تروجان دسترسی از راه دور (RAT [1]) یک بدافزار است که امکان کنترل کامل سیستم کاربران را از راه دور برای نفوذگران فراهم میکند. هکرها پس از قرار دادن RAT بر روی رایانه قربانی می توانند به راحتی به فرایند امنیت احراز هویت ورود به سیستم، فایلهای موجود در آن و دادههای حیاتی کاربر دسترسی پیدا کنند. آنها اغلب از این اتصال برقرار شده برای جایگذاری بدافزارها در سیستم کاربران و انتشار آنها بر روی سایر سیستم ها استفاده میکنند.
نرمافزارهای دسترسی از راه دور با استفاده از مجوزهای دسترسی قربانی، سایر رایانهها را آلوده نموده و دسترسی نامحدود به اطلاعات سیستم را برای مهاجمان فراهم میکنند. مجرمان سایبری با استفاده از چنین تروجانهایی می توانند اطلاعات محرمانه را از سیستم های کاربران سرقت کنند. RATها همچنین می توانند درهای پشتی بر روی سیستم هدف ایجاد کرده و آن سیستم را به لیست باتنتها اضافه نمایند. آنها از این سیستمها برای انتشار بدافزار به سایر دستگاهها استفاده میکنند.
بعضی از قابلیتهای RATها شامل موارد زیر است:
- دور زدن فرایندهای قوی احراز هویت
- دسترسی به برنامههای مهم
- استفاده از این برنامهها برای به دست آوردن اطلاعات حساس سرورها و وبسایتهایی که تحت کنترل مجرمان قرار دارند.
نحوه عملکرد یک تروجان دسترسی از راه دور
بر اساس تحقیقاتی که درباره RATها صورت گرفته، آنها مانند سایر بدافزارها معمولاً به فایلهایی که ظاهراً قانونی و سالم هستند (نظیر ایمیلها یا نرمافزارهای نصب شده) متصل شده و به محض اینکه تشخیص دهند در حال شناسایی هستند، سریعاً راهکارهای عملیاتیشان را تغییر میدهند. آنها قادر هستند خود را به جای برنامههای دسترسی از راه دور و قابل اعتماد جا بزنند.
همچنین از آنجا که هر چه این نرمافزارهای مخرب از دید قربانیان دورتر باشند احتمال به دام افتادن هکرها کمتر میشود؛ بنابراین RATها پس از نصب بر روی سیستم کاربر، در لیست برنامههای فعال یا فرایندهای در حال اجرا قرار نگرفته و کاربران به راحتی از وجود آنها باخبر نخواهند شد. به همین خاطر اگر از ابزارهای امنیتی مناسب استفاده نکنید احتمال اینکه مدت زمان زیادی یک تروجان دسترسی از راه دور بر روی سیستمتان فعال باشد آن هم بدون آنکه شناسایی شود، بسیار زیاد است.
برخلاف بدافزار Keylogging که کلیدهای فشرده شده بر روی صفحه کلید را بدون آگاهی کاربر ثبت میکند یا باج افزارها که تمام دادههای موجود در سیستم رایانهای یا تلفن همراه فرد را رمزنگاری نموده و تا زمان پرداخت باج، دسترسی او را به همه دادهها مسدود میکنند، تروجانهای دسترسی از راه دور کنترل کامل سیستم آلوده شده را در اختیار هکرها قرار میدهند.
به عنوان مثال، در صورت ادغام بدافزارهای RAT و Keylogging با یکدیگر، هکر به راحتی میتواند به اطلاعات ورود به حسابهای شخصی و مالی قربانی دسترسی یابد. هکر حتی قادر خواهد بود دوربین یا میکروفون رایانه وی را نیز به صورت مخفیانه فعال نموده و به عکس ها یا سندهای خصوصیاش دسترسی پیدا کند. او همچنین میتواند از شبکه خانگی کاربر به عنوان پروکسی جهت انجام اقدامات خلافکارانه، آن هم به صورت ناشناس استفاده کند.
چه اشخاصی مورد هدف این حملات بدافزاری قرار دارند؟
فرایند ایجاد تروجانهای دسترسی از راه دور که مجهز به قابلیت عدم شناسایی هستند شامل عملیات بسیار دقیق و زمانبری است. از این رو ایجاد چنین فرایندهایی در صورتی سودآور خواهد بود که برای اهداف بزرگی همچون مورد هدف قرار دادن سازمانها و ارگانهای دولتی یا مؤسسات مالی مورد استفاده قرار گیرد. مجرمان سایبری با استفاده از قابلیت دسترسی سطح مدیریتی از راه دور میتوانند هارددرایو سیستم ها را پاک کرده و به اطلاعات طبقهبندی شده آنها دسترسی یابند. آنها حتی میتوانند در فضای مجازی، خود را به جای شخص دیگری جا بزنند.
این فعالیتهای غیرقانونی ممکن است پیامدهای جغرافیایی سیاسی[2] نیز به دنبال داشته باشد. اگر مهاجم موفق شود RAT را در یک ایستگاه توزیع برق، سیستم کنترل ترافیک یا شبکههای تلفنی نصب کند میتواند کنترل کامل آنها را به دست گرفته و باعث نارضایتی و اعتراض گسترده شهروندان شود. برای مثال در جنگ بین روسیه و گرجستان در سال 2008 میلادی، روسیه از کمپینهای هماهنگ جنگ فیزیکی و سایبری برای نفوذ به قلمروی جمهوری گرجستان استفاده کرد. بر اساس آمار و شواهد به دست آمده، روسیه یک کمپین سایبری را (که متشکل از حملات DDoS بود) با هدف ایجاد نقص در وبسایتهای دولتی تشکیل داد. در اثر چنین حملاتی حدود 35 درصد از شبکههای اینترنتی گرجستان، در طول حمله دچار وقفه های عملیاتی شد و بانک ملی گرجستان ناچاراً کلیه سرویسهای الکترونیکیاش را به حالت تعویق در آورد.
چگونه از خودمان در برابر RATها محافظت کنیم؟
راهکارهای زیر به شما کمک میکند تا بتوانید از اطلاعات سیستمهایتان در برابر RATها حفاظت کنید:
- هرگز فایل یا برنامهای را از منابع غیرقابل اعتماد دانلود نکنید: هرگز فایلهای پیوستی ایمیلهای ارسال شده از سوی افراد ناشناس (یا حتی افراد آشنایی که پیامهایشان ظاهراً مشکوک است) یا موجود در وبسایتهای غیرقابل اعتماد را دریافت و باز نکنید. همچنین همیشه مطمئن شوید که مرورگرها و سیستمعاملهایتان بهروزرسانی شده باشند.
- نرمافزار ضدویروس خود را همواره بهروز نگهدارید: شبکههای خانگی یا مشاغل کوچک حتماً باید از محصولات نرمافزاری ضدویروس استفاده کنند. این محصولات، از کاربران در برابر حملات بدافزاری و باجافزاری محافظت میکنند. آنها همچنین میتوانند منابع بدافزاری آلوده کننده (نظیر پیوست های ایمیل، لینکهای آلودهای که در ایمیلها قرار دارند، صفحات وبسایت آلوده یا برنامههای تحت وب مخرب) را که ظاهراً قانونی و مورد اعتماد هستند اما در واقع هدفشان انتشار بدافزار است، مسدود نمایند. توجه کنید که در صورت دانلود مستمر فایلها و برنامههای مخرب، نرمافزار ضدویروس کمک چندانی به حفظ امنیت شما نخواهد کرد.
- از سامانه تشخیص نفوذ استفاده کنید: سامانه تشخیص نفوذ از جمله راهکارهای کاربردی برای سازمانهای بزرگ بوده و میتواند مبتنی بر میزبان (HIDS) یا شبکه (NIDS) باشد. HIDSها بر روی یک دستگاه مشخص نصب شده و فایلهای لاگ و رویدادهای برنامه را برای یافتن هر گونه نشانهای از فعالیتهای مخرب بررسی میکنند. NIDSها نیز جهت شناسایی رفتارهای مشکوک، ترافیک شبکه را به صورت بلادرنگ بررسی می نمایند. سیستم مدیریت رویداد و اطلاعات امنیتی (SIEM) نتیجه ادغام HIDS و NIDS است. از SIEM برای مسدود کردن نفوذهایی که از فایروالها، نرمافزارهای ضدویروس و سایر راهکارهای امنیتی سازمان عبور کردهاند، استفاده میشود.
جمعبندی
میزان آسیبی که توسط RATها به سیستمهای قربانیان وارد میشود ارتباط مستقیمی با میزان هوش عاملان این حملات دارد. همچنین از آنجا که RATها هیچگاه حامل خبر خوبی برای کاربران نیستند بنابراین باید از سیستمهایتان در برابر آنها به خوبی محافظت نموده و از محصولات ضدویروس که تهدیدات را از ریشه مسدود میکنند، استفاده نمایید. با نصب چنین نرمافزارهایی می توانید یک سیستم محافظتی چندلایه را بر روی رایانهتان ایجاد کرده و امنیت خود را در فضای آنلاین بهبود بخشید.
[1] Remote Access Trojan
[2] یکی از شاخههای علوم جغرافیایی که به مطالعه بعد سیاسی فضای جغرافیایی میپردازد.