گروه ایویسیو پاندا و سابقه حملات سایبری
گروه تهدید پیشرفته ایویسیو پاندا که با نامهای دیگری همچون «برنز هایلند»، «دگر فلای» و «استورم بامبو» شناخته میشود، از سال ۱۳۹۱ تاکنون بهطور مداوم حملات سایبری هدفمند علیه سازمانها و صنایع مختلف اجرا کرده است. بررسیهای اخیر نشان میدهد این گروه طی دو سال گذشته مجموعهای از حملات پیچیده را طراحی کرده و در برخی موارد توانسته است بیش از یک سال بهصورت مخفیانه در سامانههای آلوده باقی بماند.
سازوکار حملات پاندا
تمرکز اصلی این گروه بر نفوذ تدریجی و پنهان است. مهاجمان معمولاً قربانیان را با فایلهای جعلی که بهعنوان بهروزرسانی برنامههای معتبر معرفی میشوند، فریب میدهند. پس از اجرای این فایلها، بدافزاری چندمرحلهای فعال میشود که اجزای آن بهصورت رمزگذاریشده ذخیره یا از سرورهای مهاجم دریافت میگردد.
- مهاجمان با دستکاری پاسخهای سامانه نام دامنه (DNS)، کاربران را به سرورهای مخرب هدایت میکنند.
- بدافزار بدون ذخیره فایل روی دیسک، مستقیماً در حافظه برنامههای معتبر اجرا میشود و شناسایی آن برای ابزارهای امنیتی دشوار است.
در نهایت، بدافزار اصلی موسوم به «امجیبات» کنترل کامل سیستم را در اختیار مهاجم قرار داده و ارتباط خود را با چندین سرور فرماندهی حفظ میکند.
راهکارهای امنیتی برای مقابله با حملات پاندا
کارشناسان تأکید دارند که مقابله با چنین تهدیدهایی تنها با استفاده از آنتیویروس امکانپذیر نیست و نیازمند رویکرد چندلایه امنیتی است:
- بهروزرسانی نرمافزارها و سیستمها صرفاً از منابع رسمی.
- کنترل دقیق ترافیک شبکه و بررسی تغییرات مشکوک در مسیرهای ارتباطی.
- محدود کردن دسترسی برنامهها به حافظه سیستم و نظارت مداوم بر رفتار آنها.
- آموزش کاربران برای تشخیص بهروزرسانیهای جعلی و ارتباطات غیرعادی.
نتیجهگیری؛ اهمیت هوشیاری در برابر تهدیدات سایبری
گروه ایویسیو پاندا بار دیگر نشان داد که با بهرهگیری از روشهای پیچیده، رمزگذاری اختصاصی و سوءاستفاده از زیرساختهای بهظاهر امن، توانایی عبور از لایههای دفاعی و ماندگاری طولانیمدت در سیستمهای آلوده را دارد. گستردگی این حملات و احتمال وجود عملیاتهای مشابه و شناسایینشده، اهمیت سرمایهگذاری جدی در امنیت سایبری و هوشیاری دائمی در برابر تهدیدات پنهان را بیش از پیش آشکار میکند.
