توسعه نسخه جدیدی از GovRAT برای حمله به دولت و سایر سازمان‌ها

بدافزار GovRAT یک ابزار جاسوسی سایبری قدیمی است که از سال ۲۰۱۴ در حملات نقش داشته است و طی سال‌ها توسط تهدیدکنندگان مختلف استفاده شده است.

کارشناسان امنیتی شرکت کشف تهدیدات infoArmor اولین بار در سال ۲۰۱۵ این بدافزار را کشف کردند.

GovRAT یک بستر نفوذ است که امکان ایجاد بدافزار را فراهم می‌کند. این بستر همراه با مجوزهای دیجیتال برای امضای کد دسته‌بندی شده است. همین مجوزهای دیجیتال اولین بار در بازار سیاه TheRealDeal Market روی شبکه Tor به فروش گذاشته شده‌اند. در سال ۲۰۱۵، GovRAT به قیمت ۱.۲۵ بیت کوین به فروش گذاشته شد اما کارشناسان مشاهده کردند که سازنده آن، این بستر را در معرض فروش خصوصی نیز گذاشته است.

مجوزهای دیجیتال GovRAT

ابزار GovRAT کد مخرب را با ابزارهای امضای کد مثل Microsoft Sign Tool ،Win Trust و فناوری Authenticode امضای دیجیتال می‌کند. کارشناسان تصور می‌کنند که مشتری نهایی GovRAT گروه‌های APT هستند که کارکنان سیاسی، دیپلماتیک و نظامی بیش از ۱۵ کشور را در جهان هدف می‌گیرند.

سازنده GovRAT که با نام bestbuy وارد اینترنت می‌شود، کد منبع و مجوز دیجیتال امضای این کد را به مبلغ تقریباً ۴.۵ بیت کوین در بازار سیاه TheRealDeal به فروش گذاشته است.

دسترس‌پذیری کد منبع به هر کسی امکان می‌دهد که آن را دست‌کاری کرده، بهبود دهد و این همان اتفاقی است که در مورد GovRAT ۲.۰ در حال رخ دادن است.

Vxers اخیراً نسخه جدیدی از RAT موسوم به GovRAT ۲.۰ را منتشر کرد که توسط نفوذگران برای هدف گرفتن دولت آمریکا و دیگر سازمان‌های این کشور استفاده شده است.

Govrat ۲.۰

پس از اولین گزارشی که توسط InfoArmor منتشر شد، Bestbuy شروع به استفاده از نام Popopret کرد.

RAT از طریق حملات فیشینگ نیزه‌ای و Drive-by-download فعال می‌شود. سازمان‌های دولتی و نظامی ازجمله قربانیان هستند. داده‌های به سرقت رفته از سازمان‌های نظامی نیز در بازار سیاه به فروش گذاشته شده‌اند.

گونه جدید از GovRAT ۲.۰ شامل چند ویژگی جدید از جمله بهبود روش‌های گریز از شناسایی، اجرای فرمان از راه دور، نگاشت خودکار دیسک‌های سخت و به اشتراک‌گذاری در شبکه‌ها است.

به گفته کارشناسان شرکت InfoArmor، سازمان‌های دولتی و نظامی بیش ‌از پیش هدف نفوذگرانی قرار گرفته‌اند که از این تهدیدها استفاده می‌کنند.

در زیر فهرست کاملی از ویژگی‌های GovRAT ۲.۰ که توسط شرکت InfoArmor منتشر شده آمده است:

•دسترسی به کارگزار کنترل و فرمان‌دهی با استفاده از هر مرورگری

•کامپایل کارگزار کنترل و فرمان‌دهی برای لینوکس و یا ویندوز

•معکوس‌ناپذیری بدون کلید خصوصی. ضد اشکال‌یابی روز-صفرم

•نگاشت خودکار تمام دیسک‌های سخت و دیسک‌های شبکه

•ایجاد نقشه‌ای از پرونده‌ها برای جستجو، حتی زمانی که هدف برخط نیست.

•اجرای پوسته/ فرمان از راه دور

•بارگذاری پرونده‌ها یا بارگذاری و اجرای پرونده‌ها در هدف

•بارگیری پرونده‌ها از نقطه هدف. برای تسریع در بارگیری پرونده‌ها و رمزنگاری، در هنگام انتقال، تمام پرونده‌ها با نرم‌افزار LZMA فشرده شده‌اند.

•رمزنگاری سفارشی برای ارتباطات. هیچ دو دستگاهی از یک کلید استفاده نمی‌کنند.

•پشتیانی از SSL برای برقراری ارتباط. (برای استفاده از این ویژگی باید مجوز معتبر SSL خود را داشته باشید).

•از کتابخانه‌های SOCKS استفاده نمی‌کند. از API های ویژه ویندوز برای برقراری ارتباط استفاده می‌کند. امکان مسدودسازی وجود ندارد.

•به منظور ارتقا امنیت، کارگزار کنترل و فرمان هر بار یک کلمه عبور یک‌بار مصرف ایجاد می‌کند و کاربر با استفاده از آن وارد می‌شود.

•همراه با کد منبع یک کی‌لاگر FUD وجود دارد که کلید را به کارگزار دیگری می‌فرستد.

•این بدافزار برای کمپین‌های بلند‌مدت که ارتباط پایدار مورد نیاز است مناسب است.

یکی دیگر از ویژگی‌های جالب پیاده‌سازی شده در این بدافزار این است که بدافزار مذکور توانایی پخش شدن از طریق دستگاه‌های USB و به اشتراک‌گذاری در شبکه‌ها را مثل یک کرم رایانه‌ای دارد.

قیمت این بدافزار از ۱۰۰۰ دلار برای کد باینری اصلی و کد فرمان و کنترل تا ۶۰۰۰ دلار برای یک بسته کامل متغیر است. بسته کامل شامل کد منبع برای هر جزء از زیرساخت مخرب و واحدهای اضافی آن است.

کارشناسان امنیتی چندین پیشنهاد فروش را برای بسیاری از دامنه‌های دولت امریکا ازجمله gsa.gov ،va.gov ،nasa.gov ،nps.gov ،faa.gov و state.gov و دامنه‌های مرتبط به ارتش امریکا، مثل navy.mil ،mail.mil ،army.mil و af.mil کشف کرده‌اند.

در این گزارش آمده است: «در یکی از انجمن‌های زیرزمینی در شبکه TOR، همان عامل مخرب در حال فروش مجوزهای به خطر افتاده مربوط به کارگزارهای FTP مؤسسات دولتی امریکا مشاهده است. علاوه بر NOAA.gov ،USPS.gov و CDG.gov، این عامل چندین مجوز دیگر را برای زیردامنه‌های JPL.NASA.gov و NAVY.mil نیز به فروش گذاشته بود.»

مجوزها برای چندین حمله GovRAT ۲.۰ استفاده شده‌اند. کارشناسان همچنین شاهد استفاده از ۳۳۰۰۰ مجوز دیگر به سرقت رفته از مؤسسات دولتی، تحقیقاتی و آموزشی آمریکا بوده‌اند که سازنده بدافزار مذکور از طریق نفوذگری به نام PoM (اختصار عبارت Peace-of-Mind یا peace) ارائه کرده است.

همچنین در این گزارش آمده است: «یک عامل مخرب دیگر با عنوان PoM نیز شناسایی شده است که یکی از شرکای popopret است و ۳۳۰۰۰ اطلاعات را همراه با مجوزهای مربوط به دولت امریکا و سازمان‌های مختلف تحقیقاتی و آموزشی به فروش گذاشته است. در توضیحات اطلاعیه فروش، خود او این موضوع را مطرح می‌کند که اطلاعات درهم‌سازی شده بودند اما او توانسته آن‌ها را رمزگشایی کند و به‌طور بالقوه از آن‌ها برای دسترسی به مؤسسات دیگر و نیز برای استفاده در رقابت‌های SE (مهندسی اجتماعی) و فیشینگ نیزه‌ای استفاده کند. PoM داده‌های به سرقت رفته کارکنان دولتی و نظامی را به عاملان دیگر داده است. پس از تحلیل جامع مشخص شد که بخش زیادی از این داده‌ها از طریق نفوذ در وبگاه موسسه ملی علوم ساختمانی آمریکا (http://www.nibs.org/) در دسترس قرارگرفته‌اند. این وبگاه شامل اعضای زیادی از جامعه تحقیقاتی، آموزشی، دولتی و نظامی آمریکا است.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.