گزارش‌های شرکت تحقیقاتی Invincea درباره بدافزار مورداستفاده برای حمله به حزب دموکراتیک آمریکا

محققان شرکت Invincea طی بررسی‌های خود اعلام کردند که بدافزار XTunnel که سابقاً توسط یک گروه تهدیدهای مجازی پیشرفته و مستمر روسی با نام Fancy Bear برای نفوذ به شبکه‌های حزب دموکراتیک آمریکا مورد استفاده قرار گرفته بود، به طور اختصاصی برای این منظور طراحی شده بوده است.

این حمله که در آوریل سال جاری انجام شد، در حقیقت دومین حمله انجام‌شده از این طریق علیه حزب دموکراتیک آمریکا بود. قبل از این حمله، گروه Cozy Bear نیز در تابستان ۲۰۱۵ طی اقداماتی به شبکه‌های این حزب حملاتی را ترتیب داد. این حمله پس از آن شناسایی شد که کارمندان این حزب هشدارهایی را مبنی بر نفوذ به حساب‌های یاهوی خود دریافت کردند و شرکت Crowdstrike نیز شواهد موجود را در این خصوص مورد بررسی قرار داد.

محققان در این خصوص کشف کردند که گروه حمله مجازی Fancy Bear از بدافزار XTunnel برای نفوذهای خود استفاده کرده است. شرکت تحقیقاتی Invincea نیز پس از بررسی‌های بیشتر در مورد این بدافزار اعلام کرد که XTunnel در دیگر حملات مشاهده نشده است. این شرکت همچنین اعلام کرد که برای حمله به شبکه‌های حزب دموکراتیک آمریکا، احتمالاً از کدهای تخصصی و اصلی در این بدافزار مورد استفاده قرار گرفته است.

بدافزار XTunnel طبق بررسی‌ها قابلیت‌هایی دارد که موجب می‌شود بتواند به راحتی به یک شبکه هدف نفوذ کند. توانایی‌های شبیه وی‌پی‌ان و استفاده از رمزنگاری (تبادل کلیدهای پوسته ایمن و استفاده از کلیدهای رمزنگاری، فشرده کردن و مبسوط کردن اطلاعات و…) از جمله این توانایی‌هاست. یافته‌های محققان نشان می‌دهد که این بدافزار می‌تواند به کلمه‌های عبور ذخیره‌شده در یک سامانه نیز دسترسی پیدا کند و همچنین قادر است به کارگزار قرارداد دسترسی آسان به راهنما نیز دسترسی پیدا کند.

نکته دیگر در این تحقیقات این است که این ابزار به صورت ماژولار کار می‌کند. روش کار ماژولار به این صورت است که بدافزار پرونده‌های جانبی را در صورت نیاز بارگیری می‌کند و می‌تواند شبکه‌ها را برای یافتن درگاه‌های باز و کارگزارهای PING بررسی و اسکن کند. ارسال و دریافت رایانامه نیز یکی از این بخش‌های عملیاتی است. بررسی‌ها نشان می‌دهد که این بدافزار قابلیت‌های دیگری نیز دارد که برخی از آن‌ها در برنامه‌های غیرمخرب و اصلی مورد استفاده مشاهده می‌شوند.

پت بلچر ، یکی از کارمندان شرکت Invincea بیان کرد: «برخی امکانات موجود در این بدافزار شامل توانایی راه‌یابی به راه‌اندازهای سامانه، دستیابی به کارگزار قرارداد دسترسی آسان به راهنما، دستیابی به کلمه‌های عبور موجود در سامانه و استفاده از پوسته ایمن ‌و بخش OpenSSL است. این بدافزار همچنین می‌تواند پرونده‌های موجود در سامانه را بررسی و یا برای آن‌ها جایگزین قرار دهد. یکی از مشخصه‌ها و قابلیت‌های بارز این بدافزار این است که می‌تواند یک ارتباط پایدار را با یک نشانی IP از پیش مشخص‌شده برقرار کند و حتی اگر میزبان نشانی، دارای دیوار آتش برگردان نشانی شبکه باشد، باز هم بدافزار اتصال را حفظ می‌کند.»

این بدافزار در کنار قابلیت‌های متعددی که نام برده شد، همچنین می‌تواند صفحه‌ کلید و موشواره را بررسی کرده و می‌تواند به دوربین‌ها و بخش‌های USB نیز دسترسی پیدا کند. بلچر در این خصوص اذعان کرد: «قابلیت‌های موجود در این بدافزار تنها در یک پرونده دارای حجم کمتر از ۲ مگابایت ذخیره شده است.»

نکته جالب دیگر در مورد بدافزار XTunnel این است که کد موجود در آن مبهم نیست. این نکته این بدافزار را از دیگر بدافزارهای موجود متمایز می‌کند، زیرا بیشتر بدافزارها با مبهم سازی کدهای خود، تحلیل و بررسی را در این مورد سخت و مشکل می‌کنند. این بدافزار زنجیره‌ای از کدها را دارد که به وضوح نشان می‌دهند کد دوتایی موجود برای چه منظور نوشته شده است. بلچر در خصوص این ویژگی یادآور شد: «کدهای این بدافزار به گونه‌ای نوشته ‌شده‌اند که با بررسی‌ها محققان این‌گونه متصور می‌شوند که این کدها واقعاً برای یک ابزار متن‌باز نوشته شده‌اند تا از این طریق دسترسی تونل رمزنگاری‌شده به میزبان‌های اینترنتی میسر شود.»

محققان در ادامه تحقیقات خود در مورد این بدافزار دریافتند که نفوذگران یک بخش شبکه‌ای قدیمی، اما ایمن را برای حمله خود مورد سوءاستفاده قرار داده‌اند. این بخش‌های شبکه‌ای در دهه گذشته مربوط به بخش‌های تماس تلفنی اینترنتی بوده‌اند و نفوذگران اکنون برای طراحی یک تروجان کاملاً رمزنگاری‌شده انتها به انتهای دسترسی از دور از این بخش‌ها استفاده می‌کنند. به همین دلیل است که حزب دموکراتیک آمریکا در هنگام شناسایی حمله این بدافزار به شبکه‌های خود، عملاً کار دفاعی خاصی را نمی‌توانست ترتیب دهد. تنها عمل ممکن خارج کردن درگاه‌ها در درون دیوار آتش بود.

در عین حال، شرکت امنیتی تحقیقاتی Invincea اعلام کرد از آنجایی‌که بسیاری از سازمان‌ها تنظیمات دیوار آتش را به صورتی انجام می‌دهند که در آن‌ها میزبان قادر باشد بدون محدودیت فعالیت کند، در صورت استفاده از بخش‌های ثبت وقایع، فعالیت چنین بدافزارهایی در این شرایط تقریباً غیرممکن است. بدافزار XTunnel حتی در شرایط دسترسی محدود خارج از سامانه، می‌توانست با استفاده از پروتکل‌های ICMP و UDP، به کارگزار دستور و کنترل خود در روسیه متصل شود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter