بدافزار سرقت‌های سایبری از بانک‎ها مربوط با هک تصاویر سونی است!

اخبار تایید شده توسط SWIFT نشان می‌هد که دومین بانک هم قربانی حمله‌ای بدافزاری شد. تحقیقات انجام شده توسط محققان امنیتی در سیستم‌های BAE بسیار شگفت‎انگیز شدند چرا که طبق گفته‌ی متخصصان، سرقت سایبری از بانک بنگلادش و بانک ناشناسی در ویتنام به رخنه‌ی پر سر و صدای تصاویر سونی مرتبط است.
زمانی که حادثه‌ی رخنه‌ی سونی رخ داد، مقامات آمریکایی، کره شمالی را عامل این حمله دانستند و دولت اوباما نیز تصمیم گرفت که تحریم‌های اقتصادی علیه ۱۰ مقام ارشد کره شمالی و سه نهاد این کشور را تشدید کند.
در حال حاضر ما با دو گزینه رو به رو هستیم: یکی اینکه کره شمالی اقتصاد جهانی را هدف قرار داده و دوم اینکه در برابر حملات پرچم دروغینی هستیم که توسط شخصی هدایت می‌شود که عملیاتی انحرافی با استفاده از کد مورد استفاده در رخنه‌ی سونی انجام می‌دهد.
متخصصان امنیتی سرگئی شفچنکو و آدریان نیش از شرکت BAE شواهدی جمع آوری کردند که حاکی از رابطه بین بدافزار مورد استفاده در حملات سایبری اخیر علیه موسسه‌های مالی و کد مخرب مورد استفاده برای سوءاستفاده از سامانه‌های تصاویر سونی در سال ۲۰۱۴ است.
این دو متخصص امنیتی نشان دادند که بدافزار استفاده شده در حملات علیه بانک‌ها به بدافزار پاک‎کننده‌ی مشابهی مربوط می‌شود.
در بررسی منتشر شده توسط این دو محقق نوشته شده است: «اجرای این دستورالعمل بسیار منحصربه‌فرد است. این دستورالعمل شامل پر کردن کامل پرونده با اطلاعات تصادفی برای پر کردن تمامی بخش‌های دیسک است، پیش از اینکه پرونده حذف شود. دستورالعمل حذف پرونده نیز خود منحصربه‎فرد است. ابتدا نام پرونده به یک پرونده موقتی با نامی تصادفی تغییر می‌کند و سپس آن پرونده موقتی نیز پاک می‌شود».
این محققان با تعمیم بررسی‌هایشان به نمونه‌های بدافزاری پیشین با خصوصیات مشابه، دریافتند که بدافزار پاک‎کننده msoutc.exe نام دارد. این بدافزار در ۲۴ اکتبر ۲۰۱۴ نوشته شد و اولین بار در ۴ مارس ۲۰۱۶ توسط یک کاربر آمریکایی در یک پایگاه داده‌ی بدافزاری بارگذاری شد.
این بدافزار پاک‎کننده به محض راه‎اندازی بررسی می‌کند که آیا نمونه‌ی دیگری از خودش روی سامانه‌ی آلوده وجود دارد یا خیر تا از ایجاد چند نسخه مشابه جلوگیری کند.
اگر بدافزار بفهمد که بدافزار دیگری هم روی سامانه در حال اجراست، خودش را حذف می‌کند. متخصصان همچنین متوجه شدند که کد مخربی پرونده گزارشات را با یک رمز قفل می‌کند:

y@s!۱۱yid۶۰u۷f!۰۷ou۷۴n۰۰۱

دقیقا همین کد توسط بدافزار مخرب دیگری استفاده می‌شود که در سال ۲۰۱۵ توسط PwC گزارش شده بود و همچنین CERT آمریکا در دسامبر ۲۰۱۴ و در پی رخنه به تصاویر سونی آن را در هشدار TA۱۴-۳۵۳A ذکر کرد.
شفچنکو و نیش تایید کردند که این دستورالعمل مورد استفاده توسط بدافزار برای حذف کردن خودش از دستگاه آلوده همانند دستوری است که شرکت امنیتی Novetta برای بدافزار مورد استفاده توسط گروه Lazarus APT گزارش داده بود. گروه Novetta همان گروهی است که در گزارش «بمب تخریبی عملیات» این شرکت، مقصر حمله به تصاویر سونی شناخته شد.
در ادامه گزارش این دو محقق آمده است که: «جزئیات بیشتر این کیت مشابه در گزارش «بمب تخریبی عملیات» در فوریه ۲۰۱۶ منتشر شده است. Msoutc.exe با توصیف انواع مختلف Sierra Charlie مطابقت دارد. طبق بررسی‌ها این بدافزار از نوع توزیع‎کننده‌ی بدافزاری است که احتمالاً پیش از انجام عملیات بیشتر برای به دست آوردن جای پای ثابت درون چند دستگاه استفاده می‌شود.
با وجود گزارشات شفچنکو و نیش، این احتمال وجود دارد که یک عامل مخرب برای پیچیده‌تر کردن اوضاع، دوباره از کد هک تصاویر سونی استفاده کند. اما ظاهراً این دو نفر نظر دیگری دارند:
«هم‎پوشانی این نمونه‌ها گویای رابطه‌ای قوی برای رمزنگاری مشابه‌ است که پشت این سرقت‌های بانکی و عملیات شناخته‌ شده‌ی گسترده‌ای است که از تقریباً یک دهه پیش شروع شده است».

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap