بهگفته کارشناسان امنیتی، نفوذگران PLATINUM راهی برای دورزدن سیستمعامل مایکروسافت پیداکردهاند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، تیم نظارت بر تهدیدهای پیشرفته Windows Defender گروهی از نفوذگران را با نام PLATINUM شناسایی کردهاست که راهی را برای دورزدن سیستمعامل مایکروسافت پیداکردهاند.
این گروه از روش موجود در ویندوز موسوم به Hotpatching برای مخفیسازی بدافزارشان از محصولات ضدبدافزاری استفادهکردهاند.
Hotpatching که تحتعنوان وصلهسازی زنده۱ و یا بهروزرسانی پویای نرمافزار نیز شناخته میشود، اعمال وصلهها بدوننیاز به خاموشکردن و یا بازنشانی سیستمعامل است.
گروه نفوذ PLATINUM از سال ۲۰۰۹ فعال بودهاست. این تیم موفق شدهاست در این سالها حملات زیادی را در مقیاسهای بزرگ علیه سازمانهای دولتی، آژانسهای امنیتی، مؤسسههای دفاعی و فراهمآورندگان سرویسهای ارتباطی در جنوب و جنوبشرق آسیا انجامدهد.
در عمل مهمترین فاکتور برای یک نفوذ از نوع APT این است که تا حد امکان مخفی باقیبماند.
تهدید پیشرفته مستمر (۲APT) منظور روشهای پیشرفته و معمولاً مخفی برای جمعآوری مستمر اطلاعات در مورد فرد یا گروهی از افراد از جمله دولتهای خارجی است. به عبارتی APT زیرمجموعهای از تهدیدها است که در یک الگوی درازمدت برای راهاندازی حملات پیچیده علیه دولتها، شرکتها و فعالان سیاسی استفاده میشود. این اصطلاح به گروهی که این حملات را راهاندازیمیکند نیز اطلاقمیشود.
در این حملات منظور از پیشرفته، این است که مهاجمان در پشت تهدید از طیف کاملی از تکنیکهای جمعآوری اطلاعات استفادهمیکنند. این ممکناست شامل تکنیکهای پیشرفته نفوذ باشد، اما همچنین ممکناست شامل تکنیکهای جمعآوری اطلاعات متداول از قبیل فناوریهای استراقسمع تلفن و تصویربرداری ماهوارهای باشد.
درحالیکه بعضی از ابزارهای حمله ممکناست در دسته «پیشرفته» جای نداشتهباشند (مثلاً نرمافزارهای مخرب معمول که در دسترس عموم است) ولی مهاجمان معمولاً امکان دسترسی و توسعه بیشتر ابزارهای پیشرفته موردنیاز را دارند. آنها از روشها و ابزار مختلف حمله جهت رسیدن به هدف خود استفادهمیکنند.
منظور از مستمر نیز در این حملات این است که عاملان حمله هدف خاصی را در اولویت قرارمیدهند و بهدنبال بهدستآوردن نفع مالی فوری نیستند. این نوع تهدیدها نشان بر این است که مهاجمان سایبری توسط موجودیتهای پشتپرده هدایتمیشوند.
ویژگی Hotpatching که توسط این گروه مورد سوءاستفاده قرارگرفتهاست از سال ۲۰۰۳ و در ویندوز سرور ۲۰۰۳ معرفی شدهاست. گروه نفوذ PLATINUM معمولاً از روشهای اِسپر فیشینگ برای نفوذ به شبکههای هدف بهره بردهاست. اِسپر فیشینگ، نوعی فیشینگ است که هدف آن افراد یا شرکتهای خاصی است و در آن مهاجمان اقدام به جمعآوری اطلاعات شخصی هدف بهمنظور افزایش احتمال موفقیت میکنند. این روش بیش از ۹۱ درصد حملات از این نوع را تشکیلمیدهد.
گروه PLATINUM با سوءاستفاده از ویژگی Hotpatching در ویندوز کدهای مخرب خود را در فرآیندهای در حال اجرا تزریقمیکردهاند و سپس درهای پشتی و بدافزار خود را از چشم محصولات ضدبدافزاری موجود مخفیمیکردهاند.
مایکروسافت میگوید اگر روش آنها در تزریق کد با استفاده از Horpatching موفقنمیشد، گروه مذکور از سایر روشهای رایج در تزریق کد به فرآیندهای ویندوز همچون winlogon.exe، lsass.exe و svchost.exe استفادهمیکردهاند.
متخصصان امنیتی میگویند گروه PLATINUM توانستهاست با استفاده از همین روش درهای پشتی Dipsing، Adbupd و JPIN را بر روی شبکههای مورداستفاده سازمانهای دولتی و دفاعی، فراهمآورندگان سرویسهای اینترنتی و شخصیتهای سیاسی نصبکند تا درنهایت اطلاعات حساس آنها را بهسرقتببرند.
همچون سایر گروههای مهاجم APT بهنظرمیرسد هدف این گروه نیز نفع مالی سریع نبوده بلکه درنظر دارند، از این اطلاعات سرقتشده در کمپینهای جاسوسی اقتصادی گستردهتر استفادهکنند.
نفوذگران PLATINUM توانستهاند از سال ۲۰۰۹ تا کنون کشورهایی همچون اندونزی، چین، هند و مالزی را تحتتاثیر حملات خود قراردهد که از این میان مالزی بزرگترین قربانی آنها بودهاست.
اگرچه گروه PLATINUM هنوز فعال است اما سازمانها و شرکتها میتوانند از حملات آنها اجتنابکنند. متخصصان امنیتی ویندوز میگویند روش Hotpatching برای اجرا نیاز به دسترسیهای مدیریتی دارد، بنابراین مهاجمان برای دسترسی به این سطح از اختیارات در سامانه هدف، اقدام به ارسال ایمیلهای فیشینگ میکنند تا هدف موردنظر را از طریق مستندات آلوده در ایمیل گرفتارکنند.