شناسایی APT مخرب جاسوسی TunnelSnake
گروهی از مهاجمان سایبری از سال 2019 به آلودهسازی سامانههای با سیستمعامل Windows اقدام کرده و جاسوسی از آنها را ادامه میدهند.
به گزارش خبرنگار حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، گروهی از مهاجمان سایبری از سال 2019 در در کارزاری بنام TunnelSnake با بهکارگیری حداقل یک روتکیت اختصاصی، به آلودهسازی سامانههای با سیستمعامل Windows اقدام کردهاند و جاسوسی و سرقت اطلاعات از آنها را همچنان ادامه میدهند.
روتکیتها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستمعامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه میدارند. این روتکیت که کسپرسکی آن را Moriya نامگذاری کرده یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکهای قربانی و ارسال فرمانهای موردنظر آنان قادر میکند.
به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه میدهد تا ترافیک ورودی را در سطح هسته (Kernel Space) رصد و تحلیل کنند. سطح هسته یا همان Kernel Space جایی است که هسته سیستمعامل در آن قرار دارد و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.
تلاش مهاجمان سایبری برای ماندگار در شبکه قربانی
روتکیت Moriya فرمانهای مهاجمان را از طریق بستههای دستکاری شده خاصی دریافت میکند که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی وجود ندارد. این ترفندها محدود به Moriya نیست و روند رو به افزایش تعداد مهاجمان نشان میدهد که آنان تلاش میکنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیکها) برای مدتها بدون جلبتوجه در شبکه قربانی ماندگار بمانند.
در کارزار TunnelSnake، برای از کار انداختن و متوقف کردن اجرای پروسههای ضدویروس، از بدافزاری با عنوان ProcessKiller بهره گرفته و همچنین برای گسترش دامنه آلودگی و شناسایی دستگاههای آسیبپذیر، از 4 ابزار دیگرکمک گرفته شده است. تعداد سازمانهایی که کسپرسکی، Moriya را در شبکه آنها شناسایی کرده است کمتر از 10 مورد هستند و همه آنها سازمانهای مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بودهاند.
نشانههای آلودگی، لینک مشروح گزارش کسپرسکی و همچنین منابع آشنایی با کارزار TunnelSnake در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به آدرس : https://www.afta.gov.ir/portal/home/?news/235046/237266/243613/ قابل دریافت و مطالعه است.
بیشتر بخوانید
انتهای پیام/
