کمیته رکن چهارم – سازمانهای NSA و FBI هشداری جدی دربارهی یکی از بدافزارهای جدید لینوکس منتشر کردند و آن را تهدیدی برای امنیت ملی ایالات متحده دانستند.
سازمانهای امنیتی NSA و FBI در بیانیهای مشترک، تهدید هکرهای روسی را در سوءاستفاده از یکی از بدافزارهای لینوکس جدی خواندند. آنها در بیانیهشان به بدافزار لینوکسی ناشناختهای اشاره میکنند که ظاهرا با هدف نفوذ به شبکههای حساس سوءاستفاده میشوند. از کاربردهای سوء دیگر بدافزار میتوان به سرقت اطلاعات حساس و اجرای کدهای مخرب در شبکهها اشاره کرد.
گزارش جدید NSA و FBI جزئیات فنی زیادی دارد که برای گزارش منتشرشدهی نهادی امنیتی، نادر بهنظر میرسد. آنها به بدافزاری موسوم به Drovorub در لینوکس اشاره میکنند که قابلیتهای بسیار زیادی دارد و تاکنون ناشناخته بوده است. بدافزار مذکور به سرورهای فرمان و کنترلی متصل میشود که گروه GRU مدیر و مالک آن است. GRU آژانس امنیتی ارتش روسیه است که در یک دههی گذشته، در کمپینهای امنیتی متعدد و نفوذهای سایبری نقش ایفا کرده است. آمریکاییها این گروه را برای امنیت ملی کشور خود بسیار خطرناک میدانند. بیانیهی مشترک NSA و FBI مستقیما به GRU اشاره کرده و آنها را به نفوذ در جریان انتخابات سال ۲۰۱۶ نیز متهم میکند. بههرحال، سازمانهای امنیتی بیانیهی اخیر خود را متمرکز بر رفع تهدید گروه GRU میدانند.
بدافزار Drovorub ظاهرا از چهار بخش اصلی تشکیل شده است و قدرت بسیار زیادی در نفوذ به سیستمها دارد. در این بدافزار، کلاینتی را شاهد هستیم که دستگاههای لینوکسی را آلوده میکند. بخش دیگر بهصورت ماژول کرنل عمل میکند که با استفاده از روشهای روتکیت، با حفظ حضور خود در سیستم قربانی، خود را از لایههای امنیتی سیستمعامل و بخشهای امنیتی دیگر هم مخفی میکند. بخش دیگر سروری را شامل میشود که روی زیرساختهای مدیریتشدهی مجرم سایبری عمل و با دراختیارگرفتن سیستم آلوده، دادههای بهسرقترفته را دریافت میکند. کارگزاری نیز در فرایند عملیاتی Drovorub دیده میشود که با سوءاستفاده از سرورهای اشغالشده یا کامپیوترهای دراختیار هکرها، از آنها بهعنوان واسطی بین ماشینهای آلوده و سرورها استفاده میکند.
روتکیت بهنوعی بدافزار گفته میشود که در لایههای کرنل سیستمعامل نفوذ میکند. این نفوذ عمیق باعث میشود که سیستمعامل نتواند عملکردهای مخرب را در لایههای امنیتی ثبت کند. روتکیتها از انواع راهکار استفاده میکنند تا ابزارهای آنتیویروس نتوانند عملکرد مخرب را شناسایی و ثبت کنند. دراینمیان، بدافزار Drovorub عملکردی عمیق هم در سطح شبکه دارد تا تمامی ترافیک عبوری از آن را بررسی و حتی استخراج کند.
بدافزار Drovorub با دسترسیهای ریشههای بسیار عمیق فعالیت خود را انجام میدهد؛ درنتیجه مجرمان سایبری با سوءاستفاده از آن امکان کنترل کامل سیستم را کسب میکنند. درمجموع، این بدافزار آنقدر قابلیت و توانایی دارد که کارشناسان از لقب چاقوی سوئیسی برای تعریفش استفاده میکنند.
هکر با هودی مشکی پشت لپ تاپ در حال هک / Hacker
مقامهای دولت آمریکا ادعا میکنند نام Drovorub از رشتههای برنامهنویسی استخراج شده است. آنها عبارت Drovorub را ترکیبی از کلمات گوناگون میدانند که درنهایت، معنای «تکهکردن چوب» میدهد. البته محقق امنیتی دیگری بهنام دمیتری آلپرووتیچ که از سالها پیش روی فعالیتهای نفوذی روسیه تحقیق میکند، تفسیری متفاوت از نام Drovorub دارد. او با معنیکردن کلمهی Drova بهعنوان تعریفی برای کلمهی درایور در زبان روسی، بدافزار Drovorub را «قاتل درایورهای امنیتی» مینامد.
درصورت صحیحبودن ادعای آمریکاییها، بدافزار Drovorub به مجموعهی عظیم ابزارها و بدافزارهایی اضافه میشود که از هکرهای روسی از سالها پیش استفاده میکنند. از گروههای مشهور روسی میتوان به APT 28 اشاره کرد که ابزارهایی حرفهای برای نفوذ به شبکههای هدف داشتهاند. محققان امنیتی از نامهای گوناگونی همچون Fancy Bear ،Strontium ،Pawn Storm ،Sofacy ،Sednit و Tsar Team برای این تیم استفاده میکنند. محققان ادعا میکنند که گروه مذکور مناطق و سازمانهای مدنظر حکومت روسیه را هدف قرار میدهند.
مایکروسافت اوت ۲۰۱۹ گزارشی مبنیبر نفوذ گروههای هکر روسی و هک پرینترها و دستگاههای دیگر منتشر کرد. طبق گزارش ردموندیها، هکرها با سوءاستفاده از ابزارهای قربانی، به شبکههای اصلی دسترسی پیدا میکردند. در سال ۲۰۱۸ نیز، گزارش مشابهی از نفوذ گروه APT 28 به بیش از ۵۰۰ هزار روتر منتشر شد که محققان احتمال سوءاستفاده از آنها برای اهداف خرابکارانهی دیگر را بسیار زیاد میدانستند. بههرحال، گزارشهای بسیاری از نفوذهای گروه APT 28 وجود دارد که قدرت آنها را نیز ثابت میکند.
بیانیهی اخیر سازمانهای امنیتی ایالات متحده به دورهی زمانی سوءاستفادهی هکرها از بدافزار Drovorub اشارهای نمیکند. همچنین، مشخص نیست چه سازمانهایی در چه مناطقی با نفوذ و آلودگی بدافزار مواجه بودهاند. مقامها میگویند برای جلوگیری از نفوذ و آلودگی با بدافزار مذکور، بهترین راه همان بهروزرسانی امنیتی دستگاههای سازمانی است. آنها تأکید میکنند که سازمانها در سرورهای خود از لینوکس با کرنل ۳/۷ به بعد استفاده کنند تا از جدیدترین لایههای امنیتی در برابر مجرمان سایبری بهرهمند شوند. استفاده از سیستمهای تشخیص نفوذ Yara و Snort هم در بیانیهی سازمانهای امنیتی پیشنهاد میشود. بیانیهی ۴۵ صفحهای FBI و NSA جزئیات بسیار زیادی دارد که آن را به بیانیههای امنیتی شرکتهای خصوصی شبیه میکند. بههرحال، بسیاری از کارشناسان آن را یکی از بیانیههای نادر سازمانهای دولتی درزمینهی امنیت سایبری میدانند.
منبع: زومیت