در یک عملیات تحقیقاتی پیچیده نویسنده بدافزار Mirai شناسایی شد

کمیته رکن چهارم – سرانجام پس از ماه‌ها جمع‌آوری اطلاعات و مستندات در ارتباط با نویسنده بدافزار Mirai موفق شدم از شخصی به نام عمار زوبری اطلاعاتی را در ارتباط با پاراس جی‌ها به دست آورم. زوبری در این ارتباط به من گفت که جی‌ها مسئولیت بات‌نت Mirai  و حمله منع سرویس انکار شده بر علیه دانشگاه راتگرز را پذیرفته است. زوبری گفته است اولین بار در سال ۲۰۱۵ و در دانشگاه راتگرز با جی‌ها ملاقات داشتم و در همان زمان بود که جی‌ها با افتخار به من گفت که چند سرویس حمله منع سرویس توزیع شده را به صورت کامل پیاده‌سازی کرده است. به نظر می‌رسد که جی‌ها تنها به دنبال آن بوده است تا بداند عمق این حملات تا به کجا می‌توانند پیش روی کنند.

به گزارش کمیته رکن چهارم،اگر به یاد داشته باشید، چند ماه قبل سایت پژوهشگر معروف حوزه امنیت برایان کربس در شرایطی تحت حمله منع سرویس انکار شده قرار گرفت که این کارشناس خود از یک مکانیزم دفع حملات DDoS استفاده می‌کرد. این پژوهشگر از آن زمان تا به امروز به دنبال آن بود تا نویسنده بدافزار Mirai را شناسایی کند. پس از ماه‌ها تحقیق گسترده در این زمینه او موفق شد نویسنده بدافزار Mirai (آنا سنپایی) را شناسایی کند. اما این تمام ماجرا نیست و این نام تنها یک اسم مستعار است.

بات‌نت Mirai که کدهای اصلی آن نیز در فصای مجازی منتشر شده است در چند ماه اخیر نگاه بسیاری از رسانه‌ها را به خود جلب کرد. این بدافزار با استفاده از دستگاه‌های اینترنت اشیا و عمدتا دوربین‌های نظارتی تحت شبکه قادر بود یک حمله منع سرویس توزیع شده عظیم را به وجود آورد. همان حمله‌ای که سرویس DNS شرکت داین را درنوردید و باعث شد برای چند ساعت اختلال شدیدی در دسترسی به سایت‌های خاص به وجود آید. توییتر، آمازون، نتفلیکس تنها چند نمونه از سایت‌های مشهوری بودند که به واسطه این حمله به مدت چند ساعت از دسترس خارج شدند و بدتر آن‌که مالکان این سایت‌ها در ارتباط با این حمله کار چندان خاصی نمی‌توانستند انجام دهند.

در اکتبر مصادف با مهرماه بود که کدهای اصلی این بدافزار به شکل همگانی منتشر شد و درست از همان زمان کربس تصمیم گرفت به سراغ انجمن معروف نفوذگران به نام Hackforum رفته و این کدها را تحلیل کند. در این تحلیل مشخص شد یکی از کاربران این انجمن موسوم به آنا سنپایی لینکی را به اشتراک قرار داده بود که به کدهای اصلی بدافزار Mirai اشاره می‌کرد. کربس در این ارتباط گفته است: «کدهای اصلی مربوط به این بدافزار به زبان انگلیسی روز جمعه در انجمن Hackforums منتشر شد. نام این بدافزار Mirai بود و به طور مستمر دستگاه‌های اینترنت اشیا آسیب‌پذیر را مورد اسکن قرار می‌داد. دستگاه‌هایی که به طور پیش فرض از گواهی‌نامه‌های کارخانه، نام کاربری و گذرواژه‌های هاردکد (hard-coded) استفاده می‌کردند.»

بدافزار Mirai با هدف آلوده‌سازی دستگاه‌های اینترنت اشیا از طریق تنظیمات ارائه شده از سوی کارخانه‌ها طراحی شده بود. این بدافزار درست از همان نقطه ضعفی که امروزه در بسیاری از دستگاه‌ها قرار دارد استفاده کرده بود. کربس بر این باور است که هویت واقعی آنا سنپای که برای اولین بار لینک مربوط به Mirai را به اشتراک قرار داده بود را شناسایی کرده است. کربس در این خصوص گفته است: «نام واقعی این شخص پاراس جی‌ها است. جی‌ها مالک یک شرکت امنیتی به نام ProTraf است. فعالیت اصلی این شرکت در ارتباط با کاهش تهدیداتی است که از سوی حملات منع سرویس انکار شده رخ می‌دهد.»

 کربس در ارتباط با این ادعا در سایت خود نوشته است: «سرانجام پس از ماه‌ها جمع‌آوری اطلاعات و مستندات در ارتباط با نویسنده بدافزار Mirai موفق شدم از شخصی به نام عمار زوبری اطلاعاتی را در ارتباط با پاراس جی‌ها به دست آورم. زوبری در این ارتباط به من گفت که جی‌ها مسئولیت بات‌نت Mirai  و حمله منع سرویس انکار شده بر علیه دانشگاه راتگرز را پذیرفته است. زوبری گفته است اولین بار در سال ۲۰۱۵ و در دانشگاه راتگرز با جی‌ها ملاقات داشتم و در همان زمان بود که جی‌ها با افتخار به من گفت که چند سرویس حمله منع سرویس توزیع شده را به صورت کامل پیاده‌سازی کرده است. به نظر می‌رسد که جی‌ها تنها به دنبال آن بوده است تا بداند عمق این حملات تا به کجا می‌توانند پیش روی کنند.» کربس در بخشی از تحقیقات خود کشف کرد که آنا سنپایی از نام مستعار Ogmemes123123 و آدرس ایمیل ogmemes123123@gmail.com و همچنین نام مستعار OG_Richard_Stallmann نیز استفاده کرده است. از این آدرس ایمیل برای ساخت یک حساب‌ کاربری در فیسبوک نیز استفاده شده است.

حساب کاربری OG_Richard_Stallman در سال ۲۰۱۵ و درست همان زمان که جی‌ها در رشته مهندسی کامپیوتر در دانشگاه راتگرز به تحصیل مشغول بود ساخته شده است. در همان سال سامانه‌های دانشگاه راتگرز در معرض حملات منع سرویس توزیع شده قرار گرفتند و به فاصله کوتاهی شخص ناشناسی به مسئولان دانشگاه پیشنهاد داده بود تا از یک محصول جامع برای دفع حملات منع سرویس انکار شده استفاده کنند. کربس در تحقیقات خود متوجه شد که جی‌ها در صفحه لینکدین یک پروفایل ساخته است. او در این صفحه به مهارت‌‌هایی اشاره کرده است که آنا سنپایی در انجمن هکری HackForums نیز به این مهارت‌ها اشاره کرده است.

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.