حمله خطرناک بدافزارها به تاسیسات تامین انرژی
محققان امنیتی یک تهدید جدید از سوی بدافزار های جاسوسی کشف کردهاند که در مدت طولانی هنگام حمله به موسسات و منابع انرژی، به طور ناشناس به انجام خرابکاری میپردازد.
به گزارش کلیک، این برنامه جاسوسی که محققان شرکت امنیتی SentinelOne آن را از دار و دسته Furtim لقب دادهاند، در اصطلاح یک برنامه Dropper است که در حین خرابکاری، ابزار و قطعات آلوده به بدافزار دیگری را دانلود و مورد استفاده قرار میدهد. محققان بر این باورند که این بدافزار در دو ماه گذشته و توسط مهاجمان تحت حمایت ساخته شده است.
هدف از برنامه Dropper، آماده سازی زمینه برای نصب و راهاندازی اجزای دیگر از نرم افزارهای مخرب است که میتوانند وظایف و عملیات خاصی انجام دهند. اولویت آن ها این است که غیر قابل تشخیص باقی بمانند، به سرویسها قسمتهای هدف دسترسی پیدا کنند و قسمتهای امنیتی را از کار بیندازند. جالب این جاست که خانواده بدافزارهای Furtim، دقیقا تمام عملیات مذکور را در دستور کار خود داشتهاند.
هنگامی که این بدافزار برای اولین بار بر روی یک سیستم اجرا شود، نرمافزار های جاسوسی آن، محیط را از لحاظ وجود ماشینهای مجازی، سندباکسها، برنامههای آنتی ویروس، فایروالها، ابزار استفاده شده توسط تحلیل گران بدافزار و نرم افزارهای بیومتریک مورد آزمایش قرار میدهد.
آزمایشها گسترده هستند و شامل چک کردن در برابر لیستهای سیاه از شناسههای CPU، اسامی هاستها، نام فایلها، کتابخانههای DLL ، دایرکتوریها، اطلاعات هسته پردازنده، اجراکنندگان هسته، فرآیندهای در حال اجرا،اطلاعات فروشنده هارد دیسک، کارتهای شبکه، آدرسهای MAC و اطلاعات BIOS و نیز اطلاعات مجازی سازیها و برنامه های امنیتی میشود.
در برخی از موارد، اگر چنین نرم افزاری شناسایی شود، بدافزار به طور خودکار خود را از بین میبرد. در برخی دیگر از حالات، به فعالیت خود ادامه میدهد، اما قابلیتخود را محدود میکند و اگر یک آنتیویروس بر سر راهش قرار گیرد، قابلیتهای خود را به طور کامل غیرفعال میکند.
عمق و پیچیدگی این آزمایشات نشاندهنده این است که سازندگان بدافزار درک خوبی از ویندوز و محصولات امنیتی دارند و همین موضوع باعث شد محققان به این باور برسند که مجموعه Furtim نتیجه کار چندین توسعه دهنده با مهارتهای سطح بالا و دسترسی به منابع قابل توجه است.
این بدافزار خودش را به عنوان یک فایل معمولی بر روی دیسک نصب نمیکند؛ درعوض، خود را به عنوان یک جریان داده جایگزین NTFS معرفی میکند که در ابتدای فرایند راه اندازی سیستم کامپیوتر اجرا میشود و با فراخوانی APIهای ویندوز، درصدد دور زدن محصولات امنیتی میشود.
محققان SentinelOne گفتند: استفاده از فراخوانیهای غیر مستقیم و پنهان، تجزیه و تحلیل استاتیک دستی را تقریبا غیر ممکن میکند و سرعت تجزیه و تحلیل دستی و پویا را به مراتب کاهش میدهد.
این بدافزار با سوء استفاده از دو دسترسی ویندوز، که یکی از آنها توسط مایکروسافت در سال ۲۰۱۴ و یکی در سال ۲۰۱۵ ارائه شدند، و همچنین یک روش بایپس شناخته شده کنترل حساب کاربر (UAC) برای به دستآوردن دسترسی، کار میکند. اگر بدافزار این دسترسی را به دست آورد، کاربر فعلی به گروه مدیران اضافه میشود تا امکان اجرای عملیات جاسوسی و مشکوک پنهان از بین برود.
پس از نصب، نرمافزار جاسوسی در سکوت به غیر فعال سازی لایه های حفاظتی چندین آنتی ویروس میپردازد و تنظیمات DNS سیستم را برای جلوگیری از دسترسی به سرور به روز رسانی آنتی ویروس خاص از کار میاندازد. بدین ترتیب، این فرایند تضمین می کند که زمینه برای نصب و اجرای عملیات محموله مورد نظر فراهم است.
یک محموله مشاهده شده توسط محققان SentinelOne برای جمع آوری اطلاعات از سیستم های آلوده و ارسال آن به سرور فرمان و کنترل استفاده شد که به احتمال زیاد یک ابزار شناسایی بود، اما Dropper نیز میتوانست برای دانلود قطعات طراحی شده برای استخراج اطلاعات حساس و یا انجام اقدامات مخرب، مورد استفاده قرار گیرد.
شرکت های تولید و توزیع انرژی هدف مناسبی برای حملات سایبری هستند، زیرا سیستمهای آنها به طور بالقوه میتواند آسیب های فیزیکی به سیستم وارد کند و این دقیقا همان موردی است که در ماه دسامبر در اوکراین رخ داد؛ زمانی که هکرها با استفاده از نرم افزارهای مخرب، به تجهیزات نفوذ کردند و باعث قطع گسترده برق در کشور شدند.