بدافزار GoScanSSH کارگزارهای SSH را هدف قرار می‌دهد

کمیته رکن چهارم – پژوهش‌گران یک خانواده‌ی جدید از بدافزارها با نام GoScanSSH را شناسایی کرده‌اند که کارگزارهای عمومی SSH را هدف قرار می‌دهد، اما از هدف قرار دادن آدرس‌های IP دولتی و نظامی اجتناب می‌کند.

به گزارش کمیته رکن چهارم،به گفته‌ی سیسکو تالوس، این بدافزار که برای اولین بار در ماه ژوئن سال ۲۰۱۷ میلادی شناسایی شده است، ویژگی‌های منحصربه‌فردی دارد. برای مثال، در زبان برنامه‌نویسی (Go (Golang نوشته شده و از هدف قرار دادن سامانه‌های نظامی اجتناب می‌کند.

پژوهش‌گران گفتند که بردار آلودگی مربوط به بدافزار GoScanSSH، یک حمله‌ی فراگیر علیه کارگزارهای قابل دسترسی SSH است که براساس گذرواژه، به احراز هویت SSH اجازه می‌دهد. پژوهش‌گرانی که در گزارش تالوس همکاری داشته‌اند، گفتند: «این حملات نشان می‌دهند که کارگزارهای قابل دسترسی، چگونه در معرض خطر دائمی از سوی مجرمان سایبری قرار دارند.»

پژوهش‌گران سیسکو تالوس گفتند: «وقتی مهاجم مشخص کند که آدرس IP انتخاب شده، هدف مناسبی است، این بدافزار با تلاش برای اعتبارسنجی به سامانه، برای به‌دست آوردن گواهی‌نامه‌های SSH تلاش می‌کند.» آن‌ها گفتند که مهاجمان از یک پرونده‌ی ورد حاوی بیش از ۷ هزار نام کاربری و گذرواژه استفاده می‌کنند.

پژوهش‌گران گفتند که ترکیب نام کاربری و گذرواژه‌ی مورد استفاده، نشان می‌دهد که مهاجمان با گواهی‌نامه‌های ضعیف یا پیش‌فرض بر روی دستگاه‌های مبتنی بر لینوکس، کارگزارهای SSH را هدف قرار می‌دهند. بر اساس گواهی‌نامه‌های مورد استفاده، آن‌ها معتقدند که دستگاه‌های OpenELEC، رسپبری پای، دستگاه‌های اپل و هواوی جیلبریک شده، از اهداف مهم این بدافزار هستند.

سیسکو تالوس اعلام کرد که ۷۰ نمونه‌ی بدافزار منحصربه‌فرد از خانواده‌ی GoScanSSH را شناسایی کرده است. در هر نمونه از بدافزار، از باینری‌های کامپایل شده‌ی خاصی برای پشتیبانی از سامانه عامل‌های هدف که از خانواده‌های ریزپردازنده‌ی x۸۶، x۸۶_۶۴، ARM و MIPS۶۴ استفاده می‌کنند، استفاده می‌شود.

پژوهش‌گران سیسکو هشدار دادند: «تالوس همچنین چندین نسخه‌ی فعال از این بدافزار (برای مثال، نسخه‌های ۱٫۲٫۲، ۱٫۲٫۴، ۱٫۳٫۰ و غیره) را در دنیای واقعی مشاهده کرده است که نشان می‌دهد این تهدید به‌صورت پیوسته، توسط مهاجمان توسعه و بهبود می‌یابد.»

در آلودگی‌های قبلی، بدافزار ابتدا تلاش می‌کند تا با انجام تعدادی از محاسبات درهم‌سازی در فواصل زمانی مشخص، از قدرت پردازشی کارگزار مطلع شود. پژوهش‌گران سیسکو هیچ توضیحی برای اینکه چرا مهاجمان به دنبال سامانه‌های قدرتمند هستند، ارائه نکردند. به‌طور معمول، این نوع داده‌ها در عملیات‌‌‌های استخراج ارز مجازی مورد نیاز است، اما دستگاه‌های اپل و هواوی جیلبریک شده و سامانه‌های رسپبری پای، توان پردازشی بالایی نداشته و اهداف مهاجم مشخص نیست.

داده‌های انتقالی میان میزبان آلوده و کارگزار دستور و کنترل مهاجم، از طریق سرویس پروکسی Tor۲Web منتقل می‌شوند. تالوس گفت: «این سرویس به دستگاه‌ها اجازه می‌دهد تا بدون نصب کلاینت TOR، به منابع میزبان بر روی TOR دسترسی داشته باشند. با استفاده از سرویس پروکسی Tor۲Web، مهاجم می‌تواند بدون نیاز به اضافه کردن قابلیت‌های بیشتر TOR به بدافزار خود، زیرساخت‌های کارگزار دستور و کنترل خود را بر روی شبکه‌ی TOR میزبانی کند.»

پژوهش‌گران گفتند که قابلیت اصلی بدافزار GoScanSSH، شناسایی کارگزارهای SSH آسیب‌پذیر است. تالوس معتقد است که مهاجم برای سامانه‌ی آسیب‌دیده، یک کد باینری جدید را کامپایل خواهد کرد تا میزبان جدید را آلوده کند و این روند در سامانه‌ی جدید آلوده شده، تکرار خواهد شد.

منبع:threatpost