شرکت Trend Micro هشدار داده که موج جدیدی از حملات سایبری، دستگاههای اندروید با پورت باز 5555 را هدف گرفته است که احتمالا هدف از این حمله استفاده از این دستگاهها در یک باتنت است.
پورت 5555 TCP برای فراهم آوردن امکان مدیریت دستگاهها از طریق Android Debug Bridge (پل دیباگ اندروید یا به اختصار ADB) طراحی شده است که از جمله امکانات Android SDK است که به توسعهدهندگان امکان برقراری ارتباط با دستگاههای اندروید جهت اجرای فرامینی روی آنها یا به دست گرفتن کنترل کامل آنها را میدهد.
قرار بوده که پورت ADB روی دستگاههای تجاری غیرفعال باشد و برای فعال کردن آن نیاز به اتصال به USB باشد؛ اما ماه گذشته یک محقق امنیتی به نام کوین بومونت افشا کرد که پورت ADB بسیاری از دستگاهها از همان ابتدا و در هنگام عرضه به بازار فعال هستند که همین امر آنها را در معرض حملات مختلف قرار میدهد.
حملات اسکن و پویشیای که پورت ADB را هدف گرفتهاند از ماه ژانویه یعنی بهمن ماه سال 1396 مشاهده شدند. در اوایل سال 2019 یا سال 1398شمسی، یک کرم از یک نسخهی ویرایش شده از کد Mirai استفاده کرده بود تا دستگاههایی را که پورت 5555 آنها باز است شناسایی کرده و از آنها برای ماین کردن ارزهای دیجیتال استفاده کند.
حالا شرکت Trend Micro اعلام کرده که یک اکسپلویت جدید، پورت 5555 را هدف گرفته است. این شرکت جهش ناگهانی در فعالیت این اکسپلویت را در تاریخ نهم و دهم ماه جولای میلادی یا هجدهم و نوزدهم تیرماه سال 1397 مشاهده کرده که اکثر ترافیک مربوط به آن از چین و امریکا بوده و موج دوم که در 15 جولای یعنی 24 تیر شروع شده، عمدتا کشور کُره را درگیر کرده است.
Trend Micro توضیح میدهد که: «ما با تحلیل بستههای شبکه متوجه شدیم که این بدافزار از طریق اسکن پورتهای ADB باز منتشر میشود. سپس shell script مرحله 1 را از طریق کانکشن ADB ارسال کرده و روی سیستم مورد هدف راهاندازی میکند. سپس این اسکریپت، دو shell script مرحله 2 را دانلود میکند تا توابع باینری مرحله 3 را راهاندازی کند.»
این بدافزار پس از آلوده کردن دستگاهها، به یکسری از پردازشهای آنها خاتمه داده و پردازشهای فرزند خودش را راهاندازی میکند که یکی از آنها مسئول انتشار این بدافزار به صورت یک کرم است. همچنین یک اتصال با سرور و کنترل و فرمان برقرار میکند.
این پیلود حاوی یک هدر با تعدادی هدف و بستههایی از نوع IP است که باید فرستاده شوند و این نشان میدهد که این بدافزار برای راهاندازی حملات محرومسازی از سرویس توزیع شده طراحی شده است. (این بدافزار میتواند بستههای UDP ،TCP SYN TCP ACK (با یک پیلود تصادفی دارای طول تصادفی)، UDP با پیلود تصادفی ای که از طریق پروتکل Generic Routing Encapsulation تونل میزند و TCP SYN را ارسال کند).
همچنین شرکت Trend Micro متوجه شده که باینریهای دانلود شده، به سرور کنترل و فرمانی که آدرس آن 95[.]215[.]62[.]169 است، متصل میشوند که ظاهرا با نسخه Satori باتنت Mirai ارتباط دارد.
یکی از محققین شرکت Trend اعلام کرد «این نتیجهگیری که طراح این نمونه و Satori یک نفر باشد، منطقی است.»
همچنین شرکت Trend Micro خاطرنشان کرد که قابلیت انتشار کرم مانندِ این بدافزار، نشان میدهد که ممکن است پس از این شاهد افزایش ناگهانی در فعالیتهای آن و حملات دیگری نیز باشیم. همچنین ممکن است سازندگان این بدافزار در حال «تست کارایی ابزارها و تاکتیکهایشان برای راهاندازی یک حمله جدیتر بوده باشند.»
یک جستجوی آنلاین نشان میدهد که بیش از 48 هزار دستگاه اینترنت اشیا در برابر سواستفادههای ADB آسیبپذیر هستند اما ممکن است همه آنها در این حمله تحت خطر قرار نگرفته باشند زیرا احتمالا بعضی از آنها با مکانیزم برگردان آدرس شبکه (Network Address Translation یا به اختصار NAT) پشت روترها قرار گرفتهاند؛ اما با این وجود ممکن است تنظیمات نادرست باعث شود که این دستگاهها از طریق اینترنت قابل دسترس بوده و بنابراین تبدیل به هدفی آسان برای بدافزارها شوند.
Trend Micro در نهایت نتیجهگیری میکند که «تمام دستگاههای چند رسانهای، تلویزیونهای هوشمند، گوشیهای موبایل و سایر دستگاههایی که مکانیزم محافظتی لازم را ندارند، صرفنظر از میزان قوی بودن پسورد کاربر، اهداف آسانی برای این بدافزار هستند.»