شناسایی یک حمله سایبری پیشرفته

مهر/ مرکز مديريت راهبردي افتاي رياست جمهوري با اشاره به شناسايي يک حمله سايبري پيشرفته، نسبت به آلوده سازي سامانه هاي فعال با سيستم عامل ويندوز توسط اين گروه مهاجمان سايبري هشدار داد.
گروهي از مهاجمان سايبري از سال ۲۰۱۹ در کارزاري به نام TunnelSnake با بهکارگيري حداقل يک روتکيت اختصاصي، به آلودهسازي سامانههاي با سيستمعامل ويندوز اقدام کردهاند که اين جاسوسي و سرقت اطلاعات همچنان ادامه دارد.
روتکيتها (Rootkit) ابزارهاي مخربي هستند که با اجرا شدن در سطح سيستمعامل، ضمن در اختيار گرفتن کنترل دستگاه، خود را از ديد محصولات امنيتي مخفي نگاه ميدارند.
اين روتکيت که منابع تحقيقاتي کسپرسکي آن را Moriya نامگذاري کردهاند يک درب پشتي (Backdoor) منفعل است که مهاجمان را به جاسوسي از ترافيک شبکهاي قرباني و ارسال فرمانهاي مورد نظر آنها قادر ميسازد.
به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه ميدهد تا ترافيک ورودي را در سطح هسته (Kernel Space) رصد و تحليل کنند.
سطح هسته يا همان Kernel Space جايي است که هسته سيستمعامل در آن قرار دارد و به طور معمول تنها کدهاي مورد تأييد و داراي سطح دسترسي ويژه، اجازه اجرا شدن را در آن دارند.
کد مخرب Moriya فرمانهاي مهاجمان را از طريق بستههاي دستکاري شده خاصي دريافت ميکند که در نتيجه آن نيازي به برقراري ارتباط با يک سرور فرماندهي وجود ندارد.
اين ترفندها محدود به Moriya نيست و روند رو به افزايش تعداد مهاجمان نشان ميدهد که آنان تلاش ميکنند در مجموعه ابزارهاي خود (با متفاوت و پيچيده ساختن تکنيکها) براي مدتها بدون جلبتوجه در شبکه قرباني ماندگار بمانند.
در کارزار TunnelSnake، براي از کار انداختن و متوقف کردن اجراي پروسههاي ضدويروس، از بدافزاري با عنوان ProcessKiller بهره گرفته و همچنين براي گسترش دامنه آلودگي و شناسايي دستگاههاي آسيبپذير، از ۴ ابزار ديگر کمک گرفته شده است.
تعداد سازمانهايي که کسپرسکي Moriya را در شبکه آنها شناسايي کرده، کمتر از ۱۰ مورد هستند و همه آنها سازمانهاي مطرحي چون نهادهاي ديپلماتيک در آسيا و آفريقا بودهاند.
نشانههاي آلودگي، لينک مشروح گزارش کسپرسکي و همچنين منابع آشنايي با کارزار TunnelSnake در پايگاه اينترنتي مرکز مديريت راهبردي افتا در دسترس است.