خبر

هشدار درباره بدافزار Drovorub

استفاده از بدافزار جدیدی توسط گروه APT 28

بر اساس گزارش مشترک منتشر شده ای توسط FBI و NSA، هکرهای وابسته به دولت روسیه از یک بدافزار لینوکسی جدید استفاده می کنند تا به صورت مخفیانه بتوانند به شبکه های حساس نفوذ کرده، اطلاعات لاگین کاربران را به سرقت برده و دستورات مخربی را در سیستم ها اجرا کنند.

در این گزارش که جزییات زیادی در آن وجود داشته و معمولاً چنین مواردی به ندرت در گزارش‌های منتشر شده توسط نهادهای دولتی مشاهده می‌شود، اعلام شده که بدافزار “Drovorub” یک جعبه ابزار مجهز است که تا همین اواخر نیز توانسته بود خود را همچنان ناشناخته نگهدارد. طبق اطلاعات به دست آمده، این بدافزار به سرورهای فرمان دهی و کنترلی که تحت هدایت یک گروه هکری متعلق به اداره اصلی اطلاعات روسیه هستند، متصل می شود. لازم به ذکر است آژانس اطلاعات نظامی روسیه یا همان GRU تاکنون مسئولیت اجرای کمپین‌های پیشرفته و خطرناکی را بر عهده داشته است که بسیاری از آنها آسیب‌هایی جدی به امنیت ملی آمریکا وارد کرده اند.

مقام های رسمی آمریکا اعلام کرده اند که: «اطلاعات این گزارش سایبری به صورت عمومی منتشر شده تا به مالکان سیستم‌های امنیت ملی و عموم مردم برای مقابله با GRU کمک کند. GRU سازمانی است که همچنان به تهدید آمریکا و متحدان آن ادامه می‌دهد. به عنوان مثال در گزارش «ارزیابی فعالیت‌ها و مقاصد روسیه در انتخابات اخیر آمریکا» درباره دخالتی که این سازمان در انتخاب ریاست جمهوری سال ۲۰۱۶ آمریکا داشت، توضیح داده شده است».

 

مخفی، قدرتمند و پر از قابلیت

مجموعه ابزارهای Drovorub که از آن برای نفوذ به شبکه سازمان ها استفاده می شود، از چهار بخش زیر تشکیل شده است:

  1. یک کلاینت که دستگاه‌هایی با سیستم‌عامل لینوکس را آلوده می‌کند.
  2. یک ماژول کرنل که از تاکتیک‌های روت‌کیت مانند به منظور حضور دائمی و پنهان کردن خود از دید سیستم‌های امنیتی و سیستم‌عامل استفاده می‌کند.
  3. یک سرور که بر روی زیرساختی تحت مدیریت مهاجمان کار می‌کند تا کنترل سیستم‌های آلوده را در اختیار گرفته و داده‌های سرقت شده را دریافت کند.
  4. یک عامل (Agent) که از سرورهای آلوده یا ماشین‌های تحت کنترل مهاجم استفاده کرده و مثل یک واسط بین سرورها و ماشین‌های آلوده عمل می‌کند.

لازم به ذکر است روت‌کیت، نوعی بدافزار بوده و چنان به کرنل سیستم‌عامل نفوذ می‌کند که مانع از ثبت فایل‌های مخرب یا فرایندهای ایجاد شده توسط خود شود. در روت‌کیت‌ها معمولاً از فنون مختلفی برای مخفی کردن آلودگی‌ها از دید نرم افزارهای ضدویروس استفاده می شود.

Drovorub نیز از روشی قوی برای پنهان کردن ترافیک ورودی و خروجی شبکه های آلوده استفاده می‌کند. این بدافزار توانایی اجرا از طریق دسترسی‌های نامحدود را داشته و می تواند کنترل کامل سیستم قربانی را در اختیار مهاجمان قرار دهد. همچنین دارای یک منوی مجهز و پر از قابلیت‌های مختلفی است که آن را به یک جعبه ابزار کامل هکری تبدیل کرده‌ است.

 

از بین برنده درایورهای امنیتی

مقامات دولتی NSA و FBI اعلام کرده اند نام Drovorub از رشته‌ای که به صورت تصادفی در یک قطعه کد باقی مانده، انتخاب شده است. Drovo و rub به ترتیب به معنای چوب یا هیزم و قطع کردن یا تکه تکه کردن هستند و به گفته آنها این دو کلمه در کنار هم به معنای هیزم شکستن یا بریدن چوب است.

یک محقق امنیتی که بیشتر عمر حرفه‌ای خویش را صرف بررسی کمپین گروه های هک روسی از جمله کمپینی که در سال ۲۰۱۶ میلادی کمیته ملی دموکرات‌های آمریکا را هدف حملات خود قرار داده بود کرده است، تفسیر متفاوتی را درباره این حمله بیان کرده و می‌گوید Drova یک اصطلاح روسی است که از آن برای توصیف درایور سیستم ها استفاده می‌شود. بنابراین چنین می توان گفت که نام انتخابی این بدافزار، بیشتر به معنای «از بین برنده درایورها(ی امنیتی)» است.

 

بیش از یک دهه فعالیت در جهت منافع روس‌ها

Drovorub یکی دیگر از تاکتیک‌ها و ابزارهایی است که گروه هک نظامی روسی با عنوان “APT 28” از آن استفاده می‌کند. محققان به این گروه نام‌هایی مثل Fancy Bear، Strontium، Pawn Storm، Sofacy، Sednit و Tsar Team نیز داده‌اند. تلاش‌های APT 28 بیشتر در جهت منافع دولت روسیه بوده و سازمان‌ها و کشورهایی که کاخ بزرگ کرملین آنها را دشمن خود تلقی می‌کند، هدف حملاتش قرار می‌دهد.

سایر کمپین‌های نسبت داده شده به گروه APT 28 عبارتند از:

  • نفوذ به کمیته ملی دموکرات‌ها پیش از انتخابات سال ۲۰۱۶ (به همراه یک گروه دیگر هک روسی به نام Cozy Bear) که منجر به دسترسی و توزیع اسناد مخرب برای تغییر نظر رأی دهندگان در انتخابات شد.
  • هک سازمان جهانی مبارزه با دوپینگ در سال ۲۰۱۶ میلادی
  • نفوذ به بوندس‌تاگ (پارلمان مرکزی آلمان فدرال)
  • نفوذ به ایستگاه تلویزیونی TV5Monde فرانسه

در گزارش فوق درباره سازمان‌هایی که Drovorub آنها را هدف حملات خود قرار داده است چیزی اعلام نشده و حتی اطلاعات کلی نیز درباره آنها یا موقعیت جغرافیایی شان ارایه نشده است. همچنین درباره اینکه این بدافزار چه مدتی فعال بوده و چه میزان آلودگی ایجاد کرده یا هکرها چگونه سرورها را آلوده می‌کنند هم مطالبی بیان نشده است. البته اغلب وقت ها حملات APT 28 متکی بر ارسال هرزنامه‌های مخرب یا انجام حمله‌های فیشینگی است که رایانه‌های کاربران را آلوده کرده و رمزهای عبور آنها را به سرقت می‌برند. این گروه توانایی سوءاستفاده از آسیب پذیری‌های موجود بر روی دستگاه‌ها را نیز دارد.

 

مطالعه الزامی

مقام های رسمی آمریکا اعلام کرده‌اند که برای دفاع در برابر Drovorub باید تمامی به روز رسانی‌های امنیتی را بر روی سیستم ها نصب کرده و کرنل سیستم عامل های لینوکسی قدیمی را نیز ارتقا داد تا بتوان مجوزهای مورد استفاده برای تضمین معتبر بودن ماژول‌ها، درایورها و برنامه‌های کاربردی را بررسی کرد.

در این گزارش به مالکان سیستم‌ها توصیه شده آنها را طوری تنظیم کنند که فقط ماژول‌های دارای امضای معتبر را بارگذاری کنند. به این ترتیب، کار مهاجمان برای نصب ماژول‌های مخرب کرنل در سیستم بسیار سخت خواهد شد. همچنین به مدیران شبکه هم گفته شده در سیستم‌های تشخیص نفوذ Yara و Snort عضو شده تا بتوانند ترافیکی که به سمت سرورهای فرمان دهی و کنترل این بدافزار هدایت می‌شود و نیز فرایندها و فایل‌های آن را شناسایی و متوقف کنند.

 

منبع: arstechnica

 

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نوزده + 4 =

دکمه بازگشت به بالا