ابزار نفوذ برای کشف آسیب‌پذیری تزریق SQL در وب‌گاه‌ها که با تلگرام کنترل می‌شود

کمیته رکن چهارم – یک ابزار نفوذ در بازارهای زیرزمینی وب تاریک مشاهده شده که از روی دستگاه تلفن همراه و با استفاده از پیام‌رسان تلگرام کنترل می‌شود. این ابزار پتانسیل این را دارد که وب‌گاه‌های زیادی را در مقیاس بسیار بالا برای کشف آسیب‌پذیری تزریق SQL مورد پویش قرار دهد. 

این پویشگر آسیب‌پذیری کاتیوشا نام داشته و ترکیبی از ابزار تست نفوذِ متن‌باز با نام Anarchi و پیام‌رسان تلگرام است. این ابزار از زمانی‌که معرفی شده ۷ بار به‌روزرسانی شده است. در حال حاضر نیز نسخه‌های حرفه‌ای و لایت آن به قیمتی مابین ۲۵۰ تا ۵۰۰ دلار به فروش می‌رسد. 

محققانی که این ابزار را در حین فروش شناسایی کردند، از بردن نام فروشگاهی که در آن به فروش می‌رسید امتناع کردند. آن‌ها گفتند مقامات قضایی و نهادهای قانونی را در جریان قرار داده‌اند. آن‌ها اعلام کردند فروشنده‌ی این ابزار، فردی بود که به زبان روسی صحبت می‌کرد و در یکی از انجمن‌های برتر روسیه حضور داشت. محققان اعلام کردند این فروشنده به سرقت و فروش اطلاعات از وب‌گاه‌های تجاری مشهور است.

محققان گفتند استفاده از این ابزار بسیار آسان است. کافی است مهاجم یک کارگزار وب را راه‌اندازی کرده و بر روی آن نسخه‌ای از پویشگر Anarchi را داشته باشد. در ادامه نیز کافی است تا برای کنترل آن، پیوند مربوط به یک حساب تلگرام را وارد نماید. این پیوند اجازه می‌دهد تا عملیات پویش از روی دستگاه تلفن همراه قابل کنترل باشد. 

در ادامه فردی که می‌خواهد این ابزار را خریداری کند، فهرستی از وب‌گاه‌های مورد نظر خود را برای حمله انتخاب می‌کند و از طریق تلگرام آن‌ها را بارگذاری کرده و در ادامه دستورات لازم برای انجام پویش را دریافت می‌کند. اگر بر روی یکی از وب‌گاه‌ها آسیب‌پذیریِ تزریق SQL پیدا شد، مهاجم یک پیام متنی را دریافت می‌کند که در آن نام دامنه‌ی وب‌گاه، رتبه‌ی آن در الکسا و تعداد پایگاه داده‌های موجود در آن ذکر شده است. این ابزار همچنین دارای این قابلیت هست که داده‌های جمع‌آوری شده را از وب‌گاه خارج کند.

محققان اعلام کردند به نظر می‌رسد تاکنون ۱۲ تا ۱۵ نفر این ابزار را خریداری کرده‌اند و براساس نظرات موجود، از این ابزار راضی هستند به‌طوری که در اولین پویش با این ابزار، نزدیک به ۸ وب‌گاه آسیب‌پذیر را کشف کرده‌اند. محققان اعلام کردند، قابلیت استفاده از این ابزار در مقیاس بالا بسیار نگران‌کننده است. همچنین به دلیل نام‌گذاری این ابزار به کاتیوشا، می‌تواند به سرعت شناخته شود. کاتیوشا نام یکی از رادارهای موشکی شوری در جنگ جهانی دوم بود که همزمان می‌توانست عملیات مختلفی را انجام دهد.

این ابزار در حال حاضر در دسترس قرار دارد و نسخه‌ی ۸ از حالت حرفه‌ای آن در تاریخ ۲۸ ژوئن منتشر شده است. قیمت این ابزار ۵۰۰ دلار بوده و کاربران می‌توانند ماهانه با پرداخت حق اشتراک ۲۰۰ دلاری نیز از آن استفاده کنند. نسخه‌ی لایت آن نیز در ۱۰ می به قسمت ۲۵۰ دلار به ازای هر مجوز منتشر شده است.