محققان لابراتوار کسپرسکی یک در پشتی را در محصول نرمافزاری مدیریت سرور کاربردی در صدها کسبوکار جهان کشف کردند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کسپرسکی درباره بدافزار ShadowPad که میتواند از در پشتی به نرمافزار سازمانی کاربردی نفوذ کند، هشدار داد. با فعال شدن نرمافزار، در پشتی به مجرمان این اجازه را میدهد که ماژولهای مخرب را دانلود کنند و یا دادههای یک سازمان را به سرقت ببرند. لابراتوار کسپرسکی اخطارهای لازم را درباره NetSarang (عرضهکننده نرمافزار آلوده) به کاربران سراسر جهان داد و تاکید کرد که کدهای مخرب به سرعت از روی نرمافزار حذف شدهاست و بهروزرسانی برای کاربران این نرمافزار منتشر شدهاست.
ShadowPad یکی از بزرگترین حملات زنجیرهای در سراسر جهان است. این تهدید دارای یک استراتژی قوی بود و به سختی شناسایی شد. ShadowPad میتوانست صدها سازمان را در سراسر جهان هدف بگیرد.
در ماه ژوییه ۲۰۱۷، تیم تحقیقاتی و تحلیل جهانی لابراتوار کسپرسکی (GReAT) با یکی از پارتنرهای خود (مؤسسات مالی) رویکردی را بررسی کردند. متخصصان امنیتی سازمان در مورد DNS (سرور نام دامنه) مشکوک که درخواستهای عجیبی را برای پردازش معاملات مالی ارسال می کرد، ابراز نگرانی کردند و تمرکز خود را بر روی این موضوع گذاشتند.
تحقیقات بیشتر در این مورد نشان داد که منبع این درخواستها، نرمافزار مدیریت سرور بود که توسط شرکتی کاملا قانونی ایجاد شدهبود و مورد استفاده صدها کاربر در صنایع مختلف همانند خدمات مالی، آموزشی، مخابرات، تولید، انرژی و حملونقل قرار گرفتهبود. نگرانکنندهترین یافتههای تیم امنیتی این بود که این درخواستها از جانب فروشندگان این نرمافزار نبود و آنها میدانستند که طبق معمول مجرمان سایبری هستند که خود را پنهان کردهاند.
علاوهبر این تیم آنالیزگر لابراتوار کسپرسکی متوجه شدند که درخواستهای مشکوک در واقع نتیجهای از فعالیتهای یک ماژول مخرب در آخرین نسخه قانونی نرمافزار است. با نصب آپدیت نرمافزار آلوده، ماژول مخرب درخواستهای DNS به دامنههای خاص (سرور command and control) با فرکانس یکبار در هر هشت ساعت ارسال میکرد، اما درخواستی که مصرانه ارسال میشد شامل اطلاعات اولیه در مورد سیستم قربانی نام کاربری، نام دامنه و نام هاست بود. درصورتیکه مجرمان سیستم مورد حمله را جالب و کاربردی میدیدند، سرور به آن پاسخ میداد و یک پلتفرم در پشتی بهطور کامل فعال میشد و بهطور کاملا بیصدا به درون کامپیوتر حملهور میشد. پس از آن بر اساس فرمان مجرمان، پلتفرم قادر به دانلود و اجرای کدهای مخرب بیشتری خواهدبود.
پس از کشف این آسیبپذیری محققان امنیتی لابراتوار کسپرسکی فورا با NetSarang تماس گرفتند و موضوع را با آنها در میان گذاشتند. این کمپانی نیز به سرعت واکنش نشان داد و نسخه به روز شده نرمافزار را بدون کدهای مخرب منتشر کرد.
طبق یافتههای لابراتوار کسپرسکی همچنان بسیاری از کسبوکارها هستند که آپدیت را انجام ندادهاند و این بیاهمیتی میتواند همانند یک بمب کار گذاشته شده، اما فعالنشده عمل کند و یک مجموعه را به نابودی بکشاند.
محققان لابراتوار کسپرسکی تکنیکهای استفاده شده در این حمله را تجزیهوتحلیل کردند و به این نتیجه رسیدند که برخی از این تکنیکها بسیار شبیه عملکرد مخرب گروههای PlugX و Winnti بوده که در حملات خود از آنها استفاده میکردند. این دو تیم یکی از گروههای جاسوسی چینی بود که شهرت بسیار زیادی را یافتند. با وجود این شباهتها باز هم نمیتوان در مورد اینکه این گروه پشت این حمله بودهاند، قضاوتی دقیق داشت.
Igor Soumenkov، کارشناس امنیتی در تیم تحقیق و تحلیل لابراتوار کسپرسکی، میگوید: «ShadowPad نمونهای از حملات خطرناک و گسترده بود که موفق شد حملاتی زنجیرهای را در سراسر جهان به راه اندازد. با توجه به فراهم شدن فرصتها برای دسترسی و جمعآوری دادهها احتمال حملات بعدی و قویتر را برای ShadowPad میدهند.
خوشبختانه NetSarang سریعا نسبت به این مشکل واکنش نشان داد و به لطف اطلاعرسانی کارشناسان امنیتی کسپرسکی آپدیت جدید نرمافزار مربوط را داد و از صدها حملات پرخطر در سراسر جهان جلوگیری کرد. با این حال نه فقط این حمله بلکه تمامی حملات گذشته نشان میدهند که شرکتهای بزرگ و کسبوکارها باید به فکر راهکارهای پیشرفتهای باشند که قادر به نظارت بر فعالیتهای شبکه و تشخیص فعالیتهای مخرب هستند. در این حمله شما متوجه شدید که مجرمان از در پشتی به نرمافزار NetSarang حملهور شدند و قادر به اجرای کدهای مخرب خود بودند. پس تمامی این اقدامات به صورت مخفی انجام میشود و در صورت نداشتن راهکار امنیتی بههیچوجه امکان تشخیص آنها وجود نخواهد داشت. NetSarang مشاهده تمامی سیستمهای موجود در شبکه در قسمت دیگر سیستمها، مدیریتی کامل بر روی شبکه، کنترل نرمافزاری تمام قسمتهای مختلف کامپیوترهای متصل به شبکه، مشاهده صفحه نمایش دیگر سیستمها، توانایی کنترل اشتراکگذاری فایلها در سیستمها، قابلیت برقراری ارتباط از طریق IP به کمک Address Bar، پشتیبانی از پروتکلهای مختلف اینترنتی، توانایی اتصال بهوسیله TelNet، قابلیت اتصال به پروتکلهای FTP برای انتقال فایل، مناسب برای شبکههای کوچک خانگی و شبکههای بزرگ تجاری، توانایی ساخت پروفایلهای مختلف برای سرور و کاربران، امکان ساخت shortcut دسکتاپ برای دسترسی سریعتر را انجام میدهد و قابلیت کنترل تمامی Client های موجود در محیط شبکه از سوی مدی، قابلیت کنترل تمامی سیستمها از سوی مدیریت و اعمال تغییرات دلخواه، استفاده آسان هم برای مدیر و هم برای کلاینتها، به اشتراکگذاری فایلها از سوی کلاینتها و سرور، به اشتراکگذاری اینترنت در میان کلاینتها با تعیین حد و مرز استفاده، شناسایی و سازگاری با پروتکلهای مختلف اینترنتی، توانایی ارتباط با پروتکل FTP به منظور ارسال فایلها بر روی سرور، امنیت بالا در محیط شبکه، به اشتراک گذاری پرینتر و مدیریت چاپ اسناد و سرعت بالا در برقراری ارتباط را داراست.
نسخه جدید این نرمافزار ۱۸ ژوئیه ۲۰۱۷ منتشر شد که متاسفانه در این نسخه یک در پشتی وجود داشت و از این رو مجرمان توانستند نرمافزار را اکسپلویت و به سیستم کاربران نفوذ کنند.
واقعیت اینجا است که مجرمان سایبری و گروهها و نهادهای مخرب از نرمافزارهای تجاری و البته کاملا رسمی و مشروع برای افزایش دستمزد خود استفاده میکنند و فقط همین موضوع برای آنها اهمیت دارد. NetSarang هم به همین ترتیب مورد حمله قرار گرفت و مجرمان نرمافزار محبوبی را یافتند و توانستند از آسیبپذیری که سهوا در این نرمافزار قرار داشت استفاده کنند و امنیت کسبوکارها را به خطر اندازند.
NetSarang نرمافزاری است که به فراهم کردن امنیت کاربرانش متعهد است و سیستمی قوی را به همین منظور برای برقراری امنیت در عملکرد و ارائه خدماتش در نظر گرفتهاست. این نرمافزار برای ارزیابی و بهبود امنیت تلاش خواهدکرد و برای مبارزه با مجرمان سایبری و بهدست آوردن مجدد اعتماد کاربرانش وظیفهشناس خواهدبود.
تمام راهکارهای لابراتوار کسپرسکی بدافزار ShadowPad را با عنوان "Backdoor.Win۳۲.ShadowPad.a" شناسایی و در مقابل آن از سیستم محافظت میکند. لابراتوار کسپرسکی به کاربران توصیه می کند که NetSarang را به آخرین نسخه منتشر شده ارتقا دهند تا نرمافزار از هرگونه کدهای مخرب حذف شود و ارسال درخواستهای DNS جایی در آن نداشته باشد. اکیدا پیشنهاد میشود که برای کسبوکار خود از یک راهکار امنیتی که بتواند فعالیتهای مخرب را تشخیص و آنها را مسدود سازد، استفاده کنید.
شما همچنین میتوانید از کسبوکار خود بهصورت رایگان محافظت کنید. لابراتوار کسپرسکی نسخه رایگان محافظت از کسبوکارها را بهتازگی منتشر کرده که توسط این لینک قابل دریافت است.