شناسایی یک حمله سایبری پیشرفته

گروهي از مهاجمان سايبري از سال ۲۰۱۹ در کارزاري به نام TunnelSnake با به‌کارگيري حداقل يک روت‌کيت اختصاصي، به آلوده‌سازي سامانه‌هاي با سيستم‌عامل ويندوز اقدام کرده‌اند که اين جاسوسي و سرقت اطلاعات همچنان ادامه دارد.

روت‌کيت‌ها (Rootkit) ابزارهاي مخربي هستند که با اجرا شدن در سطح سيستم‌عامل، ضمن در اختيار گرفتن کنترل دستگاه، خود را از ديد محصولات امنيتي مخفي نگاه مي‌دارند.

اين روت‌کيت که منابع تحقيقاتي کسپرسکي آن را Moriya نام‌گذاري کرده‌اند يک درب پشتي (Backdoor) منفعل است که مهاجمان را به جاسوسي از ترافيک شبکه‌اي قرباني و ارسال فرمان‌هاي مورد نظر آنها قادر مي‌سازد.

به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه مي‌دهد تا ترافيک ورودي را در سطح هسته (Kernel Space) رصد و تحليل کنند.

سطح هسته يا همان Kernel Space جايي است که هسته سيستم‌عامل در آن قرار دارد و به طور معمول تنها کدهاي مورد تأييد و داراي سطح دسترسي ويژه، اجازه اجرا شدن را در آن دارند.

کد مخرب Moriya فرمان‌هاي مهاجمان را از طريق بسته‌هاي دست‌کاري شده خاصي دريافت مي‌کند که در نتيجه آن نيازي به برقراري ارتباط با يک سرور فرماندهي وجود ندارد.

اين ترفندها محدود به Moriya نيست و روند رو به افزايش تعداد مهاجمان نشان مي‌دهد که آنان تلاش مي‌کنند در مجموعه ابزارهاي خود (با متفاوت و پيچيده ساختن تکنيک‌ها) براي مدت‌ها بدون جلب‌توجه در شبکه قرباني ماندگار بمانند.

در کارزار TunnelSnake، براي از کار انداختن و متوقف کردن اجراي پروسه‌هاي ضدويروس، از بدافزاري با عنوان ProcessKiller بهره گرفته و همچنين براي گسترش دامنه آلودگي و شناسايي دستگاه‌هاي آسيب‌پذير، از ۴ ابزار ديگر کمک گرفته شده است.

تعداد سازمان‌هايي که کسپرسکي Moriya را در شبکه آنها شناسايي کرده، کمتر از ۱۰ مورد هستند و همه آنها سازمان‌هاي مطرحي چون نهادهاي ديپلماتيک در آسيا و آفريقا بوده‌اند.

نشانه‌هاي آلودگي، لينک مشروح گزارش کسپرسکي و همچنين منابع آشنايي با کارزار TunnelSnake در پايگاه اينترنتي مرکز مديريت راهبردي افتا در دسترس است.