معروف ترین بات نت در اینترنت ترفند هشدار جدیدی دارد


تنها در در دو ماه گذشته ، بات نت تحت کنترل جرایم سایبری موسوم به TrickBot ، با برخی اقدامات ، به دشمن شماره یک جامعه امنیت سایبری تبدیل شده است. تلاش برای بارگیری از مایکروسافت ، یک گروه بزرگ از شرکت های امنیتی و حتی فرماندهی سایبری ایالات متحده همچنان زنده مانده است. اکنون به نظر می رسد که هکرهای پشت TrickBot در حال آزمایش تکنیکی جدید برای آلوده کردن عمیق ترین گودال های دستگاه های آلوده هستند ، فراتر از سیستم عامل و سیستم عامل آنها.

امروز ، شرکت های امنیتی AdvIntel و Eclypsium فاش کردند که آنها متوجه م componentلفه جدیدی از حلقه Trojan شده اند که هکرهای TrickBot برای آلوده کردن ماشین ها استفاده می کنند. این ماژول که قبلاً کشف نشده بود ، آسیب دیدگی های رایانه های رایانه ای را اسکن می کند که می تواند به هکرها اجازه دهد یک درب پشتی در کد ریشه دار موسوم به Unified Extensible Firmware Interface ، که وظیفه راه اندازی سیستم عامل دستگاه در زمان راه اندازی را دارد ، قرار دهند. از آنجا که UEFI روی تراشه مادربرد رایانه خارج از درایو سخت آن قرار دارد ، قرار دادن کد مخرب در آنجا باعث می شود TrickBot از اکثر کشفیات آنتی ویروس ، بروزرسانی نرم افزار یا حتی حذف کامل و نصب مجدد سیستم عامل رایانه جلوگیری کند. متناوباً ، می توان از آن برای رایانه های هدف “آجری” استفاده کرد و به سیستم عامل آنها آسیب رساند تا جایی که مادربرد باید تعویض شود.

Vitaly Kremez می گوید ، استفاده از این روش توسط اپراتورهای TrickBot ، كه محققان آن را “TrickBoot” می نامند ، باعث می شود گروه هكر تنها یكی – و اولین شركت غیر دولتی – باشد كه با استفاده از بدافزارهای UEFI در طبیعت آزمایش می كند. ، یک محقق امنیت سایبری در AdvIntel و مدیر عامل شرکت. اما TrickBoot همچنین یک ابزار موذی جدید است که در دست گروهی گستاخانه از مجرمان است – ابزاری که قبلاً از پشتیبانی خود در سازمان های کاشت باج افزار استفاده کرده و با هکرهای متمرکز بر سرقت همکاری کرده است. Kremez می گوید: “این گروه به دنبال روش های جدید برای دستیابی به انعطاف پذیری بسیار پیشرفته سیستم ، زنده ماندن از هرگونه به روزرسانی نرم افزار و ورود به هسته میان افزار است.” کرمز می افزاید ، اگر آنها با موفقیت به سیستم عامل دستگاه قربانی نفوذ کنند ، “از تخریب تا تصرف سیستم اساسی ، امکانات بی پایان است.”

در حالی که TrickBoot یک UEFI آسیب پذیر را بررسی کرد ، محققان هنوز کد واقعی را که باعث به خطر افتادن آن شود مشاهده نکرده اند. Kremez معتقد است که هکرها پس از شناسایی ، احتمالاً محموله هک میان افزار را فقط در رایانه های خاص آسیب پذیر بارگیری می کنند. وی گفت: “ما فکر می کنیم آنها اهداف با ارزش بالا را انتخاب کرده اند.”

هکرهای پشت سر TrickBot که به طور کلی اعتقاد بر این است که در روسیه مستقر هستند ، به عنوان یکی از خطرناکترین مجرمان اینترنتی در اینترنت شهرت پیدا کرده اند. بات نت آنها که در بالای بیش از یک میلیون دستگاه برده قرار دارد ، برای کاشت باج افزارهایی مانند Ryuk و Conti در شبکه های قربانیان بی شماری از جمله بیمارستان ها و مراکز تحقیقات پزشکی استفاده شده است. بات نت به اندازه کافی تهدیدآمیز تلقی می شد به طوری که در ماه اکتبر دو عملیات مختلف سعی در برهم زدن آن داشتند: یکی که توسط گروهی از شرکتها از جمله مایکروسافت ، ESET ، سیمانتک و لومن فن آوری انجام شده بود ، سعی داشت از دستورات دادگاه برای قطع ارتباط TrickBot با سرورهای مدیریت و مدیریت مستقر در ایالات متحده آمریکا. همزمان عملیات فرماندهی سایبری دیگر ایالات متحده اساساً به بات نت نفوذ کرده و فایلهای پیکربندی جدید را به کامپیوترهای آسیب دیده خود ارسال می کند که توسط اپراتورهای TrickBot کوتاه می شوند. مشخص نیست که هکرها تا چه اندازه TrickBot را بازیابی کرده اند ، اگرچه طبق گفته شرکت امنیتی Hold Security ، آنها از آن زمان حداقل 30،000 قربانی را با به خطر انداختن رایانه های جدید یا خرید دسترسی از دیگر هکرها به مجموعه خود اضافه کرده اند.

AdvIntel’s Kremez در اواخر ماه اکتبر ، درست پس از دو بار بارگیری ، در یک نمونه از بدافزارها با ویژگی جدیدی متمرکز بر سیستم عامل TrickBot – که با طراحی مدولار آن امکان بارگیری اجزای جدید در حال رفتن به کامپیوترهای قربانی – را پیدا کرد. وی معتقد است که این ممکن است بخشی از تلاش اپراتورهای TrickBot برای تأسیس خود برای زنده ماندن در ماشین های هدف باشد ، علی رغم محبوبیت روزافزون بدافزارهایشان در صنعت امنیت. کرمز گفت: “همانطور که همه دنیا تماشا می کنند ، آنها بسیاری از ربات ها را از دست داده اند.” “بنابراین بدافزار آنها باید پنهان شود ، بنابراین ما معتقدیم که آنها بر روی این ماژول تمرکز کرده اند.”

پس از تشخیص اینکه کد جدید با هدف تداخل میان افزار طراحی شده است ، Kremez ماژول را با Eclypsium ، متخصص در زمینه امنیت میان افزار و معماری میکرو ، به اشتراک گذاشت. تحلیلگران Eclypsium دریافتند كه م componentلفه جدیدی كه كرمز پیدا كرد ، در واقع سیستم عامل كامپیوتر قربانی را تغییر نداده است ، اما در عوض از نظر آسیب پذیری معمول در UEFI اینتل بررسی شده است. سازندگان رایانه ای که از سیستم عامل UEFI اینتل استفاده می کنند ، بیت های خاصی را برای جلوگیری از جعل و تقلب در این کد تنظیم نمی کنند. Eclypsium تخمین می زند که مشکل پیکربندی در ده ها میلیون یا حتی احتمالاً صدها میلیون رایانه ادامه دارد. جسی مایکلز ، محقق ارشد اکلیپسیوم گفت: “آنها قادر به جستجو و شناسایی هستند ، این هدفی است که ما قادر به انجام این حمله مبتنی بر سیستم عامل تهاجمی یا پایدارتر خواهیم بود.” “این برای این نوع کمپین گسترده ، که در آن اهداف خاص آنها می تواند باج افزار ، سیستم های آجری ، توانایی ادامه حیات در یک محیط باشد ، ارزشمند به نظر می رسد.”


منبع: sadeh-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>