نفوذگران روسی بانک‌های اوکراین را هدف قرار داده‌اند

نفوذگران گروه BlackEnergy که با موفقیت بسیاری از حملات را علیه سامانه‌های انرژی انجام دادند و برق تعدادی از نیروگاه‌های اوکراین را قطع کردند، به نظر می‌رسد عامل احتمالی حمله به بانک‌های اوکراینی باشند.

شرکت امنیتی ESET یک گروه نفوذ با نام TeleBots را کشف کرد که شیوه‌ی عملکردی بسیار مشابهی به گروه BlackEnergy دارد. این گروه نفوذ جدید، در وهله‌ی اول بانک‌های اوکراینی را هدف قرار داده است و از حملات فیشینگ استفاده می‌کند. رایانامه‌های فیشینگ حاوی اسناد مخرب اکسل هستند که باعث آلوده شدن رایانه‌های کاربران می‌شود.

اسناد اکسل حاوی ماکروهای مخرب هستند که به محض فعال شدن، به‌طور خودکار بر روی ماشین قربانی بدافزاری را بارگیری و اجرا می‌کنند. در ادامه این بدافزار سامانه را آلوده می‌کند، به کل شبکه نفوذ می‌کند، اسناد و گذرواژه‌ها را به سرقت می‌برد و هر اطلاعاتی را که مهاجم بخواهد، از رایانه‌ی قربانی استخراج می‌کند.

ESET توضیح داد: «هدف اصلی ماکروی مخرب قرار دادن باینری مخرب با نام explorer.exe در رایانه‌ی قربانی است. بدافزار بارگیری‌شده متعلق به خانواده‌ی تروجان‌های بارگیری‌کننده است که برای بارگیری بدافزارهای بیشتر مورد استفاده قرار می‌گیرد. این بدافزار با زبان برنامه‌نویسی Rust نوشته شده است.»

سامانه‌ها با یک دربِ پشتیِ نشانه‌گذاری‌شده با Python/TeleBot.AA آلوده شده‌اند که بسیار شبیه به تروجانی است که در حملات قبلی گروه BlackEnergy علیه اوکراین استفاده شده بود. در نهایت نیز مهاجمان از KillDisk استفاده می‌کنند که یک بدافزار مخرب برای غیرقابل بوت کردن سامانه عامل است. این بدافزار نیز شبیه به بدافزاری است که در حمله به نیروگاه‌های برق اوکراین استفاده شده بود.

پس از آلوده شدن سامانه، بدافزار KillDisk تمامی پرونده‌های سامانه‌ای را حذف کرده و خود را به عنوان یک سرویس ثبت می‌کند و اسکرین بوت را به یک تصویر از سریال تلویزیونی آقای ربات، تغییر می‌دهد.
شرکت ESET اشاره کرد: «جالب است که بدافزار KillDisk این تصویر را هیچ جایی ذخیره نمی‌کند و با استفاده از GDI ویندوز به‌طور بلادرنگ این تصویر را رسم می‌کند. به نظر می‌رسد مهاجمان برای رسم این تصویر و نوشتن کد آن بسیار تلاش کرده‌اند.»

در حال حاضر مشخص نیست چه تعداد از حملات موفقیت‌آمیز بوده است اما در هر صورت باور کلی این است که نفوذگران روسی پشت این حملات هستند همان‌طور که در حملات قبلی به شبکه‌های برق اوکراین نیز همین حدس و گمان وجود داشت.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap