سازمانهاي امنيتي آمريكا درباره يكي از بدافزارهاي خطرناك لينوكس هشدار دادند
سازمانهاي امنيتي NSA و FBI در بيانيهاي مشترك، تهديد هكرهاي روسي را در سوءاستفاده از يكي از بدافزارهاي لينوكس جدي خواندند. آنها در بيانيهشان به بدافزار لينوكسي ناشناختهاي اشاره ميكنند كه ظاهرا با هدف نفوذ به شبكههاي حساس سوءاستفاده ميشوند. از متخصصدهاي سوء ديگر بدافزار ميتوان به سرقت اطلاعات حساس و اجراي كدهاي مخرب در شبكهها اشاره كرد.
گزارش جديد NSA و FBI جزئيات متخصص زيادي دارد كه براي گزارش منتشرشدهي نهادي امنيتي، نادر بهانديشه متخصصين ميرسد. آنها به بدافزاري موسوم به Drovorub در لينوكس اشاره ميكنند كه قابليتهاي بسيار زيادي دارد و تاكنون ناشناخته بوده است. بدافزار مذكور به سرورهاي فرمان و كنترلي متصل ميشود كه گروه GRU مدير و مالك آن است. GRU آژانس امنيتي ارتش روسيه است كه در يك دههي گذشته، در كمپينهاي امنيتي متعدد و نفوذهاي سايبري نقش ايفا كرده است. آمريكاييها اين گروه را براي امنيت ملي كشور خود بسيار خطرناك ميدانند. بيانيهي مشترك NSA و FBI مستقيما به GRU اشاره كرده و آنها را به نفوذ در جريان انتخابات سال ۲۰۱۶ نيز متهم ميكند. بههرحال، سازمانهاي امنيتي بيانيهي اخير خود را متمركز بر رفع تهديد گروه GRU ميدانند.
مقامهاي آمريكايي بدافزار Drovorub را به گروههاي روسي مربوط ميدانند
بدافزار Drovorub ظاهرا از چهار بخش اصلي تشكيل شده است و قدرت بسيار زيادي در نفوذ به سيستمها دارد. در اين بدافزار، كلاينتي را شاهد هستيم كه دستگاههاي لينوكسي را آلوده ميكند. بخش ديگر بهصورت ماژول كرنل عمل ميكند كه با استفاده از روشهاي روتكيت، با حفظ حضور خود در سيستم قرباني، خود را از لايههاي امنيتي سيستمعامل و بخشهاي امنيتي ديگر هم مخفي ميكند. بخش ديگر سروري را شامل ميشود كه روي زيرساختهاي مديريتشدهي مجرم سايبري عمل و با دراختيارگرفتن سيستم آلوده، دادههاي بهسرقترفته را دريافت ميكند. كارگزاري نيز در فرايند عملياتي Drovorub ديده ميشود كه با سوءاستفاده از سرورهاي اشغالشده يا كامپيوترهاي دراختيار هكرها، از آنها بهعنوان واسطي بين ماشينهاي آلوده و سرورها استفاده ميكند.
روتكيت بهنوعي بدافزار گفته ميشود كه در لايههاي كرنل سيستمعامل نفوذ ميكند. اين نفوذ عميق باعث ميشود كه سيستمعامل نتواند عملكردهاي مخرب را در لايههاي امنيتي ثبت كند. روتكيتها از انواع راهكار استفاده ميكنند تا ابزارهاي آنتيويروس نتوانند عملكرد مخرب را شناسايي و ثبت كنند. دراينميان، بدافزار Drovorub عملكردي عميق هم در سطح شبكه دارد تا تمامي ترافيك عبوري از آن را مطالعه و حتي استخراج كند.
بدافزار Drovorub با دسترسيهاي ريشههاي بسيار عميق فعاليت خود را انجام ميدهد؛ درنتيجه مجرمان سايبري با سوءاستفاده از آن امكان كنترل كامل سيستم را كسب ميكنند. درمجموع، اين بدافزار آنقدر قابليت و توانايي دارد كه متخصص كارشناسان از لقب چاقوي سوئيسي براي تعريفش استفاده ميكنند.
مقامهاي دولت آمريكا ادعا ميكنند نام Drovorub از رشتههاي برنامهنويسي استخراج شده است. آنها عبارت Drovorub را تركيبي از كلمات گوناگون ميدانند كه درنهايت، معناي «تكهكردن چوب» ميدهد. البته محقق امنيتي ديگري بهنام دميتري آلپرووتيچ كه از سالها پيش روي فعاليتهاي نفوذي روسيه تحقيق ميكند، تفسيري متفاوت از نام Drovorub دارد. او با معنيكردن كلمهي Drova بهعنوان تعريفي براي كلمهي درايور در زبان روسي، بدافزار Drovorub را «قاتل درايورهاي امنيتي» مينامد.
درصورت صحيحبودن ادعاي آمريكاييها، بدافزار Drovorub به مجموعهي عظيم ابزارها و بدافزارهايي اضافه ميشود كه از هكرهاي روسي از سالها پيش استفاده ميكنند. از گروههاي مشهور روسي ميتوان به APT 28 اشاره كرد كه ابزارهايي حرفهاي براي نفوذ به شبكههاي هدف داشتهاند. محققان امنيتي از نامهاي گوناگوني همچون Fancy Bear ،Strontium ،Pawn Storm ،Sofacy ،Sednit و Tsar Team براي اين تيم استفاده ميكنند. محققان ادعا ميكنند كه گروه مذكور مناطق و سازمانهاي مدانديشه متخصصين حكومت روسيه را هدف قرار ميدهند.
مايكروسافت اوت ۲۰۱۹ گزارشي مبنيبر نفوذ گروههاي هكر روسي و هك پرينترها و دستگاههاي ديگر منتشر كرد. طبق گزارش ردمونديها، هكرها با سوءاستفاده از ابزارهاي قرباني، به شبكههاي اصلي دسترسي پيدا ميكردند. در سال ۲۰۱۸ نيز، گزارش مشابهي از نفوذ گروه APT 28 به بيش از ۵۰۰ هزار روتر منتشر شد كه محققان احتمال سوءاستفاده از آنها براي اهداف خرابكارانهي ديگر را بسيار زياد ميدانستند. بههرحال، گزارشهاي بسياري از نفوذهاي گروه APT 28 وجود دارد كه قدرت آنها را نيز ثابت ميكند.
بيانيهي اخير سازمانهاي امنيتي ايالات متحده به دورهي زماني سوءاستفادهي هكرها از بدافزار Drovorub اشارهاي نميكند. همچنين، مشخص نيست چه سازمانهايي در چه مناطقي با نفوذ و آلودگي بدافزار مواجه بودهاند. مقامها ميگويند براي جلوگيري از نفوذ و آلودگي با بدافزار مذكور، بهترين راه همان بهروزرساني امنيتي دستگاههاي سازماني است. آنها تأكيد ميكنند كه سازمانها در سرورهاي خود از لينوكس با كرنل ۳/۷ به بعد استفاده كنند تا از جديدترين لايههاي امنيتي در برابر مجرمان سايبري بهرهمند شوند. استفاده از سيستمهاي تشخيص نفوذ Yara و Snort هم در بيانيهي سازمانهاي امنيتي پيشنهاد ميشود. بيانيهي ۴۵ صفحهاي FBI و NSA جزئيات بسيار زيادي دارد كه آن را به بيانيههاي امنيتي شركتهاي خصوصي شبيه ميكند. بههرحال، بسياري از متخصص كارشناسان آن را يكي از بيانيههاي نادر سازمانهاي دولتي درزمينهي امنيت سايبري ميدانند.
هم انديشي ها