نفوذگران PLATINUM، سیستم‌عامل مایکروسافت را دور‌می‌زنند

به‌گفته کارشناسان امنیتی، نفوذگران PLATINUM راهی برای دور‌زدن سیستم‌عامل مایکروسافت پیدا‌کرده‌اند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تیم نظارت بر تهدید‌های پیشرفته‌ Windows Defender گروهی از نفوذگران را با نام PLATINUM شناسایی کرده‌‌است که راهی را برای دور‌زدن سیستم‌عامل مایکروسافت پیدا‌کرده‌اند. 

این گروه از روش موجود در ویندوز موسوم به Hotpatching برای مخفی‌سازی بدافزارشان از محصولات ضدبدافزاری استفاده‌کرده‌اند. 

Hotpatching که تحت‌عنوان وصله‌سازی زنده۱ و یا به‌روزرسانی پویای نرم‌افزار نیز شناخته می‌شود، اعمال وصله‌ها بدون‌نیاز به خاموش‌کردن ‌و یا بازنشانی سیستم‌‌عامل است.
 
گروه نفوذ PLATINUM از سال ۲۰۰۹ فعال بوده‌است. این تیم موفق شده‌است در این سال‌ها حملات زیادی را در مقیاس‌های بزرگ علیه سازمان‌های دولتی، آژانس‌های امنیتی، مؤسسه‌های دفاعی و فراهم‌آورندگان سرویس‌های ارتباطی در جنوب و جنوب‌شرق آسیا انجام‌دهد. 

در عمل مهم‌ترین فاکتور برای یک نفوذ از نوع APT این است که تا‌ حد امکان مخفی باقی‌بماند.

تهدید پیشرفته مستمر (۲APT) منظور روش‌های پیشرفته و معمولاً مخفی برای جمع‌آوری مستمر اطلاعات در مورد فرد یا گروهی از افراد از جمله دولت‌های خارجی است. به عبارتی APT زیرمجموعه‌ای از تهدیدها است که در یک الگوی درازمدت برای راه‌اندازی حملات پیچیده علیه دولت‌ها، شرکت‌ها و فعالان سیاسی استفاده می‌شود. این اصطلاح به گروهی که این حملات را راه‌اندازی‌می‌کند نیز اطلاق‌می‌شود.

در این حملات منظور از پیشرفته، این است که مهاجمان در پشت تهدید از طیف کاملی از تکنیک‌های جمع‌آوری اطلاعات استفاد‌ه‌می‌کنند. این ممکن‌است شامل تکنیک‌های پیشرفته نفوذ باشد، اما همچنین ممکن‌است شامل تکنیک‌های جمع‌آوری اطلاعات متداول از قبیل فناوری‌های استراق‌سمع تلفن و تصویربرداری ماهواره‌ای باشد. 

در‌حالی‌که بعضی از ابزارهای حمله ممکن‌است در دسته «پیشرفته» جای نداشته‌باشند (مثلاً نرم‌افزارهای مخرب معمول که در دسترس عموم است) ولی مهاجمان معمولاً امکان دسترسی و توسعه بیشتر ابزارهای پیشرفته موردنیاز را دارند. آنها از روش‌ها و ابزار مختلف حمله جهت رسیدن به هدف خود استفاده‌می‌کنند. 

منظور از مستمر نیز در این حملات این است که عاملان حمله هدف خاصی را در اولویت قرار‌می‌دهند و به‌دنبال به‌دست‌آوردن نفع مالی فوری نیستند. این نوع تهدیدها نشان بر این است که مهاجمان سایبری توسط موجودیت‌های پشت‌پرده هدایت‌می‌شوند. 

ویژگی Hotpatching‌ که توسط این گروه مورد سوءاستفاده قرار‌گرفته‌‌است از سال ۲۰۰۳ و در ویندوز سرور ۲۰۰۳ معرفی شده‌‌است. گروه نفوذ PLATINUM معمولاً از روش‌های اِسپر فیشینگ برای نفوذ به شبکه‌های هدف بهره برده‌است. اِسپر فیشینگ، نوعی فیشینگ است که هدف آن افراد یا شرکت‌های خاصی است و در آن مهاجمان اقدام به جمع‌آوری اطلاعات شخصی هدف به‌منظور افزایش احتمال موفقیت می‌کنند. این روش بیش ‌از ۹۱ درصد حملات از این نوع را تشکیل‌می‌دهد. 

گروه PLATINUM با سوءاستفاده از ویژگی Hotpatching در ویندوز کدهای مخرب خود را در فرآیند‌های در حال اجرا تزریق‌می‌کرده‌اند و سپس درهای پشتی و بدافزار خود را از چشم محصولات ضدبدافزاری موجود مخفی‌می‌کرده‌اند. 

مایکروسافت می‌گوید اگر روش آنها در تزریق کد با استفاده از Horpatching موفق‌نمی‌شد، گروه مذکور از سایر روش‌های رایج در تزریق کد به فرآیند‌های ویندوز همچون winlogon.exe، lsass.exe و svchost.exe استفاده‌می‌کرده‌اند. 

متخصصان امنیتی می‌گویند گروه PLATINUM توانسته‌‌است با استفاده از همین روش درهای پشتی Dipsing، Adbupd و JPIN را بر روی شبکه‌های مورد‌استفاده‌ سازمان‌های دولتی و دفاعی، فرا‌هم‌آورندگان سرویس‌های اینترنتی و شخصیت‌های سیاسی نصب‌کند تا در‌نهایت اطلاعات حساس آنها را به‌سرقت‌ببرند. 

همچون سایر گروه‌های مهاجم APT به‌نظر‌می‌رسد هدف این گروه نیز نفع مالی سریع نبوده بلکه درنظر دارند، از این اطلاعات سرقت‌شده در کمپین‌های جاسوسی اقتصادی گسترده‌تر استفاده‌کنند.

نفوذگران PLATINUM توانسته‌اند از سال ۲۰۰۹ تا کنون کشور‌هایی هم‌چون اندونزی، چین، هند و مالزی را تحت‌تاثیر حملات خود قرار‌دهد که از این میان مالزی بزرگ‌ترین قربانی آنها بوده‌‌است. 

اگرچه گروه PLATINUM هنوز فعال است اما سازمان‌ها و شرکت‌ها می‌توانند از حملات آ‌نها اجتناب‌کنند. متخصصان امنیتی ویندوز می‌گویند روش Hotpatching برای اجرا نیاز به دسترسی‌های مدیریتی دارد، بنابراین مهاجمان برای دسترسی به این سطح از اختیارات در سامانه‌ هدف، اقدام به ارسال ایمیل‌های فیشینگ می‌کنند تا هدف موردنظر را از طریق مستندات آلوده در ایمیل گرفتار‌کنند.