پاورتل/ سازمان‌های NSA و FBI هشداری جدی درباره‌ی یکی از بدافزارهای جدید لینوکس منتشر کردند و آن را تهدیدی برای امنیت ملی ایالات متحده دانستند.
   
سازمان‌های امنیتی NSA و FBI در بیانیه‌ای مشترک، تهدید هکرهای روسی را در سوءاستفاده از یکی از بدافزارهای لینوکس جدی خواندند. آن‌ها در بیانیه‌‌شان به بدافزار لینوکسی ناشناخته‌ای اشاره می‌کنند که ظاهرا با هدف نفوذ به شبکه‌های حساس سوءاستفاده می‌شوند. از کاربردهای سوء دیگر بدافزار می‌توان به سرقت اطلاعات حساس و اجرای کدهای مخرب در شبکه‌ها اشاره کرد.

گزارش جدید NSA و FBI جزئیات فنی زیادی دارد که برای گزارش منتشرشده‌ی نهادی امنیتی، نادر به‌نظر می‌رسد. آن‌ها به بدافزاری موسوم به Drovorub در لینوکس اشاره می‌کنند که قابلیت‌های بسیار زیادی دارد و تاکنون ناشناخته بوده است. بدافزار مذکور به سرورهای فرمان و کنترلی متصل می‌شود که گروه GRU مدیر و مالک آن است. GRU آژانس امنیتی ارتش روسیه است که در یک دهه‌ی گذشته، در کمپین‌های امنیتی متعدد و نفوذهای سایبری نقش ایفا کرده است. آمریکایی‌ها این گروه را برای امنیت ملی کشور خود بسیار خطرناک می‌دانند. بیانیه‌ی مشترک NSA و FBI مستقیما به GRU اشاره کرده و آن‌ها را به نفوذ در جریان پاورتلات سال ۲۰۱۶ نیز متهم می‌کند. به‌هرحال، سازمان‌های امنیتی بیانیه‌ی اخیر خود را متمرکز بر رفع تهدید گروه GRU می‌دانند.

مقام‌های آمریکایی بدافزار Drovorub را به گروه‌های روسی مربوط می‌دانند
بدافزار Drovorub ظاهرا از چهار بخش اصلی تشکیل شده است و قدرت بسیار زیادی در نفوذ به سیستم‌‌ها دارد. در این بدافزار، کلاینتی را شاهد هستیم که دستگاه‌های لینوکسی را آلوده می‌کند. بخش دیگر به‌صورت ماژول کرنل عمل می‌کند که با استفاده از روش‌های روت‌کیت، با حفظ حضور خود در سیستم قربانی، خود را از لایه‌های امنیتی سیستم‌عامل و بخش‌های امنیتی دیگر هم مخفی می‌کند. بخش دیگر سروری را شامل می‌شود که روی زیرساخت‌های مدیریت‌شده‌ی مجرم سایبری عمل و با دراختیارگرفتن سیستم آلوده، داده‌های به‌سرقت‌رفته را دریافت می‌کند. کارگزاری نیز در فرایند عملیاتی Drovorub دیده می‌شود که با سوءاستفاده از سرورهای اشغال‌شده یا کامپیوترهای دراختیار هکرها، از آن‌ها به‌عنوان واسطی بین ماشین‌های آلوده و سرورها استفاده می‌کند.

روت‌کیت به‌نوعی بدافزار گفته می‌شود که در لایه‌های کرنل سیستم‌عامل نفوذ می‌کند. این نفوذ عمیق باعث می‌شود که سیستم‌عامل نتواند عملکردهای مخرب را در لایه‌های امنیتی ثبت کند. روت‌کیت‌ها از انواع راهکار استفاده می‌کنند تا ابزارهای آنتی‌ویروس نتوانند عملکرد مخرب را شناسایی و ثبت کنند. دراین‌میان، بدافزار Drovorub عملکردی عمیق هم در سطح شبکه دارد تا تمامی ترافیک عبوری از آن را بررسی و حتی استخراج کند.

بدافزار Drovorub با دسترسی‌های ریشه‌های بسیار عمیق فعالیت خود را انجام می‌دهد؛ درنتیجه مجرمان سایبری با سوءاستفاده از آن امکان کنترل کامل سیستم را کسب می‌کنند. درمجموع، این بدافزار آن‌قدر قابلیت و توانایی دارد که کارشناسان از لقب چاقوی سوئیسی برای تعریفش استفاده می‌کنند.

مقام‌های دولت آمریکا ادعا می‌کنند نام Drovorub از رشته‌های برنامه‌نویسی استخراج شده است. آن‌ها عبارت Drovorub را ترکیبی از کلمات گوناگون می‌دانند که درنهایت، معنای «تکه‌کردن چوب» می‌دهد. البته محقق امنیتی دیگری به‌نام دمیتری آلپرووتیچ که از سال‌ها پیش روی فعالیت‌های نفوذی روسیه تحقیق می‌کند، تفسیری متفاوت از نام Drovorub دارد. او با معنی‌کردن کلمه‌ی Drova به‌عنوان تعریفی برای کلمه‌ی درایور در زبان روسی، بدافزار Drovorub را «قاتل درایورهای امنیتی» می‌نامد.

درصورت صحیح‌بودن ادعای آمریکایی‌ها، بدافزار Drovorub به مجموعه‌ی عظیم ابزارها و بدافزارهایی اضافه می‌شود که از هکرهای روسی از سال‌ها پیش استفاده می‌کنند. از گروه‌های مشهور روسی می‌توان به APT 28 اشاره کرد که ابزارهایی حرفه‌ای برای نفوذ به شبکه‌های هدف داشته‌اند. محققان امنیتی از نام‌های گوناگونی همچون Fancy Bear ،Strontium ،Pawn Storm ،Sofacy ،Sednit و Tsar Team برای این تیم استفاده می‌کنند. محققان ادعا می‌کنند که گروه مذکور مناطق و سازمان‌های مدنظر حکومت روسیه را هدف قرار می‌دهند.

مایکروسافت اوت ۲۰۱۹ گزارشی مبنی‌بر نفوذ گروه‌های هکر روسی و هک پرینترها و دستگاه‌های دیگر منتشر کرد. طبق گزارش ردموندی‌ها، هکرها با سوءاستفاده از ابزارهای قربانی، به شبکه‌های اصلی دسترسی پیدا می‌کردند. در سال ۲۰۱۸ نیز، گزارش مشابهی از نفوذ گروه APT 28 به بیش از ۵۰۰ هزار روتر منتشر شد که محققان احتمال سوءاستفاده از آن‌ها برای اهداف خراب‌کارانه‌ی دیگر را بسیار زیاد می‌دانستند. به‌هرحال، گزارش‌های بسیاری از نفوذهای گروه APT 28 وجود دارد که قدرت آن‌ها را نیز ثابت می‌کند.

بیانیه‌ی اخیر سازمان‌های امنیتی ایالات متحده به دوره‌ی زمانی سوءاستفاده‌ی هکرها از بدافزار Drovorub اشاره‌ای نمی‌کند. همچنین، مشخص نیست چه سازمان‌هایی در چه مناطقی با نفوذ و آلودگی بدافزار مواجه بوده‌اند. مقام‌ها می‌گویند برای جلوگیری از نفوذ و آلودگی با بدافزار مذکور، بهترین راه همان به‌روزرسانی امنیتی دستگاه‌های سازمانی است. آن‌ها تأکید می‌کنند که سازمان‌ها در سرورهای خود از لینوکس با کرنل ۳/۷ به بعد استفاده کنند تا از جدیدترین لایه‌های امنیتی در برابر مجرمان سایبری بهره‌مند شوند. استفاده از سیستم‌‌های تشخیص نفوذ Yara و Snort هم در بیانیه‌ی سازمان‌های امنیتی پیشنهاد می‌شود. بیانیه‌ی ۴۵ صفحه‌ای FBI و NSA جزئیات بسیار زیادی دارد که آن را به بیانیه‌های امنیتی شرکت‌های خصوصی شبیه می‌کند. به‌هرحال، بسیاری از کارشناسان آن را یکی از بیانیه‌های نادر سازمان‌های دولتی درزمینه‌ی امنیت سایبری می‌دانند.

دیدگاه بگذارید

بازگشت به بالا