ترفند جدید آلوده‌ترین بات‌نت اینترنتی

کمیته رکن چهارم – هکرهای سازنده بات‌نت TrickBot، رایانه‌های قربانیانشان را به صورت کامل بررسی می‌کنند تا میان‌افزارهای آسیب‌پذیر را شناسایی کرده و به این ترتیب تا مدت‌ زمان طولانی و بدون امکان شناسایی بتوانند به فعالیت های مخرب خود ادامه دهند.

در ماه های اخیر، بات‌نت TrickBot به دشمن شماره یک جامعه امنیت سایبری تبدیل شده است. این بات‌نت توانست در برابر تلاش‌های مایکروسافت، گروهی از شرکت‌های امنیتی و حتی فرماندهی سایبری ایالات متحده آمریکا مقاومت کند. حالا به نظر می‌رسد طراحان این حمله به دنبال فن جدیدی برای آلوده کردن عمیق‌ترین بخش‌های سیستم‌ها، دسترسی به بخش‌هایی فراتر از سیستم ‌عامل و حتی میان‌افزار آن هستند.

شرکت‌های امنیت سایبری AdvIntel و Eclypsium اعلام کرده اند قابلیت جدیدی در این بات‌نت پیدا کرده اند که هکرها از آن برای آلوده کردن سیستم‌ها استفاده می‌کنند. این ماژول که به‌ ­تازگی شناسایی شده، به هکرها امکان می‌دهد رایانه‌های قربانیانشان را بررسی و آسیب‌پذیری‌های آنها را شناسایی کنند.

همچنین این امکان را در اختیار مجرمان سایبری قرار می دهد که یک در پشتی نیز در Unified Extensible Firmware Interface (UEFI) که مسئول بارگذاری سیستم‌ عامل است، نصب نمایند. از آنجا که UEFI روی یکی از تراشه‌های مادربورد و خارج از ‌هارد درایو سیستم قرار دارد، نصب کد مخرب در آن به TrickBot امکان می‌دهد از شناسایی شدن توسط بیشتر نرم افزارهای آنتی ویروس، به‌روزرسانی‌های نرم‌افزاری یا حتی پاکسازی کامل و نصب مجدد سیستم‌ عامل جلوگیری کند. همچنین احتمال استفاده از آن برای ایجاد نقص در عملکرد سیستم قربانی و تخریب میان‌افزار آن هم وجود داشته تا حدی که ممکن است نیاز به تعویض مادربورد باشد.

به گفته Vitali Kremez محقق امنیت سایبری و مدیرعامل AdvIntel، استفاده از این فن توسط عاملان TrickBot که محققان آن را “TrickBoot” نامیده‌اند، این گروه را تبدیل به اولین گروه غیردولتی می‌کند که بدافزارهای مخصوص UEFI را پیاده سازی و اجرا کرده‌اند.

TrickBoot یک ابزار مخرب کاملاً جدید در دست گروهی از مجرمان است که پیش از این هم با انواع باج‌افزارها، سازمان‌ها را هدف گرفته و با هکرهای کره شمالی همکاری کرده بود. Kremez می‌گوید: «این گروه به دنبال روش‌های جدیدی برای حضور همیشگی روی سیستم‌ها و مقاومت در برابر انواع به‌روزرسانی‌ها و نفوذ به هسته میان‌افزار است و اگر بتواند با موفقیت به میان‌افزار سیستم قربانی نفوذ کند، امکان انجام کارهای زیادی از جمله خرابکاری در سیستم تا تصاحب کامل کنترل آن را خواهد داشت».

با وجود آنکه TrickBoot و UEFI آسیب‌پذیر هستند اما محققان تاکنون هیچ کد مخربی را مشاهده نکرده‌اند که منجر به استفاده از این آسیب‌پذیری شود. Kremez بر این باور است که به احتمال زیاد هکرها پی‌لود هک میان‌افزار را فقط روی بعضی از سیستم‌های آسیب‌پذیر دانلود می‌کنند. به گفته او: «ما تصور می‌کنیم که آنها اهداف ارزشمندی را برای خودشان انتخاب می‌نمایند».

محققان معتقدند که هکرهای TrickBot به عنوان یکی از خطرناک‌ترین گروه‌های سایبری در اینترنت به شهرت زیادی رسیده‌اند. بات‌نت این گروه بیش از ۱ میلیون سیستم را در اختیار گرفت و از آن برای اجرای حملات باج‌افزاری مثل Ryuk و Conti در شبکه‌های مختلف از جمله شبکه‌های بیمارستانی و مؤسسات تحقیقات پزشکی استفاده شده بود.

این بات‌نت به اندازه‌ای مخرب است که مراحل و اقدامات مقابله با آن در دو عملیات مجزا صورت گرفت. یکی از این عملیات‌ها توسط گروهی متشکل از شرکت‌های مختلف مثل مایکروسافت، ای‌ست، سیمانتک و Lumen Technologies اجرا شد تا از حکم دادگاه برای قطع دسترسی TrickBot به سرورهای فرماندهی و کنترل آن در آمریکا استفاده کند. عملیات دیگری هم توسط مرکز فرماندهی سایبری آمریکا که با این بات‌نت هک شده بود، اجرا شد. در عملیات دوم، فایل‌های پیکربندی جدیدی به رایانه‌های هک شده ارسال می­ شد تا ارتباط آنها با عوامل بات‌نت TrickBot قطع شود. هنوز مشخص نیست هکرها تا چه میزان در بازسازی TrickBot موفق بوده اند.

Kremez از شرکت AdvIntel در یک نمونه از TrickBot که طراحی ماژولار آن امکان دانلود اجزای جدید برای این بدافزار را بر روی سیستم قربانی فراهم می‌کند و مدتی پیش با آن برخورد کرده، متوجه اضافه شدن قابلیت‌های جدید به بدافزار مربوطه شده است. او معتقد است که این تلاش‌ها بخشی از عملیات عوامل TrickBot برای حفظ این بدافزار بر روی سیستم‌های آلوده تا طولانی‌­ترین زمان ممکن باشد. به گفته Kremez، «از آنجا که کل جهان، عملکرد این بدافزار را تحت نظارت دارند، این گروه تعداد زیادی از بات‌های خودش را از دست داده است. بنابراین مجبور به مخفی کردن بدافزارهایش شده و به همین دلیل، متمرکز بر طراحی این ماژول شده است».

پس از تعیین کدهای جدیدی که برای هدف قرار دادن میان‌افزار طراحی شده بودند، Kremez این ماژول را در اختیار شرکت Eclypsium که در زمینه امنیت میان‌افزار و ریزمعماری تخصص دارد، قرار داد. تحلیلگران شرکت Eclypsium متوجه شدند که این بخش جدید، میان‌افزار سیستم قربانی را تغییر نمی‌دهد بلکه آسیب‌پذیری‌های UEFI اینتل را جستجو می‌کند. شرکت‌هایی که از میان‌افزار UEFI شرکت اینتل استفاده می‌کنند، معمولاً بعضی از بیت‌های کد که برای جلوگیری از دستکاری طراحی شده‌اند را تنظیم نمی‌کنند.

Eclypsium تخمین می‌زند که این مشکل در ده‌ها یا حتی صدها میلیون رایانه وجود داشته باشد. این محقق ارشد می‌گوید: «مهاجمان می‌توانند سیستم‌های آسیب‌پذیر را شناسایی کرده و حملات پایدارتر و مبتنی بر میان‌افزار را بر ضد آنها اجرا کنند. این قابلیت برای چنین کمپین گسترده‌ای که احتمالاً هدف اصلی آن نصب باج‌افزار، ایجاد نقص در سیستم‌ها و حضور دائمی در محیط‌های مختلف است، بسیار مفید و کارآمد می باشد».

Eclypsium و AdvIntel بر این باورند که احتمالاً TrickBot همین حالا هم میان‌افزار بعضی از سیستم‌ها را تغییر داده است. البته آنها چنین موردی را به صورت مستقیم مشاهده نکرده اند. Michaels با اشاره به تراشه فلش SPI که UEFI رایانه در آن ذخیره می‌شود، می‌گوید: «با یک بایت یا یک خط تغییر در کد می‌توان فلش را پاکسازی کرد یا به جای خواندن از روی فلش، فقط بر روی آن نوشت».

محافظت در برابر بات‌نت TrickBot

برای مقابله با TrickBot باید به بخش‌هایی از رایانه‌های آسیب‌پذیر که معمولاً نادیده گرفته می‌شوند، توجه داشت. Eclypsium و AdvIntel به شرکت‌ها توصیه کرده اند که میان‌افزار رایانه‌هایشان را بررسی کرده تا بتوانند آسیب‌پذیر بودن آنها را مشخص کنند. همچنین هر زمانی که کد جدیدی برای میان‌افزار منتشر می شود می بایست آن را نصب کرده و مهمتر از همه اینکه در صورت شناسایی آلودگی‌های TrickBot بررسی نمایند آیا میان‌افزار سیستم‌ها دستکاری شده است یا خیر.

لازم به ذکر است در گذشته نیز هک میان‌افزار مشاهده شده بود و گروه‌های دولتی مختلف با پشتیبانی از سازمان سیا، گروه Fancy Bear روسیه و یک گروه چینی از آنها استفاده کرده بودند. با این حال، Eclypsium و AdvIntel معتقدند که در حال حاضر هک میان‌افزار از حملات هدفمند دولتی به سمت هک‌هایی با اهداف اقتصادی تغییر رویکرد داده است. این موضوع یعنی مجموعه قربانیان احتمالی که باید توجه ویژه‌ای به میان‌افزار سیستم‌هایشان داشته باشند، بسیار بیشتر شده است.

یکی از محققان امنیت سایبری Eclypsium در این خصوص می‌گوید: «در یک محیط سازمانی همه این آسیب‌پذیری‌ها وجود دارد و احتمال آلوده شدن سیستم‌های سازمانی به TrickBot در سه ماه آینده بسیار بالا است. بنابراین سازمان­‌ها و مدیران ارشد باید مراقب باشند».

منبع : فراست