بدافزار ShadowHammer، دشمن جان ایسوس
روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ به لطف فناوری جدیدی که در محصولاتمان به کار بردهایم (که قادر است حملات زنجیره تأمین را شناسایی کند) متخصصین ما موفق به کشف بزرگترین حادثهی زنجیره تأمین در کل تاریخ شدهاند (CCleaner را یادتان است؟ از آن هم بزرگتر). یک عامل تهدید Live Update Utility شرکت ایسوس را (که BIOS، UEFI و آپدیتهای نرمافزاری به لپتاپها و کامپیوترهای دسکتاپیِ ایسوس ارائه میدهد) دستکاری کرده، به یوتیلیتیِ آن بَکدُر اضافه نمودهو بعد آن را از طریق کانالهای رسمی توزیع کرده است. این یوتیلیتی تروجانزده با گواهی قانونی مجوز ورودش صادر شد و بعد روی سرور رسمی ایسوس که مخصوص آپدیتهاست مورد میزبانی قرار گرفت. این کار باعث شد تا برای مدت زیادی این بدافزار همینطور مخفی و نامحسوس باقی بماند. مجرمین سایبری حتی مراقب بودند سایز فایل یوتیلیتیِ مخرب درست مانند نسخهی اصل آن باشد.
بر اساس آماری که بدست آوریم، بیش از 57 هزار کاربرِ محصولات لابراتوار کسپرسکی این یوتیلیتیِ بکدر را نصب کردهاند اما برآورد ما این است که این بدافزار به طور کلی بین 1 میلیون نفر توزیع شده است. با این حال مجرمین سایبریِ پشت این ماجرا به همهی این کاربران علاقه یکسانی نشان ندادند؛ آنها تنها 600 آدرس مک را مورد هدف خود قرار دادند. درست برای همین تعداد مک بود که هشهایی به نسخههای مختلف یوتیلیتی، هارکد شد. برای اینکه بدانید آدرس مک شما نیز در این فهرست قرار دارد یا نه روی اینجاکلیک کنید.
حین بررسی این حمله، به این مسئله پی بردیم که درست همین تکنیکها روی سه فروشندهی دیگر نیز پیاده شده است. راهحلهای لابراتوار کسپرسکی اکنون آمادهاند تا یوتیلیتیهای تروجانزده را شناسایی و مسدود کنند اما همچنان توصیه میکنیم Live Update Utility ایسوس را آپدیت نمایید (البته اگر از آن استفاده میکنید).
شرح جزئیات
گرچه تحقیقات و بررسیهای ما همچنان ادامه دارد اما در ادامه قرار است جزئیات بیشتری در خصوص این بدافزار خدمتتان ارائه دهیم:
مقیاس عملکرد
همینطور که قبلاً هم گفتیم ایسوس تنها شرکتی نیست که توسط مهاجمین مورد حمله قرار گرفته است. سه فروشندهی دیگر هم بودهاند که درست تحت الگوریتمهای مشابهی با ایسوس هدف قرار گرفتند:
Electronics Extreme: نویسندگان گیم زامبی به نام Infestation: Survivor Stories.
Innovative Extremist: شرکت ارائهدهندهی خدمات زیرساخت وب و آیتی که همچنین در بخش توسعه گیم نیز فعالیت دارد.
Zepetto: شرکت کره جنوبی که بازی ویدیویی Point Blank را طراحی کرده است.
هدف نهایی
در مورد Electronics Extreme، Innovative Extremist و Zepetto، نرمافزار دستکاریشده، یک پیلود نسبتاً ساده به سیستم قربانیها میدهد این نرمافزار دستکاریشده میتوانست تمام اطلاعات مربوط به سیستم از جمله نام کاربری، ویژگیهای کامپیوتر و نسخههای سیستمعامل را جمع کند. همچنین از آن برای دانلود پیلود مخرب از سرورهای C&C نیز استفاده میشود؛ بنابراین -برخلاف مورد ایسوس- فهرست قربانیان احتمالی تنها به فهرست آدرسهای مک محدود نشده بود. همچنین فهرست 600 تایی آدرسهای مک نیز تنها به همان 600 هدف محدود نمیشد؛ دست کم یکی از آنها به آداپتور مجازی اترنت تعلق دارد و این یعنی همه کاربران آن دستگاه از یک آدرس مک استفاده میکردهاند.
چطور از این چرخهی فاسد خود را بیرون بکشیم؟
رویهی اصلی در تمامی موارد ذکر شده به این صورت است که مهاجمین با گواهیهای معتبرشان، محیطهای توسعهی قربانیان خود را دستکاری میکنند. بنابراین، متخصصین ما به فروشندگان نرمافزاری توصیه میکند از فرآیند تولید نرمافزار دیگری استفاده کنند که حتی بعد از اینکه کد به صورت دیجیتالی وارد شد، نرمافزار را برای شناسایی بدافزار احتمالی برسی میکند. به منظور جلوگیری از حملاتی از این دست به شکارچیان سایبریِ متبحری نیاز دارید که البته مفتخریم که از این نوع نیروها کم نداریم. متخصصین ما با سرویس Targeted Attack Discovery به شما کمک میکنند تا فعالیت مجرمان سایبری و اقدامات مخربشان را در شبکهی خود شناسایی کرده و اهداف پس پردهشان را نیز برملا کنید. همچنین با استفاده از این سرویس میتوانید منبع این حوادث را نیز پیدا کنید. علاوه بر این، Kaspersky Managed Protection را نیز به شما معرفی میکنیم که بیست و چهار ساعته اطلاعات تهدید سایبری را تحت نظارت دارد و پیوسته مورد تحلیل قرار میدهد.
منبع: کسپرسکی آنلاین
- ۹۸/۰۲/۱۴