کمیته رکن چهارم – به تازگی مشخص شده است که از ابتدای سال میلادی جاری بدافزاری موسوم بهLaziok با بهرهگیری از یک ضعف امنیتی قدیمی، سیستمهای شرکتهای فعال در بخش انرژی را هدف قرار داده است.
به گزارش کمیته رکن چهارم،این بدافزار نوعی ابزار شناسایی و جمع آوری اطلاعات است که نفوذگران را قادر میسازد تا تنظیمات و مشخصات سیستم قربانی را جمعآوری کرده و سپس بر اساس این اطلاعات، درباره ادامه اجرای عملیات نفوذ بر روی سیستم مورد نظر تصمیمگیری کنند.
این عملیات مخرب با ارسال یک هرزنامه (SPAM) از دامنهای با نام moneytrans[.]eu آغاز میشود. به هرزنامه، یک فایل Excel که حاوی ابزار بهرهجویی برای سوءاستفاده از ضعف امنیتی CVE-2012-0158 است، پیوست شده است.
در صورت آسیبپذیر بودن سیستم قربانی به این ضعف امنیتی، با باز شدن فایل، دستگاه آلوده شده و فایلهایی همنام پروسههای مجاز، اما در مسیری متفاوت، مطابق فهرست زیر ایجاد میشوند.
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\search.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\ati.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\lsass.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\smss.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\admin.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\key.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\taskmgr.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\chrome.exe
در ادامه نام کامپیوتر، فهرست نرمافزارهای نصبشده، اندازه حافظه، اندازه دیسک سخت و نام ضدویروس مورد استفاده دستگاه توسط بدافزار Laziok جمعآوری و سپس به نفوذگران ارسال میشود.
نفوذگران نیز در صورت با ارزش تشخیص دادن سیستم، بر اساس ضدویروس شناساییشده بر روی دستگاه قربانی، اقدام به ارسال بدافزارهایی سفارشیشده که قادر به فرار از سد آن ضدویروس خاص باشند، میکنند. بررسیها نشان میدهد که این بدافزارها بر روی سرورهایی که در آمریکا، انگلستان و بلغارستان قرار دارند میزبانی میشوند.
عمده شرکتهایی که هدف بدافزار Laziok قرار گرفتهاند در زمینه نفت، گاز و هلیوم فعالیت دارند که این موضوع نشان از علاقه گردانندگان این بدافزار به بخش انرژی دارد.
بیشترین آلودگیها از کشورهای خاورمیانه و برخی از کشورهای غربی گزارش شده است. امارات متحده عربی با ۲۵ درصد بیشترین سهم را در آلودگی به این بدافزار دارد.
ضعفی امنیتی CVE-2012-0158 که در این حملات از آن استفاده شده است مربوط به بخش ActiveX Control در سیستم عامل Windows میشود و حدود سه سال قبل شناسایی و ترمیم شده است. در ماه میلادی آوریل ۲۰۱۲ مدتی کوتاه پس از کشف شدن این نقطه ضعف، شرکت مایکروسافت اصلاحیه ای برای ترمیم آن منتشر کرد.
موفقیت این بدافزار نشان میدهد که پس از گذشت سه سال هنوز نیز تعداد زیادی دستگاه فاقد اصلاحیه های امنیتی لازم میباشند. از این ضعف امنیتی در حملات دیگری همچون Red October نیز استفاده شده است.
علیرغم معطوف بودن تمام توجهات به ضعفهای امنیتی جدید و ناشناخته () و روشهای پیچیده نفوذ نوین، خرابکاران سایبری در بسیاری مواقع سوءاستفاده از ضعف های قدیمی را برای دسترسی به شبکه و سیستمهای آسیب پذیر، ترجیح میدهند. هزینه هنگفت کشف ضعفهای امنیتی جدید و تاکنون ناشناخته که در عمل قابل سوء استفاده باشند و ساخت ابزار بهرهجو برای آنها، از جمله دلایل استفاده از ضعف های امنیتی قدیمی و شناخته شده توسط بدافزارنویسان و نفوذگران است.
توضیح اینکه نمونه های بدافزار مذکور توسط ضدبدافزار McAfeeبا نام های RDN/Generic Dropper وRDN/Generic.dx و با ضدبدافزار Bitdefender با نام های Trojan.GenericKD.2064588،Gen:Heur.MSIL.Androm.1 و Trojan.GenericKD.2070492 قابل شناسایی و پاکسازی می باشد.
منبع:رسانه خبری امنیت اطلاعات
