بر اساس گزارش کسپرسکی (Kaspersky Lab)، گروهی ناشناس از مهاجمان در جریان یک کمپین APT با عنوان TunnelSnake، حداقل از سال ۲۰۱۹ با بهکارگیری یک روتکیت اختصاصی، به آلودهسازی سامانههای با سیستمعامل Windows اقدام میکردهاند و جاسوسی از آنها همچنان ادامه دارد.
به گزارش مرکز مدیریت راهبردی افتا، روتکیتها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستمعامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه میدارند.
این روتکیت که کسپرسکی آن را Moriya نامگذاری کرده یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکهای قربانی و ارسال فرمانهای موردنظرآنان قادر میکند.
به طور خلاصه Moriya به گردانندگان TunnelSnake امکان میداده است تا ترافیک ورودی را در سطح هسته (Kernel Space) رصد و تحلیل کنند(شکل زیر).
سطح هسته یا همان Kernel Space جایی است که هسته سیستمعامل در آن قرار دارد و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.
روتکیت Moriya فرمانهای مهاجمان را از طریق بستههای دستکاری شده خاصی دریافت میکنند (شکل زیر) که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی (C۲) وجود ندارد.
این ترفندها محدود به Moriya نیست و تعداد مهاجمانی که تلاش میکنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیکها) برای مدتها بدون جلبتوجه در شبکه قربانی ماندگار بمانند، روندی صعودی دارد.
در کارزار TunnelSnake، برای ازکارانداختن و متوقف کردن اجرای پروسههای ضدویروس، از بدافزاری با عنوان ProcessKiller نیز بهره گرفته شده است.
مهاجمان پس از رخنه به شبکه قربانی، بهمنظور گسترش دامنه آلودگی و شناسایی دستگاههای آسیبپذیر، از ابزارهای دیگری نظیر China Chopper، BOUNCER، Termite و Earthworm کمک گرفتهاند.
همچنین کسپرسکی اعلام کرده که از نسخهای قدیمیتر از Moriya تحت عنوان IISSpy، در یک حمله به سرورهای وب IIS در سال ۲۰۱۸ استفاده شده است؛این موضوع نشاندهنده آن است که TunnelSnake حداقل از ۲۰۱۸ فعال بوده است.
تعداد سازمانهایی که کسپرسکی، Moriya را در شبکه آنها شناسایی کرده است کمتر از ۱۰ مورد هستند و همه آنها سازمانهای مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بودهاند.
براساس ماهیت کاری قربانیان این حملات و مجموعه ابزارهای استفاده شده، جاسوسی و سرقت اطلاعات، بعنوان اهداف اصلی این مهاجمان سایبری قلمداد شدهاند.
مشروح گزارش کسپرسکی در لینک زیر قابل دریافت و مطالعه است:
https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/۱۰۱۸۳۱/
منابع:
https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/۱۰۱۸۳۱/
دیدگاه شما