شناسایی عامل مخرب جاسوسی در کارزار TunnelSnake

/در , , , , , , /توسط
 
 
گروهی از مهاجمان سایبری از سال ۲۰۱۹ در کارزاری بنام TunnelSnake با به‌کارگیری حداقل یک روت‌کیت اختصاصی، به آلوده‌سازی سامانه‌های با سیستم‌عامل Windows اقدام ‌کرده‌اند و جاسوسی و سرقت اطلاعات از آنها را همچنان ادامه می‌دهند.
 
 روت‌کیت‌ها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستم‌عامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه می‌دارند. این روت‌کیت که کسپرسکی آن را Moriya نام‌گذاری کرده یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکه‌ای قربانی و ارسال فرمان‌های موردنظرآنان قادر می‌کند.
 
به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه می‌دهد تا ترافیک ورودی را در سطح هسته (Kernel Space)  رصد و تحلیل کنند. سطح هسته یا همان  Kernel Space جایی است که هسته سیستم‌عامل در آن قرار دارد و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.
 
روت‌کیت Moriya فرمان‌های مهاجمان را از طریق بسته‌های دست‌کاری شده خاصی دریافت می‌کند که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی وجود ندارد.
 
این ترفندها محدود به Moriya نیست و روند رو به افزایش تعداد مهاجمان نشان می‌دهد که آنان تلاش می‌کنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیک‌ها) برای مدت‌ها بدون جلب‌توجه در شبکه قربانی ماندگار بمانند.
 
در کارزار TunnelSnake، برای ازکار انداختن و متوقف کردن اجرای پروسه‌های ضدویروس، از بدافزاری با عنوان ProcessKiller  بهره گرفته و همچنین برای گسترش دامنه آلودگی و شناسایی دستگاه‌های آسیب‌پذیر، از ۴ ابزار دیگر کمک ‌گرفته‌ شده است. ‌تعداد سازمان‌هایی که کسپرسکی، Moriya را در شبکه آنها شناسایی کرده است کمتر از ۱۰ مورد هستند و همه آنها سازمان‌های مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بوده‌اند.
 
نشانه‌های آلودگی، لینک مشروح گزارش کسپرسکی و همچنین منابع آشنایی با کارزار TunnelSnake در پایگاه اینترنتی مرکز مدیریت راهبردی افتا قابل دریافت و مطالعه است.
 

آلوده شدن بیش از ۱۰ میلیون دستگاه اندرویدی توسط تنها یک بدافزار!

/در , , , , , , , , , , , , , , , /توسط

آلوده شدن بیش از 10 میلیون دستگاه اندرویدی توسط تنها یک بدافزار!

براساس شرکت Check Point، سازنده نرم افزارهای امنیت سایبری، بیش از ۱۰ میلیون دستگاه اندرویدی در سراسر جهان توسط یک بدافزار به نام HummingBad آلوده شدند. این شرکت که از زمان کشف این بدافزار در ماه فوریه میلادی آن را رصد و ارزیابی می کردند، روز جمعه تجزیه و تحلیل های خود مبنی بر تهدیدهای ناشی از این بدافزار را منتشر کردند.

چیزی که در رابطه با بدافزار HummingBad خودنمایی می کند، تیم توسعه دهنده پشت آن بوده که براساس گفته های Check Point، یک تیم توسعه دهنده از شرکت Yingmob است. این شرکت یک آژانس تجزیه و تحلیل تبلیغاتی چند میلیون دلاری مستقر در پکن است.

Check Point در این باره اظهار داشت: “Yingmob چندین تیم توسعه دهنده در اختیار دارد که پلتفرم های تبلیغاتی و ردیابی قانونی را توسعه می دهند. تیم مسئول برای توسعه این اجزای مخرب “تیم توسعه برای پلتفرم خارج از کشور” بوده که شامل ۴ گروه و در مجموع ۲۵ توسعه دهنده است.”

این بدافزار، قطعه نرم افزاری به نام روت کیت (rootkit) را در دستگاه های اندروید نصب می کرد و به این مجرمان سایبری سطح دسترسی مدیریتی می داد. این دسترسی برای تولید درآمد تقلبی از تبلیغات مورد استفاده قرار می گرفت و از طریق اجبار کاربر به دانلود برنامه ها و یا کلیک بر روی تبلیغات، بیش از ۳۰۰ هزار دلار در ماه نصیب این مجرمان سایبری می کرد.

Check Point در ادامه این گزارش تحلیلی خاطر نشان می کند که درآمد متقلبانه از تبلیغات، تنها راه درآمدی این مجرمان نبوده و علاوه بر آن، این افراد از طریق فروش دسترسی گوشی ها و اطلاعات آن ها به دیگران نیز کسب درآمد می کردند.

بیشتر قربانیان این بدافزار از کشورهای چین و هند هستند که به ترتیب با ۱.۶ میلیون و ۱.۳۵ میلیون دستگاه اندرویدی، در صدر این لیست جای گرفته اند. پس از آن ها نیز فیلیپین، اندونزی و ترکیه بیشترین تعداد دستگاه های آلوده شده به این بدافزار را در خود جای داده اند. در ایالات متحده نیز ۲۸۸۸۰۰ دستگاه و در انگلستان و استرالیا نیز هر کدام کمتر از ۱۰۰ هزار دستگاه به این بدافزار آلوده شده اند.

بدافزارها در طول چند سال اخیر خسارات قابل توجهی به پلتفرم های موبایل وارد ساخته اند. اپل که در گذشته به ضد ویروس و ضد بدافزار شناخته می شد، به تازگی با حملات متعددی مواجه شده است که براساس Check Point، برخی از آن ها توسط همان تیم پشت بدافزار HumminBad توسعه یافته بودند. علاوه بر این موارد، ماه گذشته یک هکر روسی با استفاده از یک بدافزار، به اطلاعات میلیون ها نفر از کاربران توییتر دستبرد زد.

هیچ کدام از کمپانی های Yingmob و یا گوگل در رابطه با این بدافزار موضع گیری نکرده اند.

آیا گوشی اندرویدی شما نیز به این بدافزار دچار شده بود؟ تجربیات خود در این باره را با ما به اشتراک بگذارید.

.

با عضویت در کانال رسمی تکرا در تلگرام از آخرین اخبار روز تکنولوژی مطلع باشید.

.

منبع: cnet

عصر تکنولوژی، تکرا

نوشته آلوده شدن بیش از ۱۰ میلیون دستگاه اندرویدی توسط تنها یک بدافزار! اولین بار در عصر تکنولوژی - تکرا پدیدار شد.