محققان به Furtim، رابط بدافزار SFG ضربه زده‌اند!

تحقیقی جدید، اطلاعات محققان در مورد فورتیم‌، یک‌گونه بدافزار جدید که به دلیل هدف قرار دادن کنترل‌های صنعتی در شرکت‌های انرژی با استاکس‌نت مقایسه می‌شود را زیر سؤال می‌برد.

به گفته کارشناسان امنیتی در شرکت دامبالا، فورتیم و بدافزار اخیراً کشف‌شده SFG یکی هستند و فقط در چند خط کد که شامل اطلاعات سرآیند HTTP می‌شود با یکدیگر فرق دارند.

تحقیق مذکور بررسی‌های قبلی را که فورتیم و SFG را گونه‌های بدافزار مرتبط اما مجزا می‌دانستند توضیح می‌دهد. دان جکسون، محقق ارشد در زمینه‌ی تهدید در شرکت دامبالا، می‌گوید تجزیه‌ و تحلیل‌های بیشتر نشان می‌دهند که این دو بدافزار یکی هستند.

جکسون گفت: «تنها تفاوت آن‌ها در سرآیند HTTP است. این سرآیندها دارای مقادیر متفاوتی هستند و به‌طور تصادفی توسط بدافزار انتخاب ‌شده‌اند به‌طوری که انواع متفاوت بدافزار در شبکه ظاهر یکسانی ندارند».

جکسون اظهار داشت که تحقیق بیشتر در مورد Furtinm/SFG نشان می‌دهد که این بدافزار نیروگاه‌های انرژی را، آن‌گونه که قبلاً تصور می‌شد، به‌عنوان هدف تفکیک نمی‌کند، بلکه در جهت سرقت مجوز کاربران تلاش می‌کنند هر شبکه‌ای را آلوده کنند.

جکسون گفت: «این بدافزار از طریق روش‌های مختلف ازجمله بارگذاری، تبلیغات مخرب و پیام‌های هرزنامه توزیع ‌شده ‌است. این بدافزار بسیار فرصت‌طلب بوده و برای حمله تمایزی بین بخش‌ّهای مختلف قائل نمی‌شود؛ بلکه به تمامی سامانه‌های ویندوزی که راهی برای نفوذ را در آن‌ها بیاید حمله می‌کند ».

پیش ‌از این اعتقاد بر این بود که Furtim/SGF بدافزاری است که به‌طور خاص برای هدف قرار دادن بخش انرژی طراحی‌ شده است. در تاریخ ۱۲ جولای، گزارشی توسط سنتینل‌وان بیان کرد که یک dropper SFG شرکت انرژی غیرتخصصی European را هدف قرار داده است. این شرکت معتقد بود که SFG ساخت یک گروه دارای پشتیبانی مالی دولتی بوده است که از این dropper به‌عنوان اولین مرحله یک حمله هدفمند که در ادامه آن بدافزار فورتیم بارگیری می‌شود، استفاده‌ شده است.

در تاریخ ۱۴ جولای، سنتینل وان تحقیق خود را به‌روز کرد: «از زمان بارگذاری مطلب این وبگاه مبنی بر اینکه این حمله به‌طور خاص دستگاه‌های مدیریت انرژی SCADA را هدف گرفته است داستان‌های مختلفی منتشر شده‌اند. می‌خواهیم تأکید کنیم که هیچ شواهدی مبنی بر صحت این مطلب در دست نداریم. کانون توجه تحقیق ما بر خصوصیات بدافزار، نه ویژگی‌ها یا هدف آن، بود.»

مأموریت اصلی Furtim/SFG پرهیز از شناسایی و اجرای بهره‌برداری‌های ارتقاء امتیاز برای آسیب‌پذیری‌های وصله شده ویندوز (CVE-۲۰۱۴-۴۱۱۳ و CVE-۲۰۱۵-۱۷۰۱) و نیز عبور از کنترل حساب کاربری ویندوز (UAC) که امتیازهای کاربران را محدود می‌کند، بود.

جکسون گفت: «تا مادامی ‌که تعداد و نوع تاکتیک‌های این بدافزار به‌واقع پیشرفته و جدید باشد، تقریباً هر ترفندی که تاکنون با آن مواجه شده‌ایم را امتحان می‌کند تا پنهان و بدون تجزیه‌وتحلیل باقی بماند.»

فورتیم توسط شرکت امنیتی انسیلو کشف شد. این شرکت در ماه می گزارشی را در مورد این بدافزار منتشر کرد. نمونه تشریح شده توسط انسیلو دارای سه بار داده است: یک ابزار پیکربندی ذخیره‌سازی برق که حالت خواب و خواب طولانی را در سامانه‌های ویندوز غیرفعال می‌سازد تا ارتباطات کنترل و فرمان را حفظ نماید؛ بدافزار Pony که مجوزها را سرقت می‌کند و آن‌ها را به کارگزار مهاجم برمی‌گرداند؛ و یک بار داده ناشناس که فهرستی از فرآیندهای امنیتی اجراشده روی دستگاه را به کارگزار کنترل و فرمان ارسال می‌کند؛ گرچه به‌طور نظری این بدافزار AV دستگاه را پیش از نصب خود پاک می‌کند.

به گفته محققان دامبالا، بدافزار Fast Flux توسط نسخه‌ای از بات‌نت Furtim/SFG که ابرسیاه نام دارد و طی بدافزار به عنوان سرویس توزیع شده است. Fast Flux از تکنیک DNS برای پنهان کردن فعالیت‌های تخلف سایبری استفاده کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap