مهاجمان سایبری سامانههای ویندوزی را آلوده کردند
مرکز مدیریت راهبردی افتای ریاست جمهوری با اشاره به شناسایی یک حمله سایبری پیشرفته، نسبت به آلوده سازی سامانه های فعال با سیستم عامل ویندوز توسط این گروه مهاجمان سایبری هشدار داد.
به گزارش مرکز مدیریت راهبردی افتا، گروهی از مهاجمان سایبری از سال ۲۰۱۹ در کارزاری به نام TunnelSnake با بهکارگیری حداقل یک روتکیت اختصاصی، به آلودهسازی سامانههای با سیستمعامل ویندوز اقدام کردهاند که این جاسوسی و سرقت اطلاعات همچنان ادامه دارد.
روتکیتها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستمعامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه میدارند.
این روتکیت که منابع تحقیقاتی کسپرسکی آن را Moriya نامگذاری کردهاند یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکهای قربانی و ارسال فرمانهای مورد نظر آنها قادر میسازد.
به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه میدهد تا ترافیک ورودی را در سطح هسته (Kernel Space) رصد و تحلیل کنند.
سطح هسته یا همان Kernel Space جایی است که هسته سیستمعامل در آن قرار دارد و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.
کد مخرب Moriya فرمانهای مهاجمان را از طریق بستههای دستکاری شده خاصی دریافت میکند که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی وجود ندارد.
این ترفندها محدود به Moriya نیست و روند رو به افزایش تعداد مهاجمان نشان میدهد که آنان تلاش میکنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیکها) برای مدتها بدون جلبتوجه در شبکه قربانی ماندگار بمانند.
در کارزار TunnelSnake، برای از کار انداختن و متوقف کردن اجرای پروسههای ضدویروس، از بدافزاری با عنوان ProcessKiller بهره گرفته و همچنین برای گسترش دامنه آلودگی و شناسایی دستگاههای آسیبپذیر، از ۴ ابزار دیگر کمک گرفته شده است.
تعداد سازمانهایی که کسپرسکی Moriya را در شبکه آنها شناسایی کرده، کمتر از ۱۰ مورد هستند و همه آنها سازمانهای مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بودهاند.
نشانههای آلودگی، لینک مشروح گزارش کسپرسکی و همچنین منابع آشنایی با کارزار TunnelSnake در پایگاه اینترنتی مرکز مدیریت راهبردی افتا در دسترس است.