مهاجمان سایبری سامانه های ویندوزی را آلوده کردند

به گزارش لوکو، به گزارش خبرنگاران به نقل از مرکز مدیریت راهبردی افتا، گروهی از مهاجمان سایبری از سال 2019 در کارزاری به نام TunnelSnake با به کارگیری حداقل یک روت کیت اختصاصی، به آلوده سازی سامانه های با سیستم عامل ویندوز اقدام نموده اند که این جاسوسی و سرقت اطلاعات همچنان ادامه دارد.

مهاجمان سایبری سامانه های ویندوزی را آلوده کردند

روت کیت ها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستم عامل، ضمن در اختیار دریافت کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه می دارند.

این روت کیت که منابع تحقیقاتی کسپرسکی آن را Moriya نام گذاری نموده اند یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکه ای قربانی و ارسال فرمان های مورد نظر آنها قادر می سازد.

به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه می دهد تا ترافیک ورودی را در سطح هسته (Kernel Space) رصد و تحلیل نمایند.

سطح هسته یا همان Kernel Space جایی است که هسته سیستم عامل در آن قرار گرفته است و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.

کد مخرب Moriya فرمان های مهاجمان را به وسیله بسته های دست کاری شده خاصی دریافت می نماید که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی وجود ندارد.

این ترفندها محدود به Moriya نیست و فرایند رو به افزایش تعداد مهاجمان نشان می دهد که آنان کوشش می نمایند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیک ها) برای مدت ها بدون جلب توجه در شبکه قربانی ماندگار بمانند.

در کارزار TunnelSnake، برای از کار انداختن و متوقف کردن اجرای فرایند های ضدویروس، از بدافزاری با عنوان ProcessKiller بهره گرفته و همچنین برای گسترش دامنه آلودگی و شناسایی دستگاه های آسیب پذیر، از 4 ابزار دیگر یاری گرفته شده است.

تعداد سازمان هایی که کسپرسکی Moriya را در شبکه آنها شناسایی نموده، کمتر از 10 مورد هستند و همه آنها سازمان های مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بوده اند.

نشانه های آلودگی، لینک مشروح گزارش کسپرسکی و همچنین منابع آشنایی با کارزار TunnelSnake در پایگاه اینترنتی مرکز مدیریت راهبردی افتا در دسترس است.

منبع: خبرگزاری مهر
انتشار: 11 خرداد 1400 بروزرسانی: 11 خرداد 1400 گردآورنده: luku.ir شناسه مطلب: 1595

به "مهاجمان سایبری سامانه های ویندوزی را آلوده کردند" امتیاز دهید

امتیاز دهید:

دیدگاه های مرتبط با "مهاجمان سایبری سامانه های ویندوزی را آلوده کردند"

* نظرتان را در مورد این مقاله با ما درمیان بگذارید