ۲۰۲۴
- شرکت مای سیتی
- شرکت elfi-tech
- شرکت SolidCAM
- کیبوتز ماگان مایکل
- شرکت زیرتو
جولای ۲۰۲۴
- شبکه آموزش مستقل برای عموم افراطی ارتدوکس (در عمل معلوم شد که این هک کردن دوربین های یک کنیسه بود)
- شرکت سونول
- شرکت Innovalve
- شرکت BLEnergy
آگوست ۲۰۲۴
- شرکت EPS Tech
- شرکت Appletec
سپتامبر ۲۰۲۴
- تحت نظر قراردادن و انتشار اطلاعات مقامات ارشد
در نتیجه فعالیت این گروه، نهادهای مختلف سعی در ایجاد اختلال در فعالیت عمومی گروه در بسترهای مختلف دارند. در ماههای گذشته چندین کانال تلگرام و اکانت توئیتر مورد استفاده این گروه غیرفعال شده است، اما این گروه حسابهای جدیدی افتتاح کرد که از طریق آن به گسترش فعالیتهای خود ادامه میدهد.
@handala_hack2
@TryHackBoxStory
این گروه سفر خود را با نام Handala Hack در دسامبر ۲۰۲۳ آغاز کرد.
ابتدا کاملاً مشخص نبود که این گروه متعلق به کجاست، اما به مرور زمان مشخص شد که این گروه تحت همایت ایران یا به طور دقیق تر زیر نظر وزارت اطلاعات و امنیت ملی (MOIS) فعالیت می کند.
اگرچه نام Handala نام فعلی است، اما این گروه در چند سال گذشته با نامهای مختلفی فعالیت کرده است. از مطالعات مختلف و بررسیهای متقاطع دادهها به نظر میرسد که گروه حنظله در واقع همان گروهی است که با نام کارما و با نام عدالت میهن فعالیت میکرد. در نامهای دیگر آن، که توسط نهادهای تحقیقاتی مختلف ارائه میشود، این گروه با نامهای Void Manticore ، DUNE و Storm-0842 نیز شناخته میشود.
اگر کمی جلوتر برویم گروه Handala با گروه حمله ایرانی معروف به Banished Kitten مرتبط است. گروهی که از سال ۲۰۰۸ فعال بوده و به غیر از اسرائیل به کشورهای دیگر حمله میکند.
این گروه با نام Handala در تلگرام، X و انجمنهای مختلف فعالیت را مدیریت میکند. ارتباطات اضافی توسط گروه از طریق یک حساب کاربری در پلتفرم چت Tox مدیریت میشود، جایی که هر از گاهی به سوالات پاسخ میدهد.
بردار اصلی حمله گروه ، فیشینگ ایمیل است - این گروه در ایمیلهای نسبتاً خوب سرمایهگذاری میکند و در عین حال هویت موجودات مختلفی مانند F5 ، National Cyber Array ، Crowdstrike و موارد دیگر را جعل میکند .
در برخی موارد ، این گروه از ضعف های شناخته شده برای نفوذ به سازمان ها و اطلاعات فاسد استفاده کرد .
پس از دسترسی به شبکه شرکتی، این گروه به تخریب و سرقت اطلاعات میپردازد و بعداً اطلاعاتی را که دزدیده است در پلتفرمهای مختلف منتشر میکند در حالی که گاهی اوقات جعل شخصیتهای کلیدی شرکتی است که به آن نفوذ کرده است. در برخی از حملات، این گروه از زیرساختی که #هک کرده بود برای ارسال پیامک به شهروندان استفاده کرد.
بیشتر حملات منتشر شده توسط این گروه واقعاً رخ داده است.
در طول جنگ اسرائیل، این گروه ادعا کرد که به تعدادی از شرکتها و نهادها در اسرائیل آسیب رسانده است.
در زیر لیستی از تمامی ارگانهای منتشر شده توسط این گروه بر اساس ماه مربوطه آمده است:
فوریه ۲۰۲۴
- بندر اشدود
- شرکت پزشکی خانگی
- شرکت شهرداری روش هااین
- تخریب چندین وب سایت در اسرائیل
مارس ۲۰۲۴
- شرکت رادا
- شرکت CDNwiz
- شرکت فناوری غذایی الف فارمز
- شرکت آب روتک
- شرکت وایبر (با توجه به اتصال به اسرائیل)
- شرکت کوگول
آوریل ۲۰۲۴
- شرکت ArrowNet
- شرکت مهندسی الیتک
- شرکت نساجی استاندارد
- دانشکده مساد
- کالج هوشمند
- شرکت دیجیتال 99
- هک دیگری از شرکت رادا
- شرکت کاشین
می ۲۰۲۴
- شرکت Hi-Group
- شرکت املاک آمیگور
- داروخانه هارمونی فارم
- کالج آکادمیک رامات گان
- شرکت ویولن سل
- تخریب وب سایت های مختلف در اسرائیل
ژوئن ۲۰۲۴
- شرکت مای سیتی
- شرکت elfi-tech
- شرکت SolidCAM
- کیبوتز ماگان مایکل
- شرکت زیرتو
جولای ۲۰۲۴
- شبکه آموزش مستقل برای عموم افراطی ارتدوکس (در عمل معلوم شد که این هک کردن دوربین های یک کنیسه بود)
- شرکت سونول
- شرکت Innovalve
- شرکت BLEnergy
آگوست ۲۰۲۴
- شرکت EPS Tech
- شرکت Appletec
سپتامبر ۲۰۲۴
- تحت نظر قراردادن و انتشار اطلاعات مقامات ارشد
در نتیجه فعالیت این گروه، نهادهای مختلف سعی در ایجاد اختلال در فعالیت عمومی گروه در بسترهای مختلف دارند. در ماههای گذشته چندین کانال تلگرام و اکانت توئیتر مورد استفاده این گروه غیرفعال شده است، اما این گروه حسابهای جدیدی افتتاح کرد که از طریق آن به گسترش فعالیتهای خود ادامه میدهد.
@handala_hack2
@TryHackBoxStory
❤2