پشت پرده حمله سایبری اخیر و قربانی شدن ۴۰۰۰ ایرانی
تاریخ انتشار: ۱۱ خرداد ۱۳۹۶ | کد خبر: ۱۳۵۱۳۹۴۸
به گزارش خبرنگار علمی باشگاه خبرنگاران پویا، از زمانیکه گروه «کارگزاران سایه» آسیبپذیریها و ابزار نفوذ نرمافزار «روز صفر» متعلق به گروه Equation تیم نخبگان نفوذ آژانس امنیت ملی آمریکا را فاش کرد، گروههای نفوذ و همچنین هکرهای متعددی، هر یک به شیوه خود از این ابزارها و آسیبپذیریها بهرهبرداری کردهاند.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
اطلاعاتی که کارگزاران سایه در ماه آوریل منتشر کردند، مخربترین دادههایی بوده که تاکنون توسط این گروه منتشر شده است؛ زیرا به بسیاری از ابزارهای نفوذ ویندوز رخنه میکنند که این امر شامل بهرهبرداری خطرناک از سرویس SMB ویندوز نیز میشود.
پس از شیوع باجافزار «گریه» یا همان wannaCry از هفته گذشته، محققان امنیتی پویشهای مختلفی را شناسایی کردهاند که از آسیبپذیریهای سرویس SMB ویندوز بهرهبرداری کرده است.
شناسه این آسیبپذیری (CVE-2017-0143) بوده و Eternalblue نام دارد که در اثر بهرهبرداری از آن، تاکنون صدها هزار رایانه در سراسر جهان آلوده شدهاند.
این مسئله ثابت شده است که اشخاص و گروههای نفوذ متفاوتی با اهداف و انگیزههای مختلف، از این آسیبپذیری بهرهبرداری کردهاند؛ همچنین آسیبپذیری مذکور هماکنون به چارچوب تست نفوذِ Metasploit اضافه شده است که محققان امنیتی و نفوذگران را قادر میسازد تا بهراحتی از آسیبپذیری بهرهبرداری کنند.
استارتاپ Secdo اخیرا با توجه به پلتفرم امنیت مجازی که توسه داده، متوجه شده که تقریباً از سه هفته قبلِ شیوع حملات عمومی باجافزار «گریه»، دو کمپین نفوذ مجزا از یک آسیبپذیری مشترک برای بهرهبرداری از ویندوز استفاده کردهاند.
بنابراین چندان تعجببرانگیز نخواهد بود اگر گفته شود گروههای نفوذ مختلف، نفوذگرهای حمایت شده از سوی دولت و نفوذگرهای کلاه خاکستری از این آسیبپذیری برای اهداف سازماندهی شده یا انگیزههای شخصی استفاده کردهاند.
دو کمپین کشف شده به کشورهای روسیه و چین نسبت داده شدهاند که در عمل بسیار پیچیدهتر و پیشرفتهتر از باجافزار «گریه» هستند؛ نفوذگران حرفهای از آسیبپذیری مذکور برای نصب درِ پشتی (backdoors) و بدافزار باتنت استفاده میکنند تا بتوانند اطلاعات حساس و گواهینامههای کاربران را به سرقت ببرند.
به گزارش محققان امنیتی این استارتاپ، این دو کمپین بسیار خطرناکتر از باجافزار «گریه» هستند زیرا حتی اگر جلوی باجافزار گریه را بگیرند و آسیبپذیری SMB ویندوز را ترمیم کنند، درِ پشتی کماکان ماندگار خواهد بود و میتواند در هر زمان که دستگاه روشن شود، اطلاعات مهم کاربر را خارج کند.
هر دو کمپین از جریان حمله مشابهی استفاده می کنند به این شکل که نفوذگران ابتدا از طریق بردارهای حمله مختلف، دستگاه هدف را به وسیله بدافزار تحت تأثیر قرار میدهند و سپس از آسیبپذیری مذکور بهرهبرداری کرده و سایر دستگاههای موجود در شبکه را تحت تأثیر قرار میدهند.
در نهایت هم کدهای مخرب در اپلیکیشنهای قانونی تزریق میکنند و در آینده به همراه درِ پشتی، برای ماندگار شدن بر روی دستگاه و سرقت اطلاعات مورد استفاده قرار میگیرند.
کمپین روسی: حملات سرقت گواهینامه
پلتفرم امنیت مجازی Secdo به این مسئله پی برده است که مهاجمان با استفاده از آسیبپذیری یاد شده، تهدیدات مخربی را در داخل فایل «lsass.exe» تزریق میکنند و پس از آلوده کردن آن، چندین ماژول مخرب دیگر دانلود میکنند و برای بازیابی گواهینامههای کاربر از روی مرورگر فایرفاکس، به پرونده SQLite DLL دسترسی پیدا میکنند.
در ادامه گواهینامههای سرقت شده برای مخفی کردن مکان سرور دستور و کنترل، از طریق شبکه رمزنگاری شده تور (Tor) به سمت همین سرور ارسال میشود.
پس از ارسال دادهها، باجافزار CRY128 در داخل حافظه شروع به فعالیت کرده و پروندهها را رمزنگاری میکند؛ این حمله در ماه آوریل انجام شده و از یک آدرس IP واقع در روسیه صورت گرفته است ولی با این حال نمیتوان گفت نفوذگران، روسی بودهاند.
کمپین چینی: نصب روتکیت و باتنت حمله ممانعت از سرویس توزیع شده
این کمپین نیز در اواخر ماه آوریل مشاهده شده است؛ روند این حمله نیز مشابه کمپین قبل است ولی به جای قرار گرفتن بار داده مخرب در داخل حافظه، بار داده اولیه به پورت 998 یک سرور دستور و کنترل واقع در چین متصل میشود و یک روتکیت درِ پشتی مبتنی بر Agony را بارگیری میکند که برای حفظ ماندگاری بر روی دستگاه مورد استفاده قرار میگیرد.
پس از نصب، بار داده یک بدافزار باتنت چینی را روی دستگاه قربانی نصب میکند که دارای قابلیت انجام حمله منع سرویس توزیع شده است.
از سایر نمونههای بهرهبرداری از آسیبپذیری ویندوز، میتوان به بدافزار و باتنتی به نام «Adylkuzz» اشاره کرد که به استخراج ارز مجازی میپردازد؛ این باتنت حداقل دو هفته قبل از ظاهر شدن باجافزار «گریه» فعال بوده است.
با این حال تمام این حملات و بهرهبرداریها برای ابتدای کار هستند؛ گروه نفوذ «کارگزاران سایه» قول داده است در ماه آینده آسیبپذیریها و ابزارهای بیشتری از آژانس امنیت ملی آمریکا منتشر خواهد کرد.
به گزارش تسنیم، حمله سایبری باجافزار wannacry به یک معضل جهانی تبدیل شده است؛ این ویروس از اواسط اردیبهشت ماه به صورت گسترده در فضای مجازی پخش شد و به ایران هم رسید و تا امروز نزدیک به چهار هزار نفر قربانی در کشور گرفته است.
منبع: الف
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.alef.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «الف» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۱۳۵۱۳۹۴۸ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
فناوریهایی که استاندارد امنیتی ضعیف دارند ممنوع میشوند
به گزارش خبرگزاری علم و فناوری آنا به نقل از گاردین، فناوریهایی که با گذرواژههای ضعیف مانند «admin» یا «۱۲۳۴۵» ارائه میشوند، بر اساس قوانین جدید انگلیس باید همه دستگاههای هوشمند حداقل استانداردهای امنیتی را رعایت کنند و فناوریهایی که با گذرواژههای ضعیف مانند «admin» یا «۱۲۳۴۵» همراه هستند ممنوع خواهند شد.
وزارت علوم، نوآوری و فناوری اعلام کرد که اقدامات لازم برای محافظت از مصرف کنندگان در برابر هک و حملات سایبری از روز دوشنبه اجرایی میشود.
این بدان معناست که سازندگان تلفنها، تلویزیونها و درهای هوشمند و غیره، اکنون از نظر قانونی ملزم به محافظت از دستگاههای متصل به اینترنت در برابر دسترسی مجرمان سایبری هستند و از کاربران خواسته میشود رمزهای عبور ساده و رایج خود را تغییر دهند.
همچنین شرکتها باید جزئیات تماس خود را منتشر کنند تا مشکلات احتمالی گزارش شود و زمانبندی بهروزرسانیهای امنیتی شفاف باشد.
امید است که اقدامات جدید به مشتریان در خرید و استفاده از محصولات در زمانی که مصرفکنندگان و کسبوکارها با سرعت فزایندهای مورد حمله هکرها قرار گرفتهاند، کمک کند.
روسیو کونچا، مدیر خطمشی و حمایت از شرکت «Who» گفت: دفتر ایمنی و استانداردهای محصول (OPSS) باید راهنماییهای روشنی را به صنعت ارائه کند و آماده باشد که در صورت زیر پا گذاشتن قانون، اقدامات اجرایی قوی علیه تولیدکنندگان انجام دهد، همچنین از برندهای دستگاههای هوشمند انتظار میرود که از همان روز اول مشتریان خود را به درستی راهنمایی کنند و اطمینان حاصل کنند که خریداران میتوانند به راحتی اطلاعاتی در مورد مدت زمانی که دستگاه هایشان پشتیبانی میشود را بیابند و خریدهای آگاهانه انجام دهند.
جاناتان بری، وزیر علوم و فناوری، گفت: «از آنجایی که زندگی روزمره به طور فزایندهای به دستگاههای هوشمند وابسته میشود، تهدیدات ایجاد شده توسط اینترنت چند برابر و حتی بزرگتر میشوند.
از امروز به بعد، با معرفی نخستین قوانین جهانی حریم خصوصی، دادهها و امور مالی شخصی آنها اطمینان حاصل میکند، مصرف کنندگان از اینکه دستگاههای هوشمند آنها در برابر مجرمان سایبری محافظت میشود، آرامش بیشتری خواهند داشت. ما متعهد هستیم که بریتانیا را به امنترین مکان در جهان برای آنلاین بودن تبدیل کنیم و این مقررات جدید جهشی قابل توجه به سمت دنیای دیجیتال امنتر است.
این قوانین به عنوان بخشی از رژیم امنیت محصول و زیرساختهای مخابراتی (PSTI) اعمال میشوند که هدف آن تقویت انعطاف پذیری انگلیس در برابر جرایم سایبری است.
انتهای پیام/