پرونده‌ای درباره جولان بدافزارها در سال 2018

مهر/ با پيشرفت فناوري و ديجيتالي شدن سيستم هاي ذخيره اطلاعات و گسترش استفاده از اينترنت در گجت ها و ابزارهاي مختلف فناورانه، هر روز اخبار بيشتري از روش هاي نوين اختلال يا دسترسي به سيستم اطلاعاتي، ارتباطي، صنعتي ، امنيتي، دفاعي و تسليحاتي کشورها با استفاده از آلودگي هاي بدافزاري، حملات هک و آسيب پذيري هاي نرم افزاري به گوش مي رسد. درسال ۲۰۱۸ ميلادي امنيت سايبري کاربران در بسياري از کشورها با حملات هدفمندي در مقياس ملي، حملات هک و ديفيس و آلودگي بدافزار، حملات و آلودگي ها در حوزه تلفن همراه، آسيب پذيري نرم افزارها و تجهيزات پرکاربر و صفحات جعلي، به خطر افتاد. تحقيقات دانشگاه آکسفورد نشان مي دهد که درسال ميلادي که گذشت اکانت هاي تقلبي به سرعت در سراسر جهان نفوذ و گسترش يافتند و بسياري از کاربران با فريب نرم افزارهاي مخرب و باج گير، قرباني اين روش نفوذ سايبري شدند. اگرچه تعداد بدافزارهايي که بسياري از کاربران فضاي مجازي در سراسر دنيا را درگير خود کرده بسيار زياد است اما در اين گزارش نگاهي به نرم افزارهاي مخرب، بدافزار و باج افزارهايي داريم که بيشترين دربرگيري را در ميان کاربران فضاي سايبر داشت. جولان بدافزارهاي مخرب در سيستم هاي کامپيوتري - درسالي که گذشت محققان امنيت سايبري بدافزاري کشف کردند که از طريق واتس اپ، تلگرام و اپليکيشن هاي ديگر، کاربران ايران، لبنان، مصر ، مراکش و اردن را هدف گرفت. اين بدافزار که «زوپارک» نام داشت، هرگونه اطلاعات ذخيره شده از جمله پسوردهاي موجود در دستگاه کاربر را سرقت مي کرد. - شناسايي بدافزار ميراي (Mirai) که يک کرم رايانه اي غيرتخريب کننده بود و به کامپيوترهاي حاوي سيستم عامل لينوکس (به روز نشده) متصل به شبکه، حمله کرده و آن را آلوده مي‌کرد، از ديگر تهديدات سايبري اين بخش بود. اين بدافزار سعي در تکثير خود در هارد و شبکه کاربران داشت و اکثر حملات صورت گرفته آن از آدرس هاي مبدا ايران گزارش شد؛ به گونه اي که در حملات رخ داده حدود ۶۸ درصد حملات از آدرس هاي کشور ايران و تنها ۳۲ درصد حملات از ساير نقاط جهان ايجاد شد. - گسترش حملات باج افزاري نسخه چهارم باج افزار خطرناک ‫GandCrab به کاربران در سراسر کشور از ديگر رويدادهاي مهم اين بخش بود. اين باج افزار روش هاي گوناگوني از نفوذ به سيستم از جمله ضعف در پيکربندي سرويس پروتکل از راه دور (ريموت دسکتاپ -‫RDP) و پيوست هرزنامه ها و اکسپلويت کيت ها را در حملات خود استفاده مي‌کرد. - پژوهشگران Trend Micro نيز چندين برنامه در قالب پلتفرم‌هاي پيام‌رسان صوتي قانوني را در فروشگاه گوگل پلي (Google Play) مشاهده کردند که داراي قابليت‌هاي مخرب بود و در هر نسخه نيز تکامل يافته تر از قبل مي شد. محققان اعلام کردند که مجرمان به دنبال فعاليت‌هاي مخرب از جمله حملات بات‌نت هستند. - درسال ۲۰۱۸ ميلادي ۶۰۰ هزار حمله به يکي از برنامه هاي کاربردي مديريت پايگاه داده روي سرويس‌دهنده‌هاي وب، صورت گرفت که منشا اين حملات از کشور سوئد بود. اين حمله به پورتهاي مربوط به شبکه ها و دوربين هاي مداربسته صورت گرفت. - در اين سال دو بدافزار از گروه APT کشور کره شمالي شناسايي شدند که فعاليت‌هاي مخربي از جمله استخراج اطلاعات، نصب بدافزارهاي ديگر و ايجاد پراکسي روي سيستم‌هاي ويندوزي انجام مي‌دهند. - کشف جاسوس سايبري در خاورميانه که حمله «بيگ بنگ» را با ايميل جعلي ترتيب داد از ديگر اخبار مهم سال ۲۰۱۸ ميلادي بود. اين گروه جاسوسي سايبري پيشرفته با نام «بيگ بنگ» منطقه خاورميانه را هدف قرار داده و با ارسال اين حملات با ارسال ايميل‌هاي فيشينگ حاوي فايل پيوست مخرب، حملات سايبري عليه نهادهايي در سراسر خاورميانه، رقم زدند. - موسسه امنيتي سايمنتک نسبت به افزايش حملات باج افزاري به سيستم هاي مراقبتهاي بهداشتي با تکامل باج افزار SamSam هشدار داد. اين باج افزار حملات هدفمندي عليه۶۷ هدف مختلف و چندين سازمان داشت که بيشتر آنها در ايالات متحده آمريکا قرار داشتند. باج‌افزار SamSam که يک تهديد قديمي بوده و حملات آن در سال ۲۰۱۵ نيز مشاهده شده، سيستم هاي مراقبت‌هاي بهداشتي را هدف قرار داده است. - موسسه امنيتي کاسپراسکاي نيز از شناسايي بدافزار پيچيده و خطرناکي خبر داد که با حمايت يکي از دولت هاي جهان طراحي شد و براي نفوذ به رايانه ها از روترهاي اينترنتي استفاده مي کرد. اين بدافزار که Slingshot نام داشت، حملات خود را به صورت کاملا مخفيانه و لايه لايه انجام داده و ابتدا روترهاي MikroTik را هدف قرارداد و سپس حمله به رايانه شخصي را در دو مرحله در سيستم عامل و مديريت فايل هاي سيستمي اجرايي کرد. گمانه زني ها با توجه به انگليسي بودن بخش عمده کدنويسي ها و روان بودن زبان به کار گرفته شده در اين بدافزار حاکي از آن بود که احتمالا يک يا تعدادي از کشورهاي عضو گروه پنج چشم (آمريکا، انگليس، استراليا، نيوزلند و کانادا) در نگارش اين بدافزار مخرب دخالت داشتند. بدافزارهاي کاوشگر ارز ديجيتال به ميدان آمدند سوءاستفاده بدافزاري از سيستم هاي اطلاعاتي درسال ۲۰۱۸ نگاه پررنگي نيز به بخش هاي اقتصادي داشت و خبرهاي بسياري از قربانيان بدافزارهاي ارز ديجيتال و سرقت اطلاعات کارتهاي اعتباري منتشر شد. بدافزارهاي کاوش ارز ديجيتال به دليل افزايش قيمت ارزهاي ديجيتال، از قدرت پردازشگر سيستم کامپيوتري قربانيان استفاده کرده و اقدام به استخراج ارز مي کردند. هنگامي که يک دستگاه در معرض اين‌گونه بدافزارها قرار مي‌گيرد، يک برنامه مخرب در پس زمينه اجرا مي‌شود و مصرف انرژي را افزايش مي‌دهد که در نتيجه سرعت و عملکرد دستگاه کاهش مي يابد. - براي مثال آزمايشگاه مک آفي ( McAfee ) بدافزاري با نام WebCobra کشف کرد که از قدرت پردازش سيستم قربانيان براي کاوش ارز ديجيتالي استفاده مي‌کرد. دامنه آلودگي اين بدافزار در سراسر جهان در ماه سپتامبر ۲۰۱۸ بود و بيشترين آلودگي‌ها مربوط به کشورهاي برزيل، آفريقاي جنوبي و ايالات متحده گزارش شد. - سرقت اطلاعات ميليون ها کارت اعتباري از طريق نفوذ به شبکه هاي بانکي و ATM در سراسر جهان توسط يک گروه سايبري از ديگر اخبار مهم اين بخش بود. اين گروه سايبري، اطلاعات بيش از ۱۵ ميليون کارت اعتباري را از بيش از ۶۵۰۰ ايستگاه پايانه در ۳۶۰۰ کسب وکار با استفاده از بدافزارهايي که از طريق ايميل‌هاي فيشينگ ارسال مي کردند، به سرقت برده و از اين طريق بيش از يک ميليارد يورو از بانک‌هاي سراسر جهان سرقت کردند. - باج افزار سايبري «پول زور» که با استفاده از صفحات جعلي درگاه بانکي شاپرک، از کاربران ايراني يک ميليون تومان باج مي گرفت نيز در ايران شناسايي شد. - از طرف ديگر، انتشار باج افزار «Cybersccp» در کانال هاي تلگرامي فارسي زبان از ديگر رخدادهاي سايبري درسال ۲۰۱۸ بود. اين باج‌افزار از خانواده خطرناک شناخته شده HiddenTear با نام Cyber.exe بود که در پوشش برنامه‌اي کاربردي با ادعاي ساخت تصوير جعلي کارت ملي، کارت بانکي، شناسنامه و پاسپورت انتشار يافت. - درسال ۲۰۱۸ يافته هاي موسسه امنيتي چک پوينت حاکي از آن بود که طراحي و توليد بدافزارهاي سرقت ارز ديجيتال که به طور ويژه براي آيفون عرضه مي شوند نسبت به مدت مشابه سال قبل ۴۰۰ درصد افزايش يافت. بخش عمده اين حملات از طريق مرورگر سافاري و با تلاش براي آلوده کردن اين مرورگر صورت گرفت. يکي از مشهورترين بدافزارهايي که بدين منظور طراحي شد Coinhive نام داشت که در ميان بدافزارهاي سرقت ارزهاي ديجيتال با ايجاد ۱۹ درصد آلودگي در رتبه اول است. ايران در بين ۵ کشور اول آلوده به نرم افزار مخرب کوين هايو قرار داشت. - کارشناسان بدافزاري کشف کردند که وارد دستگاه هاي اندرويد آمازون شده و به استخراج ارز ديجيتال مي پرداخت. اين بدافزار که ADB.miner نام گرفت به عنوان اپليکيشني به نام Test در «فاير تي وي Fire TV» و «فاير استيکس Fire Stick» هاي آمازون مشاهده شد و پس از نصب با استفاده از دستگاه، ارز ديجيتال استخراج مي کرد. - پژوهشگران امنيتي IBM يک بدافزار قدرت گرفته از هوش‌مصنوعي را با نام DeepLocker توسعه دادند که براي هدف قرار دادن قرباني بسيار قدرتمند بوده و قابليت زيادي در جلوگيري از شناسايي داشت. اين کلاس از بدافزارهاي مجهز به هوش‌مصنوعي مي‌توانند تا رسيدن به قرباني هدف، فعاليت خود را ادامه دهند و پس از رسيدن به مقاصد مدنظر، فعاليت‌هاي مخرب را متوقف کنند. اين‌گونه بدافزارها قرباني هدف را از طريق شناسايي چهره، موقعيت جغرافيايي و تشخيص صدا شناسايي مي‌کنند. اپليکيشن هاي جعلي به بازار آمدند - محققان امنيتي ۲۹ اپليکيشن اندرويدي حاوي بدافزار را کشف کرده اند که اطلاعات بانکي کاربران را سرقت مي کرد. اين اپليکيشن هاي جعلي، شامل ۲۹ اپليکيشن مختلف از برنامه هاي مديريت مصرف باتري گرفته تا طالع بيني بود که به بدافزار تروژان مبتلا هستند و پس از نصب روي موبايل کاربر، حتي مي توانند آن را از راه دور کنترل کنند. البته پس از آنکه ESET اين موضوع را به گوگل اعلام کرد، اپليکيشن هاي مذکور از فروشگاه اپليکيشن هاي گوگل پاک شد. اما تخمين زده مي شود حدود ۳۰ هزار کاربر آنها را دانلود کردند. - از سوي ديگر ۱۳ اپليکيشن بازي در پلي استور گوگل کشف شد که حاوي بدافزار بودند. اين اپليکيشن ها قبل از حذف بيش از ۵۸۰ هزار بار دانلود شدند. اپليکيشن هاي مذکور به عنوان بازي هاي شبيه سازي مسابقات رانندگي با خودرو و وانت دسته بندي شده بودند. - گوگل همچنين ۱۴۵ اپليکيشن حاوي بدافزار را از فروشگاه گوگل پلي پاک کرد. اين بدافزارها پس از اتصال دستگاه اندرويد به رايانه، اطلاعات کارت اعتباري و پسوردهاي کاربر را سرقت مي کردند. برخي از اين اپليکيشن ها چند صد بار دانلوده شدند و اين بدافزار، در صورتي که دستگاه اندرويد به پي سي ويندوز متصل مي شد، اطلاعات شخصي کاربر را جمع آوري مي کرد و پس از ورود به رايانه، شماره کارت اعتباري کاربر، پسورد حساب هاي کاربري او و حتي شماره تامين اجتماعي را مورد سرقت قرار مي داد. - گوگل ۲۲ اپليکيشن اندرويدي را نيز از فروشگاه پلي استور پاک کرد که علت آن سوءاستفاده اين برنامه ها از گوشي هاي اندرويدي به منظور نمايش تبليغات ناخواسته بود. اين بدافزارهاي تبليغاتي مختلف مواجه شده که تلاش مي کنند با ترغيب کاربران به کليک کردن بر روي خود درآمدي به جيب بزنند. بدافزارهايي در لباس vpn کاربران را فريب دادند - درسال ۲۰۱۸ ميلادي VPN هاي مشهور هم آسيب پذير اعلام شدند. به نحوي که اين آسيب پذيري ها اجراي کدهاي مخرب را توسط مهاجمان ممکن کرد و باعث شد تا هکرها بتوانند به رايانه هاي مجهز به سيستم عامل ويندوز حمله کرده و فعاليت هاي تخريبي متنوعي انجام دهند. از جمله اين وي پي ان ها مي توان به ProtonVPN و NordVPN اشاره کرد. - درهمين حال خبر نفوذ جهاني بدافزار «وي‌پي‌ان فيلتر» به دستگاههاي متصل به شبکه سبب شد تا حداقل ۵۰۰ هزار دستگاه در ۱۰۰ کشور مختلف مورد آلودگي اين نرم افزار مخرب قرار بگيرند. - از سوي ديگر ۱۱۳ کشور نيز مورد سوءاستفاده بدافزار تجهيزات اندرويد قرار گرفتند. اين بدافزار از آسيب‌پذيري برخي تجهيزات سيستم عامل اندرويد (Android Debug Bridge) در سطح شبکه استفاده مي کرد و کشورهايي که ميزبان بيشترين IP آلوده بودند تايوان، روسيه و چين اعلام شدند. - ادامه فعاليت باج‌افزار مخرب «واناکراي» پس از ۱۸ ماه فعاليت مخرب و آلوده کردن هزاران سيستم در سراسر جهان، درسال ۲۰۱۸ نيز بارديگر اعلام شد و بررسي ها نشان داد که نرخ آلودگي اين بدافزار از زمان مشابه سال گذشته بيشتر بوده است. اين بدافزار در ماه‌هاي جولاي تا سپتامبر ۲۰۱۸ حدود ۷۴ هزار و ۶۲۱ حمله عليه کاربران در سطح جهان انجام داد. - محققان امنيتي ويروسي به نام «تلگراب» کشف کردند که نسخه دسکتاپ پيام‌رسان تلگرام را هدف گرفته و اطلاعات کاربر را از روي نسخه دسکتاپ تلگرام سرقت مي کرد. اين ويروس که «تلگراب» نام گرفت طوري طراحي شده تا اطلاعات cache و فايل هاي کليدي تلگرام را جمع آوري کند. نسخه اول تلگراب فقط فايل هاي متني، اطلاعات مرورگر و کوکي ها را ذخيره مي کرد و در نسخه دوم قابليت جديدي افزوده شد که به بدافزار اجازه مي داد اطلاعات cache دسک تاپ را همراه اطلاعات لاگين (ورود) نيز، جمع آوري کند. - مرکز مديريت راهبردي امنيت فضاي توليد و تبادل اطلاعات رياست جمهوري (افتا) نيز بدافزار پيشرفته جاسوسي «Norxa» که سيستم عامل هاي ويندوز را هدف قرار مي داد، کشف کرد. اين نرم افزار مخرب پيچيده با هدف جاسوسي و جمع آوري اطلاعات طراحي شد و داراي قابليت دريافت دستور از سرور C&C و اجراي عمليات هاي خراب کارانه در سيستم قرباني بود. - از سوي ديگر يک گروه بدافزاري به نام OilRig حملات مداوم سايبري با استفاده از ابزارها و تکنيک هاي شناخته شده عليه نهادهاي دولتي در منطقه خاورميانه انجام دادند. در اين حملات از ايميل‌هاي فيشينگ استفاده شده و قرباني با روش‌هاي مهندسي اجتماعي، وادار به اجراي يک پيوست مخرب مي‌شد. - سازمان عفو بين الملل نيز اعلام کرد که يک نرم افزار جاسوسي متعلق به رژيم صهيونيستي فعالان حقوق بشر و برخي مقامات خاورميانه را هدف گرفته است. رژيم صهيونيستي هر روز براي جاسوسي از فعالان حقوق بشر و مقامات دولتي در خاورميانه و سراسر دنيا از فناوريهاي بيشتري استفاده مي کند. - درهمين حال براساس تحقيقاتي که آزمايشگاه Citizen منتشر کرد، نرم‌افزار جاسوسي موبايل پگاسوس (Pegasus) طي دو سال گذشته در ۴۵ کشور جهان مورد استفاده قرار گرفت. اين نرم افزار مخرب، يک بدافزار نظارتي است که توسط گروه NSO وابسته به رژيم صهيونيستي توسعه داده شد و قابليت آلوده سازي دستگاه‌هاي اندرويد و آيفون (ios) را داشت. اين نرم‌افزار جاسوسي به صورت اختصاصي به دولت‌ها و آژانس‌هاي امنيتي فروخته مي‌شود. - پژوهشگران موسسه آکاماي، با اعلام خبر نفوذ هکرها به هزاران مسيرياب از طريق UPnProxy ، بدافزار پيشرفته‌اي شناسايي کردند که مي‌توانست پيکربندي‌هاي مسيرياب‌هاي خانگي را ويرايش واتصالات رايانه ها را آلوده کند.اين مرکز شمار سيستم هاي درخطر را ۱.۷ ميليون سيستم اعلام و تاکيد کرد که به حداقل ۴۵ هزار مسيرياب نفوذ شده است. اين ويروس باج گير سايبري که در صورت نداشتن نرم‌افزارهاي ضدبدافزار مناسب، اقدام به رمزگذاري فايل و درخواست باج مي کرد، در منطقه خاورميانه نيز فراگير شد. کشور سنگاپور نيز درسالي که گذشت شاهد بدترين و بزرگترين حمله سايبري در تاريخ خود بود که در قالب آن حدود ۱.۵ميليون شهروند اين کشور و از جمله نخست وزير مورد حمله قرار گرفتند. در جريان حملات يادشده اطلاعات شخصي مربوط به سوابق پزشکي و دارويي شهروندان اين کشور به سرقت رفت. برخي حملات اينترنتي در فضاي سايبري ايران رخدادهايي که امنيت سايبري کشورها را هدف قرار داد، در سالي که گذشت در ايران نيز نمود بسياري داشت. به نحوي که طبق اعلام مسئولان، روزانه ۵۰۰ هزار تهديد عليه امنيت سايبري کشور به ثبت رسيد. - يکي از اين رخدادها، مربوط به حملات پراکنده از مبدا رژيم صهيونيستي به برخي زيرساخت هاي ارتباطي ايران بود. عامل حمله شرکت اينترنتي «گلدن لاين» متعلق به رژيم غاصب و مقصد آن به سمت شبکه ارتباطات موبايل بود که اين حملات به موقع دفع شد؛ در اين زمينه وزير ارتباطات کشورمان از پيگيري حقوقي آن در مجامع بين المللي از طريق وزارت امورخارجه خبر داد. - ۳ شرکت فيس بوک، توئيتر و گوگل در يوتيوب، بلاگر و گوگل پلاس، حساب برخي کاربران ايراني را به بهانه فعاليتهاي رسانه اي و ارتباط با شبکه راديو و تلويزيون رسمي جمهوري اسلامي ايران مسدود کردند. - درسالي که گذشت آسيب پذيري بحراني تجهيزات مسيرياب سيسکو، باعث تهديد سايبري در بسياري از کشورهاي جهان از جمله ايران شد. آسيب پذيري سيستم هاي سخت افزاري تحت شبکه شرکت سيسکو، اختلال در ديتاسنترهاي بيش از ۱۵۰ کشور را به همراه داشت و بيش از ۱۶۸ هزار رايانه در نقاط مختلف جهان به همين علت مورد حمله قرار گرفته اند. - ازسوي ديگر آلودگي تجهيزات مسيريابي (روتر) ميکروتيک از جمله رخدادهاي سايبري در سطح کشور بود. حمله سايبري درقالب انتشار باج افزار که سرورهاي HP را هدف قرارداد نيز قربانياني در فضاي مجازي ايران داشت. ما را در کانال «آخرين خبر» دنبال کنيد