کشف یک بدافزار نامرئی در سامانه‌های بانکی بیش از ۴۰ کشور

بانک‌ها، شرکت‌‌های مخابراتی و نهادهای دولتی آمریکا، آمریکای جنوبی، اروپا، و آفریقا به چنگ نفوذگرانی افتاده‌اند که این نفوذگران حملاتی غیرقابل تشخیص را ترتیب داده‌اند.
بنا به یکی از گزارش‌های تازه‌ی کسپرسکی، دست کم ۱۴۰ بانک و سازمان دیگر گرفتار بدافزاری شده‌اند که تقریباً نامرئی است. اگرچه رقمی که ذکر شد رسمی است، اما با توجه به دشواری‌هایی که بر سر راه تشخیص این بدافزار وجود دارد می‌توان گفت که آمار واقعی می‌تواند به مراتب بزرگ‌تر باشد.
این همان آلودگی است که کسپرسکی سال‌ها پیش در شبکه‌ی شرکت خود کشف کرده بود؛ آلودگی که با هرآنچه که کسپرسکی تا به آن لحظه مشاهده کرده بود تفاوت داشت. باورها بر این بود که این بدافزار ملقب به ۲.۰ از استاکس‌نت مشتق شده، استاکس‌نت یک کرم رایانه‌ای پیچیده است که ظاهراً طی هم‌کاری آمریکا با رژیم صهیونیستی و برای جاسوسی از برنامه‌ی هسته‌ای میهن عزیزمان تدارک دیده شده است.
دوکو ۲.۰ موفق شد حداقل به مدت ۶ ماه در شبکه‌ی کسپرسکی کشف‌نشده باقی بماند.

حملات جدید
حال یک آلودگی مشابه مثل یک حادثه‌ی آتش‌سوزی در حال پیش‌روی در میان شرکت‌های بی‌شماری اعم از بانک‌ها است. این آلودگی که نحوه‌ی تشخیص آن دشوار است از ابزارهای امنیتی و مدیریتی مجاز سامانه مانند پاورشل، متااسپلویت و Mimikatz استفاده می‌کند تا بدافزار را به حافظه‌ی رایانه تزریق کند.
کسپرسکی تصمیم دارد که هیچ نامی از این مؤسسات که در حال حاضر زیر آماج حملات قرار دارند نبرد، اما کسپرسکی بیان داشته که این نهادها متعلق به ۴۰ کشور مختلف هستند. آمریکا، فرانسه، اکوادور، کنیا، و انگلستان جزء پنج کشور نخستی هستند که متحمل بیشترین آلودگی شده‌اند.
آنچه که این سری از حملات را خاص‌تر جلوه می‌دهد این حقیقت است که برای مدت طولانی تشخیص آن‌ها غیرممکن می‌باشد و نمی‌توان از دست‌اندرکار آن‌ها باخبر شد، و نمی‌توان به صراحت تعیین کرد که آیا یک گروه یا چندین گروه نفوذگر پشت پرده‌ی این حملات قرار دارند.
اگر کسی مسئولیت این حملات را بر عهده نگیرد، محققان امنیتی و مقامات مربوطه هستند که بایست در نهایت عامل مخرب این ماجرا را شناسایی کنند.
اولین کشفیات مربوط به این بدافزار در اواخر سال ۲۰۱۶ رخ داد. سپس یک تیم امنیتی بانکی موفق به کشف یک نسخه‌ی رونوشت از Meterpreter در حافظه‌ی فیزیکی یک کنترل‌گر دامنه‌ی مایکروسافت شد. تجزیه و تحلیل‌ها نشان دادند که کد Meterpreter به کمک دستورات پاورشل در حافظه تزریق شده است.
ابزار شبکه‌ی NETSH متعلق به مایکروسافت هم توسط ماشین‌های آلوده استفاده شده بود تا داده‌ها به کارگزارهای تحت کنترل نفوذگران منتقل شوند. Mimikatz هم از سوی نفوذگران و برای به دست آوردن امتیازهای مدیریتی لازم جهت چنین عملیاتی به کار گرفته شد. دستورات پاورشل هم برای پاک‌سازی گزارش‌ها در رجیستری ویندوز مخفی شدند و به این ترتیب رویه‌ی ردیابی را غیرممکن ساختند.
به نظر می‌رسد که این روش برای جمع‌آوری گذرواژه‌های مدیران سامانه و نیز مدیریت از راه دور ماشین‌های آلوده‌ی میزبان به کار گرفته شده است.
در حالی که تعداد این حملات بالا بوده است، به نظر می‌رسد که از همین روش در همه‌ی این حملات استفاده شده است، روشی که به شناسایی وضعیت کنونی کمک کرده است.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.