کمیته رکن چهارم – یک باتنت
به نام ZeroAccess پس از دوبار از کار افتادن توسط محققان امنیتی و نهادهای قانونی، از خواب شش ماهه بیرون آمده است.
به گزارش کمیته رکن چهارم به نقل از ماهر , ZeroAccess که با عنوان Sirefef نیز شناخته میشود، در سال ۲۰۱۳ و در نقطه اوج خود از بیش از ۱٫۹ میلیون سیستم آلوده تشکیل شده بود که عمدتاً برای جعل کلیک و بیتکیت ماینینگ مورد استفاده قرار میگرفت.
این موضوع تا زمانی ادامه داشت که محققان امنیتی سایمانتک یک نقص در معماری این باتنت پیدا کردند. این معماری به اعضای باتنت اجازه میداد فایلها، دستورات و اطلاعات را بدون نیاز به سرورهای مرکزی دستور و کنترل، با یکدیگر جابهجا کنند. این سرورها در حقیقت پاشنه آشیل اغلب باتنتها هستند.
سایمانتک بیش از نیم میلیون کامپیوتر را در جولای ۲۰۱۳ از ZeroAccess جدا کرد و با کمک ISP ها و CERT ها به پاکسازی آنها کمک کرد.
در ماه دسامبر همان سال افبیآی، یوروپل، مایکروسافت و چندین شرکت امنیتی عملیات دیگری برای زمینگیر کردن این باتنت انجام دادند. اپراتورهای این باتنت یک بهروز رسانی برای سیستمهای آلوده ارسال کردند که حاوی پیغام «پرچم سفید» بود.
واحد جرایم دیجیتالی مایکروسافت در آن زمان در وبلاگ خود نوشت: «ما بر این اعتقاد هستیم که این عمل به صورت سمبلیک بدین معناست که مجرمان تصمیم گرفتهاند کنترل این باتنت را واگذار نمایند».
این موضوع چندان طول نکشید. مجرمان سایبری این باتنت را مجدداً بین تاریخهای ۲۱ مارس و ۲ جولای ۲۰۱۴ فعال کرده و مورد استفاده قرار دادند. اما از آن زمان تا کنون این باتنت در سکوت فرو رفته بود.
اما محققان Dell SecureWorks روز چهارشنبه اعلام کردند که این باتنت روز ۱۵ ژانویه مجدداً فعال شد و شروع به انتشار تمپلیتهای جعل کلیک برای سوء استفاده از سیستمها نمود.
برای جعل کلیک، بدافزار تبلیغات را بر روی سیستمهای آلوده نمایش میدهد و روی آنها کلیک میکند و این کلیکها را به عنوان کاربر معتبر و واقعی پوشش میدهد تا به این وسیله برای صاحبان باتنت، کسب درآمد نماید.
محققان Dell SecureWorks بین روزهای ۱۷ تا ۲۵ ژانویه، ۵۵۲۰۸ آدرس آیپی یکتا را مشاهده کردهاند که در این باتنت مشارکت میکنند. از این تعداد ۳۸۰۹۴ آیپی متعلق به سیستمهای ویندوز ۳۲ بیتی و ۱۷۱۱۴ آیپی متعلق به سیستمهای ویندوز ۶۴ بیتی بوده است.
منبع :ماهر
