کمیته رکن چهارم – عوامل باجافزار DarkSide مدتی پیش یک حمله گسترده را بر ضد خط لوله Colonial که بزرگترین خط لوله در آمریکا است، اجرا کردند. بر اثر اجرای این حمله، بخشهای جنوب شرقی آمریکا با کمبود جدی سوخت مواجه شده و دولت این کشور نیز فشار بسیار زیادی را متحمل شد. سرانجام پس از تلاش بیوقفه تیمهای امنیتی، دسترسی عوامل باجافزار DarkSide به سرورها قطع شده و عملیات آنها به صورت کامل متوقف شد. همچنین این گروه، ۶۳ بیتکوین (به ارزش ۴ میلیون دلار) از ۷۵ بیتکوینی را که از قربانیان خود دریافت نموده بود به FBI بازگرداند.
با این حال یک الگوریتم رمزنگاری که در ابزاری رمزگشا مورد استفاده قرار میگیرد نشان میدهد که عوامل باجافزار DarkSide دوباره با یک عملیات جدید تحت عنوان باجافزار “BlackMatter” فعالیت خود را از سر گرفته و در حال تدارک دیدن حملات خطرناک بر ضد سازمانها هستند. بر اساس نتایج تحقیقات مدافعان سایبری، عوامل باجافزار BlackMatter به صورت مستمر به قربانیان مدنظرشان حمله کرده و امکان دسترسی به شبکهها را از سایر گروههای باجافزاری میگیرند.
بر اساس گزارشهای منتشر شده در وبسایت :BleepingComputer «عوامل باجافزار BlackMatter چندین نهاد مختلف را مورد هدف قرار داده و از آنها درخواست پرداخت ۳ تا ۴ میلیون دلار باج کردهاند. البته یکی از قربانیان به درخواست آنها پاسخ مثبت داده و حدود ۴ میلیون دلار باج پرداخت کرده است. مهاجمان هم اطلاعات به سرقت رفته آن را پاکسازی نموده و کلید رمزگشایی ESXi را برای سیستم عاملهای ویندوز و لینوکس در اختیار آن قرار داده اند.
شباهت فرایند رمزنگاری BlackMatter با DarkSide
BleepingComputer در زمان انجام تحقیقات درباره این باجافزار جدید، رمزگشای دریافت شده از عوامل BlackMatter را با یکی از کارشناسان باجافزار به نام “Fabian Wosar” به اشتراک گذاشت. این کارشناس امنیتی پس از تحلیل رمزگشای مربوطه به این نتیجه رسید که در BlackMatter از روشهای مشابه در باجافزار DarkSide استفاده شده است. او در این خصوص میگوید: «من پس از بررسی کدهای رمزگشای BlackMatter متوجه شدم که DarkSide با یک نام جدید فعالیت خود را از سر گرفته و در هر دو باجافزار از الگوریتمهای یکسانی استفاده شده است».
بنا بر گفته Wosar: «روش رمزنگاری مورد استفاده توسط BlackMatter دقیقاً شبیه روش DarkSide است. برای مثال هر دو باجافزار از ماتریس سالسا ۲۰ در کدهای خود استفاده کردهاند».
در هنگام رمزنگاری دادهها با استفاده از ماتریس سالسا ۲۰، طراح کد ابتدا یک ماتریس اولیه را که از شانزده کلمه ۳۲ بیتی تشکیل شده است در اختیار الگوریتم این ماتریس قرار میدهد. DarkSide اطلاعات مربوط به فایلهای رمزنگاری را در ماتریس سالسا ۲۰ با کلمات تصادفی پر میکند. سپس این ماتریس با استفاده از یک کلید عمومی RSA، رمزنگاری شده و در پسایند (Footer) فایل رمزنگاری شده ذخیره میشود. DarkSide هرگز با استفاده از رشتههای ثابت و کلیدهای معین، فایلهای رمزنگاری را پر نمیکند.
Wosar میگوید: «این شیوه رمزنگاری خاص و همچنین یک پیادهسازی ویژه RSA 1024 فقط توسط DarkSide و BlackMatter استفاده شده است».
اگرچه این شواهد به طور قطعی نمیتوانند ثابت کنند که عملیات BlackMatter و DarkSide یکسان هستند ولی استفاده از الگوریتمهای رمزنگاری یکسان، زبان مشابه در تمام وبسایتهای BlackMatter و DarkSide، تلاشهای شبیه به هم برای جلب توجه رسانهها و همچنین استفاده از رنگهای مشابه در وبسایتهای تور مربوط به عملیات این باجافزارها میتوان نتیجه گرفت که هر دو باجافزار یکسان هستند.
همچنین تغییر برند از DarkSide به BlackMatter شاید به این معنا باشد که این گروه دیگر قصد حمله بر ضد صنعت نفت و گاز را ندارند زیرا عملیات DarkSide پس از مورد هدف قرار دادن این صنعت کلاً متوقف شد. در هر صورت این گروه باجافزاری متأسفانه تخصص بسیار زیادی داشته و معماریهای مختلفی از جمله سرورهای ESXi، ویندوز و لینوکس را مورد هدف قرار میدهد. از این رو مدافعان سایبری باید گروه باجافزاری جدید BlackMatter را زیرنظر داشته باشند پیش از اینکه نهادهای مهم و برجسته مورد هدف حملات مخرب آنها قرار گیرد.
منبع: فراست
