هکرهای سازنده باتنت TrickBot، رایانههای قربانیانشان را به صورت کامل بررسی میکنند تا میانافزارهای آسیبپذیر را شناسایی کرده و به این ترتیب تا مدت زمان طولانی و بدون امکان شناسایی بتوانند به فعالیت های مخرب خود ادامه دهند.
در ماه های اخیر، باتنت TrickBot به دشمن شماره یک جامعه امنیت سایبری تبدیل شده است. این باتنت توانست در برابر تلاشهای مایکروسافت، گروهی از شرکتهای امنیتی و حتی فرماندهی سایبری ایالات متحده آمریکا مقاومت کند. حالا به نظر میرسد طراحان این حمله به دنبال فن جدیدی برای آلوده کردن عمیقترین بخشهای سیستمها، دسترسی به بخشهایی فراتر از سیستم عامل و حتی میانافزار آن هستند.
شرکتهای امنیت سایبری AdvIntel و Eclypsium اعلام کرده اند قابلیت جدیدی در این باتنت پیدا کرده اند که هکرها از آن برای آلوده کردن سیستمها استفاده میکنند. این ماژول که به تازگی شناسایی شده، به هکرها امکان میدهد رایانههای قربانیانشان را بررسی و آسیبپذیریهای آنها را شناسایی کنند.
همچنین این امکان را در اختیار مجرمان سایبری قرار می دهد که یک در پشتی نیز در Unified Extensible Firmware Interface (UEFI) که مسئول بارگذاری سیستم عامل است، نصب نمایند. از آنجا که UEFI روی یکی از تراشههای مادربورد و خارج از هارد درایو سیستم قرار دارد، نصب کد مخرب در آن به TrickBot امکان میدهد از شناسایی شدن توسط بیشتر نرم افزارهای آنتی ویروس، بهروزرسانیهای نرمافزاری یا حتی پاکسازی کامل و نصب مجدد سیستم عامل جلوگیری کند. همچنین احتمال استفاده از آن برای ایجاد نقص در عملکرد سیستم قربانی و تخریب میانافزار آن هم وجود داشته تا حدی که ممکن است نیاز به تعویض مادربورد باشد.
به گفته Vitali Kremez محقق امنیت سایبری و مدیرعامل AdvIntel، استفاده از این فن توسط عاملان TrickBot که محققان آن را “TrickBoot” نامیدهاند، این گروه را تبدیل به اولین گروه غیردولتی میکند که بدافزارهای مخصوص UEFI را پیاده سازی و اجرا کردهاند.
TrickBoot یک ابزار مخرب کاملاً جدید در دست گروهی از مجرمان است که پیش از این هم با انواع باجافزارها، سازمانها را هدف گرفته و با هکرهای کره شمالی همکاری کرده بود. Kremez میگوید: «این گروه به دنبال روشهای جدیدی برای حضور همیشگی روی سیستمها و مقاومت در برابر انواع بهروزرسانیها و نفوذ به هسته میانافزار است و اگر بتواند با موفقیت به میانافزار سیستم قربانی نفوذ کند، امکان انجام کارهای زیادی از جمله خرابکاری در سیستم تا تصاحب کامل کنترل آن را خواهد داشت».
با وجود آنکه TrickBoot و UEFI آسیبپذیر هستند اما محققان تاکنون هیچ کد مخربی را مشاهده نکردهاند که منجر به استفاده از این آسیبپذیری شود. Kremez بر این باور است که به احتمال زیاد هکرها پیلود هک میانافزار را فقط روی بعضی از سیستمهای آسیبپذیر دانلود میکنند. به گفته او: «ما تصور میکنیم که آنها اهداف ارزشمندی را برای خودشان انتخاب مینمایند».
محققان معتقدند که هکرهای TrickBot به عنوان یکی از خطرناکترین گروههای سایبری در اینترنت به شهرت زیادی رسیدهاند. باتنت این گروه بیش از 1 میلیون سیستم را در اختیار گرفت و از آن برای اجرای حملات باجافزاری مثل Ryuk و Conti در شبکههای مختلف از جمله شبکههای بیمارستانی و مؤسسات تحقیقات پزشکی استفاده شده بود.
این باتنت به اندازهای مخرب است که مراحل و اقدامات مقابله با آن در دو عملیات مجزا صورت گرفت. یکی از این عملیاتها توسط گروهی متشکل از شرکتهای مختلف مثل مایکروسافت، ایست، سیمانتک و Lumen Technologies اجرا شد تا از حکم دادگاه برای قطع دسترسی TrickBot به سرورهای فرماندهی و کنترل آن در آمریکا استفاده کند. عملیات دیگری هم توسط مرکز فرماندهی سایبری آمریکا که با این باتنت هک شده بود، اجرا شد. در عملیات دوم، فایلهای پیکربندی جدیدی به رایانههای هک شده ارسال می شد تا ارتباط آنها با عوامل باتنت TrickBot قطع شود. هنوز مشخص نیست هکرها تا چه میزان در بازسازی TrickBot موفق بوده اند.
Kremez از شرکت AdvIntel در یک نمونه از TrickBot که طراحی ماژولار آن امکان دانلود اجزای جدید برای این بدافزار را بر روی سیستم قربانی فراهم میکند و مدتی پیش با آن برخورد کرده، متوجه اضافه شدن قابلیتهای جدید به بدافزار مربوطه شده است. او معتقد است که این تلاشها بخشی از عملیات عوامل TrickBot برای حفظ این بدافزار بر روی سیستمهای آلوده تا طولانیترین زمان ممکن باشد. به گفته Kremez، «از آنجا که کل جهان، عملکرد این بدافزار را تحت نظارت دارند، این گروه تعداد زیادی از باتهای خودش را از دست داده است. بنابراین مجبور به مخفی کردن بدافزارهایش شده و به همین دلیل، متمرکز بر طراحی این ماژول شده است».
پس از تعیین کدهای جدیدی که برای هدف قرار دادن میانافزار طراحی شده بودند، Kremez این ماژول را در اختیار شرکت Eclypsium که در زمینه امنیت میانافزار و ریزمعماری تخصص دارد، قرار داد. تحلیلگران شرکت Eclypsium متوجه شدند که این بخش جدید، میانافزار سیستم قربانی را تغییر نمیدهد بلکه آسیبپذیریهای UEFI اینتل را جستجو میکند. شرکتهایی که از میانافزار UEFI شرکت اینتل استفاده میکنند، معمولاً بعضی از بیتهای کد که برای جلوگیری از دستکاری طراحی شدهاند را تنظیم نمیکنند.
Eclypsium تخمین میزند که این مشکل در دهها یا حتی صدها میلیون رایانه وجود داشته باشد. این محقق ارشد میگوید: «مهاجمان میتوانند سیستمهای آسیبپذیر را شناسایی کرده و حملات پایدارتر و مبتنی بر میانافزار را بر ضد آنها اجرا کنند. این قابلیت برای چنین کمپین گستردهای که احتمالاً هدف اصلی آن نصب باجافزار، ایجاد نقص در سیستمها و حضور دائمی در محیطهای مختلف است، بسیار مفید و کارآمد می باشد».
Eclypsium و AdvIntel بر این باورند که احتمالاً TrickBot همین حالا هم میانافزار بعضی از سیستمها را تغییر داده است. البته آنها چنین موردی را به صورت مستقیم مشاهده نکرده اند. Michaels با اشاره به تراشه فلش SPI که UEFI رایانه در آن ذخیره میشود، میگوید: «با یک بایت یا یک خط تغییر در کد میتوان فلش را پاکسازی کرد یا به جای خواندن از روی فلش، فقط بر روی آن نوشت».
محافظت در برابر باتنت TrickBot
برای مقابله با TrickBot باید به بخشهایی از رایانههای آسیبپذیر که معمولاً نادیده گرفته میشوند، توجه داشت. Eclypsium و AdvIntel به شرکتها توصیه کرده اند که میانافزار رایانههایشان را بررسی کرده تا بتوانند آسیبپذیر بودن آنها را مشخص کنند. همچنین هر زمانی که کد جدیدی برای میانافزار منتشر می شود می بایست آن را نصب کرده و مهمتر از همه اینکه در صورت شناسایی آلودگیهای TrickBot بررسی نمایند آیا میانافزار سیستمها دستکاری شده است یا خیر.
لازم به ذکر است در گذشته نیز هک میانافزار مشاهده شده بود و گروههای دولتی مختلف با پشتیبانی از سازمان سیا، گروه Fancy Bear روسیه و یک گروه چینی از آنها استفاده کرده بودند. با این حال، Eclypsium و AdvIntel معتقدند که در حال حاضر هک میانافزار از حملات هدفمند دولتی به سمت هکهایی با اهداف اقتصادی تغییر رویکرد داده است. این موضوع یعنی مجموعه قربانیان احتمالی که باید توجه ویژهای به میانافزار سیستمهایشان داشته باشند، بسیار بیشتر شده است.
یکی از محققان امنیت سایبری Eclypsium در این خصوص میگوید: «در یک محیط سازمانی همه این آسیبپذیریها وجود دارد و احتمال آلوده شدن سیستمهای سازمانی به TrickBot در سه ماه آینده بسیار بالا است. بنابراین سازمانها و مدیران ارشد باید مراقب باشند».
منبع: wired