افتانا 13 خرداد 1398 ساعت 13:58 http://www.aftana.ir/fa/doc/news/15428/کمپین-مخرب-چینی-هزاران-سرور-ویندوزی-دنیا-آلوده -------------------------------------------------- عنوان : کمپین مخرب چینی هزاران سرور ویندوزی دنیا را آلوده کرد -------------------------------------------------- یک هکر چینی، ۵۰ هزار سرور MS-SQL و PHPMyAdmi را در سراسر جهان مورد حمله سایبری قرار داد. متن : یک هکر چینی، ۵۰ هزار سرور MS-SQL و PHPMyAdmi را در سراسر جهان مورد حمله سایبری قرار داد. به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی از شناسایی یک کمپین مخرب راه اندازی شده به وسیله یک هکر چینی خبر دادند که بیش از ۵۰ هزار سرور MS-SQL و PHPMyAdmi ویندوز را در سراسر جهان با نوعی بدافزار آلوده کرده بود. شرکت های فعال در زمینه های مراقبت های بهداشتی، مخابراتی، رسانه ای و فناوری اطلاعات تحت تاثیر قرار گرفته اند. تعداد قابل توجهی از سرورهای مورد تهاجم واقع شده از روت کیت های مخصوص کرنل برای مقابله با بدافزارها (معمولا ماینرهای ارزهای دیجیتالی) بهره می گرفتند و توسط اطلاعات آلوده مورد نفوذ واقع شدند. این درایور کرنل دارای امضای دیجیتالی صادر شده به وسیله Verisign است و با VMProtect، نرم افزاری برای خنثی سازی فرایند مهندسی معکوس و پژوهشگران بدافزارها، محافظت می شود. هکرهای چینی از اسکنر پورت، ابزار بروت فورس MS-SQL و سپس یک فرمان اجرای کد از راه دور برای گسترش بدافزار استفاده کردند و با آزمایش ده ها هزار ترکیب مختلف به رمزهای عبور و ورود به سیستم دسترسی یافتند. به گفته کارشناسان، هکرهای چینی همه زیرساخت ها را روی سرور فایل بدون کنترل های هویت فعال رها کرده بودند. Ophir Harpaz و Daniel Goldberg، محققان اصلی پروژه کمپین مخرب یاد شده را در ماه آوریل ۲۰۱۹ شناسایی کردند. این کمپین شامل سه حمله با آدرس های اینترنتی متعلق به آفریقای جنوبی است که توسط شبکه حسگر جهانی شرکت مذکور علامت گذاری می شود. تحلیلگران حملاتی را شناسایی کردند که به الگوهای مشاهده شده در ۲۶ فوریه ۲۰۱۹ شباهت داشتند. این تهاجم ها روزانه بیش از ۷۰۰ قربانی می گرفتند. به علاوه ۲۰ نوع متفاوت از داده های مختلف وجود داشت که در بازه زمانی یک هفته ایجاد شده و بلافاصله مورد استفاده قرار می گرفتند. این دو تحلیلگر اعلام کردند: کمپین Nansh0u، یک حمله استخراج ارز معمول نیست. این کمپین از روش های مشاهده شده در انواع APT مانند اعتبارنامه های جعلی استفاده می کند. آنها افزودند: یک نمونه دیگر پیچیدگی، درایور رها شده با بارهای مختلف است. اخذ گواهی نامه امضا شده برای یک درایور به برنامه ریزی و اجرای جدی نیاز دارد. علاوه بر این، درایور به صورت عملی هر نسخه ویندوز را از ویندوز ۷ تا ۱۰ و همچنین نسخه های بتا پشتیبانی می کند. پژوهشگران با اشاره به چند تصمیم گیری عجیب SecOps از سوی مهاجم نوشتند: مهاجمان معمولاً زیرساخت کلی خود را روی یک سرور فایل بدون کنترل های هویت فعال نگهداری نمی کنند. ما می توانیم به الگوریتم ها، فهرست های قربانیان، نام های کاربری و فایل های دوتایی با یک کلیک موس دسترسی پیدا کنیم. به علاوه، تمام فایل های دوتایی برچسب زمانی اصلی خود را دارند؛ یک نویسنده با تجربه بدافزار برای پیچیده کردن فرایند تجزیه وتحلیل به آنها نفوذ می کند.