کمیته رکن چهارم – همان کیت بدافزاری که برای حملات باجافزار «گریه» مورد استفاده قرار میگیرد و شاهد هستیم در چند روز اخیر بسیار خبرساز شده، در حملهی دیگری ماه گذشته نیز استفاده شده است. به نظر میرسد ابعاد حملهای که از ماه قبل آغاز شده، بزرگتر نیز شده باشد.
به گزارش محققی از پروفپوینت، این حمله از همان کیت بهرهبرداری EternalBlue متعلق به آژانس امنیت ملی آمریکا استفاده میکند و از یک دربِ پشتی دیگر با نام DoublePulsar نیز بهره میبرد. هر دوی این ابزارها متعلق به آژانس امنیت ملی آمریکا بوده و توسط گروه نفوذ Shadow Brokers از این سرویس اطلاعاتی به سرقت رفته و افشاء شده است. در حملهی قدیمیتر، بجای نصب باجافزار، یک نرمافزار استخراجِ ارز مجازی بر روی ماشین قربانی با نام Adylkuzz WannaCry نصب میشود.
براساس پیشبینیهای محققان امنیتی، این حمله از ۲۴ آوریل تا ۲ ماه می انجام شده است. مانند باجافزار «گریه»، این پویش نیز در روند توزیع، فعال بوده است چرا که بر روی بسیاری از سامانههای مایکروسافت ویندوز، آسیبپذیری موجود در سرویس SMB وصله نشده بود. محقق امنیتی پروفپوینت توضیح داد: «زمانی که آلودگی به باجافزار گریه را مورد بررسی قرار میدادیم، با یک ماشین در آزمایشگاه مواجه شدیم که دارای آسیبپذیری SMB بود و ما فکر میکردیم به این باجافزار آلوده شده است. پس از بررسی متوجه شدیم یک برنامهی استخراجِ ارز مجازی بیسروصدا بر روی ماشین نصب شده است.» به نظر میرسد این حملات از روی چند کارگزار خصوصی مجازی انجام شده و بهطور مداوم اینترنت را برای کشف درگاههای آسیبپذیرِ ۴۴۵ پویش میکنند.
وقتی یک ماشین توسط ابزار EternalBlue مورد بهرهبرداری قرار میگیرد، در ادامه به ابزار DoublePulsar آلوده میشود. در ادامه نیز دربِ پشتی، نرمافزار Adylkuzz را از ماشین دیگر بارگیری و اجرا میکند. این نرمافزار ابتدا نمونههای مشابه به خود را از روی ماشین آلوده حذف میکند، درگاههای SMB را برای جلوگیری از آلودگیها بیشتر مسدود کرده و دستورات مربوط به استخراجِ ارز را دریافت میکند.
با این توضیحات، ممکن است فردی فکر کند سامانهی او آسیبپذیر بوده و در جریان حملاتی که از روز جمعه آغاز شده، به باجافزار گریه آلوده شده است ولی در حالیکه ممکن است سامانهی او تحت تأثیر حملهی دیگر که همان استخراجِ ارز مجازی است، قرار گرفته باشد. بهعبارت دیگر، حملهی استخراجِ ارز مجازی ممکن است سرعت توزیع و گسترش باجافزار گریه را کاهش داده باشد چرا که درگاههای SMB را برای جلوگیری از آلودگیهای بیشتر مسدود میکند.
در پویش استخراجِ ارز مجازی، بدافزار مربوطه به استخراج Monero میپردازد که گفته میشود بهطور کامل گمنامی کاربر را حفظ میکند. در مقایسه با بیتکوین که بسیار معروف است، این ارز مجازی مانند بیتکوین به راحتی قابل رهگیری نیست. اینکه یک باتنت برای استخراج ارز مجازی، هفتهها توانسته ناشناخته باقی بماند برای مهاجمان سایبری دستاورد بسیار بزرگی است. سؤالی که اینک میتوان پرسید این است: دیگر چه گروههایی از اطلاعات آژانس امنیت ملی آمریکا استفاده کرده و دست به حملات مختلف زدهاند؟
