گسترش بدافزار جديد استخراج رمز ارز با بهرهگيري از بدافزار قديمي NSA
در سال ۲۰۱۷ بدافزارهايي فوق طبقهبندي شده از سازمان امنيت آمريكا NSA به سرقت رفت و در سرتاسر اينترنت پخش شد. مجرمان اينترنتي هنوز از آن بدافزارها و حفرههاي هدف آنها استفاده ميكنند تا درآمدهاي غيرقانوني از راه نفوذ به شبكهها به دست بياوند.
محققان امنيتي شركت سيمانتك در جديدترين گزارش خود خبر از بدافزاري بهنام Beapy دادند كه از ابزارهاي نفوذ افشا شده در سال ۲۰۱۷ استفاده ميكند. بدافزار جديد در شبكههاي سازماني گسترش مييابد و از كامپيوترهاي آنها براي اجراي كدها استخراج رمزارز استفاده ميكند.
بدافزار Beapy ابتدا در ماه ژانويهي سال جاري ميلادي كشف شد، اما نفوذ آن از ماه مارس به ۱۲ هزار آلودگي در ۷۳۲ سازمان رسيد. بدافزار مذكور بيشتر شبكههاي سازماني را مورد هدف قرار ميدهد كه ميزبان تعداد زيادي كامپيوتر هستند. زمانيكه كامپيوترهاي بيشمار اين شبكهها به ابزار استخراج رمزارز آلوده شوند، در مجموع درآمد خوبي را براي مجرمان به همراه خواهند داشت.
وقتي يكي نفر در سازمان، رايانامه آلودهاي را باز كند، مسير براي Beapy فعال ميشود. پس از باز شدن رايانامه، بدافزار DoublePulsar افشاشده از اسناد NSA فعال شده و يك در پشتي دائمي در كامپيوتر قرباني ايجاد ميشود. سپس ابزار ديگري از NSA بهنام EternalBlue به كار ميافتد تا آسيبپذيري را در سرتاسر شبكه گسترش دهد. بدافزارهاي مذكور در جريان بحران WannaCry در سال ۲۰۱۷ نيز دخيل بودند.
در مرحلهي پاياني نفوذ، هكر از بدافزار Beapy براي در دست گرفتن سرور شبكه استفاده ميكند. به محض رسيدن به اين سطح از كنترل، ديگر گسترش بدافزار و كدهاي استخراج در كل شبكه كار دشواري نخواهد بود.
Beapy بيشتر به شبكههاي سازماني حمله ميكند
بدافزار Beapy نهتنها از ابزارهاي NSA براي گسترش نفوذ استفاده ميكند، بلكه ابزار متنبازي بهنام Mimikatz هم دركنار آن اجرا ميشود تا اطلاعات افراد را سرقت كند. با استفاده از ابزار متنباز، اطلاعاتي همچون نام متخصصي و رمز عبور از كامپيوتر اوليه دريافت ميشود تا مسير نفوذ به كامپيوترهاي ديگر در شبكه، آسان شود. تحقيقات اخير نشان ميدهد كه بيش از ۸۰ درصد از آلودگيهاي Beapy در چين رخ دادهاند.
دزديدن منابع كامپيوترها براي استخراج رمزارز (Cryptojacking) در ماههاي اخير كاهش يافته است. تعطيلي شركت استخراج Coinhive هم در كاهش حملات بيتأثير نبود. بههرحال نوسان ارزش رمزارزها بر درآمد مجرمان سايبري هم تأثير داشته است، اما سرقت منابع پردازشي براي استخراج هنوز درآمد ثابت و مناسبي براي آنها محسوب ميشود. درواقع چنين جرمهايي پرسودتر از پيادهسازي انواع ديگر بدافزار هستند.
در ماه سپتامبر، ۹۱۹ هزار كامپيوتر در معرض حملات امنيتي EternalBlue قرار داشتند. بسياري از كامپيوترهاي قرباني براي استخراج رمزارز استفاده ميشدند. امروز اين آمارها به بيش از يك ميليون كامپيوتر رسيده است.
دزدي منابع پردازشي براي استخراج رمزارز عموما در وبسايتها رخ ميدهد. در چنين روشي، پردازندهي كامپيوتر متخصص به محض باز كردن زبانهي وبسايت آلوده، براي استخراج رمزارز مورد استفاده قرار ميگيرد. دزديهايي كه با استفاده از فايلهاي مشخص انجام ميشوند، بازدهي و سرعت بالاتري دارند و درنتيجه درآمد مجرمان را هم افزايش ميدهند.
محققان سيمانتك اعتقاد دارند دزديهاي براساس استفاده از فايل، ماهانه تا ۷۵۰ هزار دلار درآمد براي مجرمان به همراه دارند. درحاليكه همين دزديها در صورت اجرا در وبسايتها بيش از ۳۰ هزار دلار درآمد نخواهند داشت. شايد چنين جرمهاي اينترنتي بهخاطر آن كه هيچ دادهاي را ردوبدل نميكنند، بيخطر به انديشه متخصصين برسند، اما محققان اعتقاد دارند اين روشها باعث كاهش عملكرد كامپيوترها و حتي آسيب به سختافزار آنها ميشوند.
هم انديشي ها