مطالعه جدیدی در مورد زیرساخت های دارک وب افشا کرده است که یک عامل تهدید ناشناخته در اوایل فوریه 2021 بیش از 27 درصد از کل ظرفیت خروجی شبکه Tor را کنترل کرده است.

یک محقق امنیتی مستقل که از او با nusenu نام برده شده است، در متنی که روز یکشنبه منتشر شده، اعلام کرده است که: "نهادی که به کاربران Tor حمله می کند، از بیش از یک سال پیش بصورت فعالانه از کاربران Tor بهره برداری می کند و دامنه حملات آنها را به سطح اطلاعاتی جدیدی ارتقا داده است. متوسط ​​نرخ خروجی که این نهاد در طول 12 ماه گذشته کنترل کرده، بالای 14٪ بوده است".

به گزارش هکرنیوز، این آخرین مورد از مجموعه تلاشهایی است که برای آشکار کردن فعالیتهای مخرب Tor از دسامبر 2019 انجام شده است. حملاتی که گفته می شود در ژانویه 2020 آغاز شده است و برای اولین بار توسط همان محقق در اوت 2020 مستندسازی و افشا شده است.

Tor یک نرم افزار متن باز برای امکان برقراری ارتباط ناشناس در اینترنت است. این مبدا و مقصد، درخواست وب را با هدایت ترافیک شبکه از طریق یک سری رله ها مخفی می کند تا آدرس IP و مکان و موارد استفاده کاربر را از هرگونه نظارت یا تجزیه و تحلیل ترافیک پنهان کند. در حالی که رله های میانی معمولاً از دریافت ترافیک در شبکه Tor مراقبت می کنند و آن را عبور می دهند، رله خروجی گره نهایی است که ترافیک Tor قبل از رسیدن به مقصد از آن عبور می کند.

گره های خروجی در شبکه Tor در گذشته برای تزریق بدافزارهایی مانند OnionDuke تحت تاثیر قرار گرفته بودند، اما این اولین بار است که یک عامل ناشناس موفق به کنترل چنین بخش بزرگی از گره های خروجی Tor می شود.

 

سازمان یا گروه هک کننده، 380 رله خروج مخرب Tor را در پیک خود در آگوست 2020 و قبل از اینکه دایرکتوری Tor مداخله کرده و گره ها را از شبکه حذف کند، نگهداری کردند. به دنبال آن فعالیت در اوایل سال جاری دوباره آغاز شد و مهاجم تلاش کرد بیش از 1000 رله خروجی را در هفته اول ماه مه، اضافه کند. همه رله های خروجی مخرب Tor که در جریان موج دوم حملات شناسایی شده بودند، حذف شده اند.

به گفته nusenu، هدف اصلی این اقدامات، انجام حملات "man-in-the-middle" بر علیه کاربران Tor و با دستکاری در ترافیک عبوری از شبکه رله های خروجی آنها است. به ویژه به نظر می رسد مهاجم از آنچه که SSL stripping شناخته میشود، برای کاهش میزان ترافیک به سمت سرور میکسر Bitcoin از HTTPS به HTTP اقدام می کند، و طی حرکتی آدرس های بیتکوین را جایگزین کرده و معاملات را به جای آدرس بیت کوین که توسط کاربر ارائه می شود، به کیف پول الکترونیکی خود هدایت کند.

محققین پشتیبانی پروژه Tor در ماه آگوست تشریح کردند که: "اگر کاربری از نسخه HTTP (یعنی نسخه رمزگذاری نشده و تأیید نشده) یکی از این سایتها بازدید کند، آنها از هدایت کاربر به نسخه HTTPS (یعنی نسخه رمزگذاری شده و تأیید شده) سایت جلوگیری می کنند. اگر کاربر متوجه نشود که در نسخه HTTPS سایت (که هیچگونه آیکون قفل در مرورگر وجود ندارد) بوده و اقدام به ارسال یا دریافت اطلاعات حساس کند، این اطلاعات توسط مهاجم قابل رهگیری میباشد".

برای کاهش چنین حملاتی، پروژه Tor توصیه های را شرح داده است؛ از جمله اصرار به مدیران وب سایت ها برای فعال کردن پیش فرض HTTPS و استقرار سایت های .onion برای ممانعت گره های خروج و اضافه کردن این برنامه به "comprehensive fix" جهت غیرفعال کردن HTTP ساده در مرورگر Tor است.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) در ژوئیه سال 2020 در یک توصیه اعلام کرد: "خطر آلودگی به عنوان هدف سوءاستفاده از طریق Tor برای هر سازمان منحصر به فرد است. یک سازمان باید ریسک خطر خود را با ارزیابی احتمال اینکه عامل تهدید، سیستم ها یا داده های آن را هدف قرار میدهد و احتمال اینکه موفقیت عامل حملات باعث از دست دادن کنترل و کاهش امکان مدیریت شرایط میشود، در نظر بگیرد".

این مجموعه افزود: "سازمان ها باید تصمیمات کاهش مخاطرات خود را در برابر تهدیدات سازمانی خود از طریق تهدیدهای مداوم پیشرفته (APT)، مهاجمان نسبتاً پیشرفته و هکرهای مستقل با مهارت کم که همه آنها از Tor برای انجام شناسایی و حملات در گذشته استفاده کرده اند، ارزیابی نمایند".

به گزارش سایت رویترز، مجرمان سایبری با قرار دادن ویروس در 7400 وب سایت در سراسر جهان آنها را برای مقاصد شوم خود آلوده کرده اند. هکر ها قصد دارند پس از آلوده کردن سایت ها با در دست گرفتن کنترل سیستم های کامپیوتری به استخراج بیت کوین بپردازند.

در این راستا هزاران وب سایت متعلق به دولت انگلیس مورد حمله سایبری قرار گرفته و هک شده اند تا بتوان از آن طریق پول های مجازی مانند بیت کوین را استخراج کرد.

در این میان سایت های بزرگ و کوچکی هدف گرفته شده اند، به عنوان مثال سایت شرکت وام های دانشجویی، وب سایت NHS اسکاتلند و هزارن وب سایت دیگر به ویروس آلوده شده اند.

طبق آمار حدود ۷۴۰۰ وب سایت در سراسر جهان با این ویروس دست و پنجه نرم می کنند.

در نتیجه این حمله، مجرمان با استفاده از رایانه، موبایل ها یا هر تجهیزات دیگری که کاربران جهت بازدید سایت مراجعه کنند، ویروس موجود روی این وب سایت ها موجب می شود تا بتوان بیت کوین استخراج کرد و برای هکرها درآمد زایی می کند.

هکرها با طراحی ویروسی به نام Coinhive و قرار دادن آن در بین نرم افزار های مورد استفاده در این وب سایت ها موجبات حمله را فراهم کرده اند. این ویروس به گونه ای وانمود می کند که برنامه ای جهت استفاده نابینایان از سایت است و اجازه دسترسی نابینایان به سایت را فراهم می کند؛ اما در صورتی که کاربران و بازدیدکنندگان روی سایت کلیک کنند این ویروس به رایانه آنها منتقل می شود.

هکر ها با بهره گیری از قدرت پردازش مازادی که از دستگاه ها و تجهیزات کاربران به دست میاورند اقدام به استخراج ارز های مجازی مانند بیت کوین می کنند.

در این فرایند استخراج که در اصطلاح «Mining» گفته می شود با حل مسئله های پیچیده ریاضی سکه های دیجیتالی جدیدی به وجود می آید و به محض ایجاد این سکه ها می توان آنها را به صورت آنلاین ذخیره کرد.

در کل برای استخراج بیت کوین نیاز به پردازش های پیچیده داریم به همین دلیل هم قیمت برخی سخت افزار های مرتبط با پردازش کامپیوتر افزایش چشمگیری پیدا کرده است.

به گزارش سایت هکرید، این بدافزار سایت های مورداعتماد گوگل را هدف قرار داده است.
فیلدهای متادیتای عکس های آپلود شده در CDN گوگل، از طریق هکرها مورد سواستفاده قرار گرفته است تا با استفاده از کدهای مخرب، امنیت وب سایت ها را به خطر بیاندازند. این روش از سوءاستفاده،در واقع نوعی آسیب پذیری است زیرا کاربران هرگز تصاویر را به‌منظور کشف نرم افزارهای مخرب اسکن نمیکنند.
این بدافزار تزریق شده از فرمت EXIF (فایل عکس قابل تغییر) برای مخفی کردن کد استفاده می کند و تصاویر خطرناک در سایت های رسمی گوگل از جمله شبکه اجتماعی Google+، سایت های GoogleUserContent و وبلاگنویسان مانند Blogger.com در دسترس هستند.
حمله مشابهی قبلا در GitHub و Pastebin دیده شده بود، جایی که مجرمان سایبری قادر به پنهان کردن نرم افزارهای مخرب در تصاویر آپلود شده بودند.این موضوع توسط شرکت امنیتی سایبری Sucuri کشف شد و یافته ها در روز پنج شنبه منتشر شد. 
یکی از محققان امنیتی به نام Dennis Sinegubko در Sucuri طرح توزیع بدافزار را شناسایی کرد که از GoogleUserContent CDN برای میزبانی یکی از تصاویر آلوده استفاده کرد. بنابراین هنگامی که چنین تصویری دانلود می شود، بدافزار بلافاصله سایت را آلوده می کند. مهاجم فقط باید منتظر دریافت یک گزارش از سمت تصویر آلوده باشد و سپس اقدام به راه اندازی حمله برعلیه این سایت ها میکند.
Sinegubko در گزارش خود که در روز چهارشنبه منتشر شد، اظهار داشت که تمرکز شناسایی این کمپین بر سرقت توکن های امنیتی PayPal با هدف جلوگیری از فرآیند تأیید پی پال است.
هکرها با لود کردن تصویری که توسط گوگل میزبانی شده بود و با استفاده از تکنیک استگانوگرافی (steganography) میزبانی میگردید، توانستند بدافزار را در سرور نصب کنند. آنچه در steganography اتفاق می افتد این است که هکرها فایل را استخراج کرده و کد مخرب را در فیلد متادیتای کاربر EXIF ​​پنهان می کنند. کد مورد استفاده در این کمپین یک رشته کدگذاری Base64 است.
هنگامی که این رشته بیش از یک بار رمزگشایی می شود، آن را به یک اسکریپت تبدیل می کند که می تواند یک Shell از پیش تعریف شده بر روی سرور هدف را با دیگر فایل ها آپلود کند. این Shell در حال حاضر قادر به خرابکاری سرور است و مهاجم می تواند آدرس های سایت هایی را که با موفقیت مورد سوء استفاده قرار گرفته اند دریافت کنند.
Sinegubko ادعا می کند که پنهان کردن نرم افزارهای مخرب به فایل های EXIF ​​برای او خیلی هم نگران کننده نیست؛ نگران کننده ترین چیز این بود که هکرها از GoogleUserContent CDN برای تحقق اهداف نابکار خود استفاده می کردند. این کاملا یک ایده جدید است که مطمئنا شبهای پرسر و صدا را به محققان امنیتی تحمیل می کند.
دلیل اصلی برای نگرانی این است که هیچ راه استانداردی برای اطلاع گوگل در مورد تصویر آلوده شده وجود ندارد، زیرا این شرکت یک فرآیند گزارش دهی برای نقض حق نسخه برداری و نه مسائل مرتبط با امنیت را اجرا کرده است. Sinegubko می نویسد:

"گوگل ابزارهای بسیاری برای حذف محتوا دارد، اما مشخص نیست که چگونه بدافزار موجود در تصاویر را میخواهد گزارش دهد. اکثر ابزارهای آنها نیاز به ارائه پیوندهایی به پستهای اصلی، صفحات یا نظرات حاوی محتوای نقض‌کننده دارند. تصویر در اینجا جزء برخی از محتوای عمومی شناخته شده نیست. "

محققان نمی توانند منبع آپلود بدافزار را شناسایی کنند. محققان در Sucuri اذعان کرده اند که:

"دشوار است بگوییم که منبع اصلی تصاویر کجاست، زیرا URL های آنها ناشناس هستند و فرمت مشابعی دارند."

 

بنا بر گزارش های منتشر شده از کسپرسکی، میزان حملات DDoS در برای سه ماهه آخر سال میلادی در قیاس با سه ماهه سوم همان سال، کاهشی 31 درصدی را از خود نشان میدهد.

کارشناسان بر این باور هستند که این کاهش حجم حملات، ارتباط مستقیمی با افزایش قیمت رمزارزها دارند که به طبع توجه مجرمان سایبری به استخراج رمزارزها معطوف شده است. بررسی های کسپرسکی نشان میدهد که هرچند تعداد استخراج کنندگان رمزارزها در سال 2019 و آغاز 2020 کاهش یافته است، از ماه آگوست سال 2020 استفاده از اینگونه بدافزارها اندکی افزایش داشته است.

با توجه به افزایش سودآوری استخراج رمزارزها، به نظر میرسد که مجرمان سایبری برای فعال کردن سرورهای C&C، برخی از ربات های اینترنتی را که معمولا در حملات DDoS مورد استفاده قرار میگرفتند، بازطراحی کرده اند تا از اهداف و تجهیزات آلوده خود با استفاده از توان محاسباتی آنها، جهت استخراج رمزارزها بهره برداری نمایند.

ماه گذشته شرکت آویرا گزارشی را منتشر کرد که گواه از کشف افزایش 53 درصدی در نرم افزارهای استخراج رمزارز در سه ماهه پایانی سال 2020 و در پی افزایش قیمت بیت کوین میداد.

با وجود این کاهش در سه ماهه چهارم سال 2020، میزان حملات DDoS در قیاس با مدت مشابه سال 2019، افزایش 10 درصدی را نشان میدهد.

این میزان افزایش مداوم حملات DDoS در سال 2020، بخاطر بهره برداری مجرمان سایبری از افزایش نفرات و مقدار زمانی است که وقت خود را بصورت آنلاین از زمان اعمال محدودیت ها بخاطر بیماری کووید-19 و فاصله گذاری اجتماعی، صرف مینمایند. کسپرسکی خاطرنشان کرد که موسسات آموزشی متعددی در سه ماه پایانی سال 2020، شامل چندین مدرسه در ماساچوست و دانشگاه لورنتیان کانادا، هدف این دست حملات قرار گرفته اند.

الکسی کیسلف، مدیر توسعه تجارت در تیم محافظتی DDoS کسپرسکی اظهار داشته است که: "بازار حملات DDoS تحت تاثیر دو روند متضاد و مخالف هم قرار گرفته است. از یک سو مردم هنوز هم به کارهای با ثبات وابسته به منابع آنلاین اعتماد بالایی دارند که میتواند حملات DDoS را به گزینه ای معمول برای مجرمان سایبری تبدیل کند. هرچند با با افزایش قیمت رمزارزها، برای این مجرمین بسیار بصرفه خواهد بود که که اهداف خود و دستگاه های کاربران بی اطلاع را به ابزار استخراج رمزارز تبدیل نمایند. درنتیجه میبینیم که تعداد کل حملات DDoS در سه ماهه چهارم سال 2020 تقریبا ثابت مانده است؛ و میتوان پیشبینی کرد که این روند در سال 2021 نیز ادامه یابد."

 

بدافزاری که با نام Purple Lambert معرفی شده است، توسط کسپرسکی شناسایی شد؛ این بدافزار بطور پنهانی ترافیک شبکه را رصد میکند و در پی"magic packet" در سیستم ها میگردد.

تیم تحقیق و تجزیه و تحلیل جهانی (GReAT) در آزمایشگاه کسپرسکی بدافزار جدیدی را کشف کرده است که این شرکت ادعا می کند توسط آژانس اطلاعات مرکزی آمریکا (CIA) ساخته شده است.

 

به گزارش هک رید، غول امنیت سایبری مستقر در مسکوی روسیه گفته است که این بدافزار را در "مجموعه ای از نمونه های بدافزار" متعلق به چندین گروه APT  مشاهده کرده است. این نمونه ها در فوریه 2019 به دست کسپرسکی و سایر شرکت های امنیت سایبری رسیده است.

به گفته محققان، این نمونه ها در سال 2014 جمع آوری شده و بر این اساس، احتمالاً در سال 2014 و احتمالاً تا اواخر سال 2015 از آن استفاده شده است.

 

بدافزارPurple Lambert

محققان کسپرسکی به این بدافزار لقب پرپل لمبرت داده اند. این بدافزار به قابلیت Backdoor مجهز است که به آن امکان می دهد بصورت پنهانی و غیرفعال ترافیک شبکه را رصد کرده و به دنبال "magic packet" باشد.

علاوه بر این، بدافزار ذکر شده می تواند همراه با اجرای بسته ای که از اپراتورهای خود دریافت می کند، اطلاعات بنیادی و اساسی را از سیستمی که هدف قرار گرفته است، استخراج کند.

کسپرسکی در 27 آوریل در گزارش APT Trends - Q1 2021 این جزئیات را به اشتراک گذاشته است.

 

خانواده بدافزارهایCIA، ویکیلیکس،Vault7 وLambert

اگرچه در گزارش کسپرسکی نام CIA مستقیما ذکر نشده است، اما ذکر این بدافزار در دسته بندی خانواده بدافزار لمبرت، ارتباط آن با آژانس اطلاعات مرکزی آمریکا را نشان می دهد.

اما چطور؟ در سال 2017، روزهایی که نهاد افشاگری ویکی لیکس توانایی های هک گسترده CIA را در مجموعه ای به نام Vault7 افشا کرد، شرکت امنیت سایبری سیمانتک یک پست وبلاگ در مورد بدافزاری به نام Longhorn منتشر کرد و از طرف دیگر محققان کسپرسکی همان بدافزار را از خانواده بدافزار لمبرت نام برده اند.

بعلاوه پس از تجزیه و تحلیل دقیق نمونه ها، کسپرسکی شباهت های زیادی بین بدافزار و موارد استفاده شده توسط CIA در گذشته مانند Gray Lambert شناسایی کرد و به این ترتیب آن را Purple Lambert نامگذاری نمود.

همچنین از نظر مورد استفاده قرار گرفتن این بدافزار نیز، این شرکت معتقد است هیچ مدرکی مبنی بر استفاده از بدافزار در فضای کاربری، حداقل برای چند سال اخیر وجود ندارد.

کسپرسکی نتیجه گیری کرده است که: اگرچه ما هیچ کد مشترکی با بدافزار شناخته شده دیگری پیدا نکرده ایم، اما این نمونه ها دارای نقاط مشترکی از الگوهای کدگذاری، سبک و روش هایی هستند که در بدافزارهای مختلف خانواده های لمبرت دیده شده است.

به گزارش سایت ambcrypto.com، یک کارشناس امنیتی مستقل با نام James Quinn خانواده جدیدی از ماینرهای ارز دیجیتالی را کشف کرده است. این ماینرکه ZombieBoy نام گذاری شده است، طبق تحلیل‌های این کارشناس، دارای سرعت کاوش 43 KH/s 43000) Hash در ثانیه) است که قادر به استخراج 1000 دلار در ماه است. این ماینر یا همان کاوشگر از زبان چینی استفاده می‌کند که از این رو احتمالا در کشور چین توسعه داده شده است.
Quinn در بلاگ خود توضیح داده است که این کاوشگر مشابه massminer است که در اوایل ماه می معرفی شد. بدلیل استفاده این بدافزار از ZombieBoyTools، آنرا ZombieBoy نامگذاری کرده‌اند. باید اشاره کرد که ZombieBoyTools دارای ارتباطاتی با IronTigerAPT است و یک ویرایش از تروجان Gh0st است.
بدافزار به کمک این ابزار اولین فایل dll خود را در سیستم قربانی قرار می‌دهد. علاوه بر این، Quinn ادعا می‌کند که این کرم از اکسپلویت‌های مختلف برای گسترش در سیستم استفاده می‌کند. تفاوتی که بین massminer و ZombieBoy وجود دارد در استفاده از ابزار اسکن میزبان است که ZombieBoy به جای MassScan از WinEggDrop استفاده می‌کند. نکته قابل توجه و البته نگران کننده این بدافزار بروزرسانی آن بصورت مداوم است. علاوه بر این، بدافزار می‌تواند از CVEهای مختلفی برای دور زدن برنامه‌های امنیتی بهره ببرد. این CVEها شامل یک آسیب‌پذیری RDP یعنی CVE-2017-9073 و اکسپلویت‌های CVE-2017-0143 و CVE-2017-0146 هستند.
بدافزار از اکسپلویت‌های DoublePulsar و EternalBlue برای ایجاد در پشتی استفاده می‌کند. از آنجایی که بدافزار می‌تواند چندین درپشتی ایجاد کند، بنابراین راه ورود سایر برنامه‌های مخرب مانند keyloggerها، باج‌افزارها و بدافزارهای دیگر باز می‌شود.

 

یک بدافزار لینوکس با قابلیت backdoor که تاکنون ثبت نشده بوده است، موفق شده است حدود سه سال بدون شناسایی از زیر رادار محققان امنیتی عبور کند، و به عامل تهدیدات امنیتی اجازه دهد تا اطلاعات حساس را از سیستم های آلوده جمع آوری کرده و از بین ببرند.

این backdoor که توسط محققان Qihoo 360 NETLAB، به نام RotaJakiro اعلام شده است، دستگاههای Linux X64 را هدف قرار می دهد و به این دلیل اینگونه نامگذاری شده است که "این دسته هنگام رمزگذاری، از رمزگذاری چرخشی استفاده می کنند و برای حساب های روت و غیر روت رفتار متفاوتی دارند".

این یافته ها بر مبنای تجزیه، تحلیل و آنالیز یک نمونه بدافزار است که در تاریخ 25 ماه مارس شناسایی شده است، اگرچه به نظر می رسد نسخه های اولیه آن از اوایل ماه مه سال 2018 در VirusTotal بارگذاری شده اند. در مجموع چهار نمونه تاکنون در پایگاه داده ها پیدا شده است که همه آنها توسط اکثر موتورهای ضد بدافزار ، شناسایی نشده، باقی مانده اند. از زمان نوشتن این مقاله، فقط هفت تامین کننده امنیتی آخرین نسخه بدافزار را به عنوان مخرب اعلام و علامتگذاری کرده اند.

 

بنا به گفته محققین: "در سطح عملکردی، RotaJakiro ابتدا با استفاده از پالیسی های مختلف اجرا برای حساب های مختلف، مشخص می کند که کاربر مد نظر، کاربر روت یا میباشد یا غیر روت؛ سپس منابع حساس مربوطه را با استفاده از AES& ROTATE رمزگشایی می کند تا در صورت مقاومت، از فرآیندهای آتی و استفاده از نمونه محافظ کند، و سرانجام ارتباط با C2 برقرار می شود و منتظر اجرای دستورات صادر شده توسط C2 میماند".

 

RotaJakiro با تکیه بر ترکیبی از الگوریتم های رمزنگاری برای رمزگذاری ارتباطات خود با یک سرور command-and-control (C2) و علاوه بر آن، پشتیبانی از 12 عملکرد که برای جمع آوری فراداده های دستگاه و سرقت اطلاعات حساس، انجام عملیات مربوط به فایل ها و بارگیری و اجرای افزونه ها از سرور C2 پشتیبانی می کنند، بر مبنای اصل عملیات پنهانی طراحی شده است.

اما هدف واقعی این کمپین بدافزار بدون هیچ مدرکی جهت روشن کردن ماهیت افزونه ها، همچنان نامشخص است. جالب اینجاست که زمان ثبت برخی از دامنه های C2 ثبت شده تقریباً به ماه دسامبر سال 2015 بر می گردند، همچنین محققان هم پوشانی را بین RotaJakiro و بات نتی با نام Torii را مشاهده کردند.

همچنین محققان گفتند: "از منظر مهندسی معکوس، RotaJakiro و Torii سبک های مشابهی دارند: استفاده از الگوریتم های رمزگذاری برای پنهان کردن منابع حساس، اجرای یک سبک تلاش برای ماندگاری نسبتاً قدیمی، ترافیک شبکه و غیره. ما پاسخ را دقیقی برای آن نداریم، اما به نظر می رسد RotaJakiro و Torii ارتباطاتی با یکدیگر دارند".

 

محققان امنیت سایبری روز دوشنبه موج جدیدی از حملات مداوم را با بهره گیری از چندین آسیب پذیری برای استقرار نوع جدیدی از Mirai در دستگاه های متصل به اینترنت فاش کردند.

تیم اطلاعات امنیتی واحد 42 شرکت پالو آلتو در توضیحی نوشت: "پس از نفوذ و سوءاستفاده موفقیت آمیز، مهاجمان سعی می کنند یک shell script مخرب که شامل اعمال آلوده کننده دیگری مانند بارگیری و اجرای انواع Mirai و اخاذی است را بارگیری کنند".

مواردی که در پی این آسیب پذیری مورد سوءاستفاه قرار میگیرند، عبارتند از:

• VisualDoor - آسیب پذیری اعمال دستور از راه دور SonicWall SSL-VPN که اوایل ژانویه سال جاری مشخص گردید.
• CVE-2020-25506 - آسیب پذیری اجرای کد راه دور (RCE) فایروال D-Link DNS-320.
• CVE-2021-27561 و CVE-2021-27562 - دو آسیب پذیری در مدیریت دستگاه Yealink که به مهاجم غیرمجاز اجازه می دهد دستورات دلخواه خود را بر روی سرور با امتیازات دسترسی root اجرا کند.
• CVE-2021-22502 - نقص RCE در گزارشگر Micro Focus Operation Bridge (OBR)، در نسخه 10.40.
• CVE-2019-19356 - روتر بی سیم Netis WF2419 که از RCE استفاده می کند.
• CVE-2020-26919 - آسیب پذیری Netgear ProSAFE Plus RCE

سونیک وال در بیانیه ای اعلام کرد: "بهره برداری VisualDoor از آسیب پذیری سیستم عامل SSL-VPN نسخه قدیمی است که در سال 2015 با نسخه های 7.5.1.4-43sv و 8.0.0.4-25sv بر روی محصولات قدیمی بروزرسانی شده است." همچنین در ادامه افزوده است که "این سوءاستفاده از هر دستگاه سونیک وال که به درستی بروزرسانی شده باشد، قابل اجرا نیست."

همچنین سه آسیب پذیری اعمال دستور که قبلاً نامشخص بوده است، در این مجموعه گنجانده شده است که در برابر اهداف ناشناخته اعمال گردیده که به گفته محققان یکی از آنها همراه با یک بات نت جداگانه با نام MooBot مشاهده شده است.

گفته می شود این حملات به مدت یک ماه از 16 فوریه تا 13 مارس کشف شده است.

صرف نظر از نقصی که از آن برای دستیابی موفقیت آمیز بهره برده شده است، این زنجیره حمله شامل استفاده از ابزار wget برای بارگیری یک shell script از زیرساخت های بدافزار است که سپس برای استخراج باینری های Mirai استفاده می شود، یک بدافزار معروف که دستگاه های مبتنی اینترنت اشیا شبکه ای را تبدیل به بات های کنترل از راه دور کرده که می توانند به عنوان بخشی از بات نت در حملات شبکه با مقیاس گسترده استفاده شود.

علاوه بر دانلود Mirai، shell script های دیگری نیز مشاهده شده اند که در حال بازیابی موارد عملیاتی برای سهولت انجام حملات شدید برای نفوذ به دستگاه های آسیب پذیر با رمزهای عبور ضعیف هستند.

این محقق افزود: "حریم اینترنت اشیا به عنوان یک هدف به راحتی در دسترس مهاجمان باقی مانده و بهره برداری و سوءاستفاده از آن حجم زیاد از آسیب پذیری ها، بسیار آسان است و در برخی موارد می تواند عواقب فاجعه باری را به همراه داشته باشد".

 

بات نت جدیدZHtrap، با استفاده ازHoneypot قربانیان را به دام می اندازد

در یک طرح توسعه مرتبط، محققان شرکت امنیتی چینی نت لب 360، بات نت جدید مستقر در Mirai به نام ZHtrap را کشف کردند که در حالی که برخی از ویژگی ها را از یک بات نت  DDoS معروف به نام Matryosh گرفته است، از روش Honeypot برای یافتن و اضافه کردن قربانیان جدید استفاده می کند.

 

در حالی که هانی پات ها به طور معمول اقدام به تقلید از هدف خود برای جرایم سایبری خود میکنند تا برای نفوذ به آنها جهت کسب اطلاعات بیشتر در مورد روش کار خود استفاده کنند، بات نت ZHtrap برای گسترش و تکثیر بیشتر خود، از یک روش مشابه استفاده کرده و از طریق یکپارچه سازی ماژول جمع آوری IP اسکن برای جمع آوری آدرس های IP که به عنوان اهداف استفاده می شوند، استفاده می کند.

این اطلاعات با زیر نظر گرفتن و بررسی 23 پورت تعیین شده و با شناسایی آدرس های IP متصل به این پورت ها و سپس با استفاده از آدرس های IP انباشته شده برای بررسی چهار آسیب پذیری برای نفوذ به مقادیر در حال بارگیری، به دست آمده است:

• MVPower DVR Shell RCE تأیید نشده
• Netgear DGN1000 Setup.cgi RCE غیرمجاز
• دوربین مدار بسته DVR RCE که بر فروشنده های مختلف تأثیر می گذارد
• اجرای دستور Realtek SDK miniigd SOAP (CVE-2014-8361)

محققان اعلام کردند: "انتشار ZHtrap از چهار آسیب پذیری N-day استفاده می کند و در حالی که از برخی ویژگی های backdoor بهره میبرد، عملکرد اصلی آن DDoS و اسکن کردن است". آنها افزودند: "Zhtrap یک هانی پات را بر روی دستگاه آلوده راه اندازی می کند و تصاویری را از دستگاه های قربانی می گیرد و اجرای دستورات جدید را بر مبنای آن تصاویر غیرفعال می کند و اینگونه به دستگاه تسلط پیدا مینماید".

 

ZHtrap هنگامی که دستگاه ها را به انحصار خود گرفت، با استفاده از Tor برای ارتباط با یک سرور command-and-control برای بارگیری و اجرای مابقی اطلاعات، با بات نت Matryosh ارتباط می گیرد.

محققان با اشاره به اینکه این حملات از 28 فوریه 2021 آغاز شده است، میگویند که توانایی ZHtrap در تبدیل دستگاه های آلوده به هانی پات ، یک "تحول جالب" از بات نت ها برای تسهیل در امر یافتن اهداف و طعمه های بیشتر است.

بات نت های مبتنی بر Mirai جدیدترین مواردی هستند که در فضای حملات سایبری ظاهر شده اند و تا حدی با در دسترس بودن کد سورس Mirai از سال 2016 در اینترنت، زمینه را برای سایر مهاجمان جهت ایجاد انواع مختلف از این بات نت را فراهم کرده است.

در ماه مارس گذشته، محققان یک نوع Mirai به نام "Mukashi" را کشف کردند که مشخص شد دستگاه های ذخیره سازی متصل به شبکه Zyxel (NAS) را هدف قرار می دهد تا آنها را در اختیار یک بات نت قرار دهد. سپس در اکتبر سال 2020، تیم تحقیقاتی اینترنت اشیاء شرکت Avira نوع دیگری از بات نت Mirai به نام "Katana" را شناسایی کرد که از آسیب پذیری های اجرای کد از راه دور برای آلوده کردن روترهای D-Link DSL-7740C، دستگاه های DOCSIS 3.1 wireless gateway و سوئیچ های Dell PowerConnect 6224 سوءاستفاده می کرده است.

به گزارش سایت هکرید، کریس ویکی یکی از محققان امنیت اطلاعاتی متوجه یک شکاف اطلاعاتی شده که تعداد زیادی از خودروسازان از جمله تسلا، تویوتا، فورد و فولکس واگن را تحت تاثیر قرار داده است.

 ویکی در مصاحبه با نیویورک تایمز اعلام کرده حدود ۴۷ هزار سند حساس کشف کرده که در فضای اینترنت منتشر شده اند. در کل ۱۵۷ گیگابایت اطلاعاتی که فاش شده  شامل نقشه اولیه دقیق و طرح های کارخانه، اسناد مربوط به مشتریان مانند رسید، قرارداد و  برنامه کاری همراه قراردادهای محرمانه بودند.

 خودروسازان به طور معمول اقدامات زیادی برای حفاظت از این نوع اطلاعات حساس می کنند زیرا افشای رازهای تجاری فضای رقابت را ناعادلانه می کند.

به هرحال اطلاعات حدود ۱۰۰ شرکت در این شکاف امنیتی فاش شده است. جالب آنکه تمام این شرکت ها یک نقطه مشترک داشتند. همه آنها با شرکتی کانادایی به نام Level One Robotics and Controls همکاری داشتند که در حوزه طراحی فرایندهای اتوماسیون برای خودروسازان و تهیه کنندگان تجهیزات فعالیت می کند.

ویکی نیز این اطلاعات را در یکی از سرورهای بک آپ Level One یافته است. در این رویداد هیچ عملیات هکی صورت نگرفته بود، زیرا سرور با پسورد محافظت نمی شد بنابراین هر کسی می توانست به آن دسترسی یابد.  

جالب آنکه میان موارد افشا شده، اطلاعات جمعی از کارمندان Level One نیز وجود داشته مانند گواهینامه رانندگی و پاسپورت. البته در این رویداد اطلاعات مشتریان شرکت های خودروسازی فاش نشده است.

 

به گزارش سکیوریتی مگزین، یکی از کارشناسان کمپانی پازیتیوز تکنولوجیز با نام ایگور دیمیترنکو یک آسیب پذیری جدی و بزرگ در ابزار تکثیر اطلاعات VMware vSphere Replication را کشف کرده است. این ابزار به سازمان ها امکان میدهد تا از ماشین های مجازی نسخه پیشتیبان تهیه کرده و در صورت بروز مشکل در ماشین مجازی اصلی، آنها را اجرا نمایند. این نقص و باگ به مهاجمین اجازه دسترسی به رابط مدیریتی تحت وب VMware vSphere Replication را میدهد که در پی آن کدهای دلخواه را بر روی سرور با حداکثر اختیارات اجرا کرده و همچنین اعمال ثانوی ای را آغاز کنند تا کنترل و مدیریت کامل زیرساخت های سازمان ها را به دست بگیرند.

خبر خوب اینکه VMware این آسیب پذیری را که امکان اجرای فرامین از راه دور بر روی سرور را فراهم میکرد، برطرف کرده است. نقص امنیتی با نام CVE-2021-21976 شناخته می شود و دارای نسخه CVSS v3 سری 7.2 است.

ایگور دیمیترنکو توضیح میدهد: "آسیب پذیری هایی که امکان اجرای این نوع حملات (Command Injection) را میدهند، اغلب در محصولاتی که برای مدیریت ایجاد شده اند، یافت میشوند". وی می افزاید: "چنین خطاهایی معمولا به دلیل تایید ناکافی اطلاعات ورودی کاربر ایجاد میشود، که به متعاقب آن در محتوای فراخوان فرمان سیستم قرار میگیرد. مکانیسم هایی برای جلوگیری از چنین حملاتی معمولا در ابزار توسعه دهنده در نظر گرفته شده و تعبیه شده اند تا از احتمال بروز خطا در کدها محافظت نمایند. با این وجود، هنوز ناهنجاری ها و مشکلاتی در کدها اتفاق می افتد؛ به عنوان مثال،  هنگام اجرای سریع کارها و فرامین جدید و یا در راستای حل و فصل سریع یک مشکل که وجود دارد، چنین خطاهایی حادث میشوند. جهت بهره برداری و سواستفاده از آسیب پذیری موجود در محصول VMware، مهاجمین نیازمند مدارک و شناسه معتبری هستند که اینها را میتوان به دلیل استفاده از رمز عبورهای ضعیف و ساده و یا با استفاده از مهندسی اجتماعی، به سادگی به دست آورد".

سازمان ها میبایست جهت رفع این آسیب پذیری، توصیه های اعلام شده رسمی VMware را به کار ببندند. در صورت امکان پذیر نبودن به روز رسانی، سازمان ها و نهادها میتوانند با استفاده از راهکار SIEM، علائم نفوذ را که به طبع به شناسایی رفتار مشکوک در سرور کمک میکند را شناسایی نمایند. در پی آن این نفوذ و عمل مشکوک را ثبت کرده و از جابجایی و نفوذ هر چه بیشتر متجاوز و مهاجم به درون شبکه آن سازمان در سریعتر زمان ممکن جلوگیری کنند.

در سپتامبر 2020، پازیتیو تکنولوجیز آسیب پذیری های همان کلاس (امکان Command Injection) را در PAN-OS، سیستم عامل مورد استفاده توسط فایروال های نسل بعدی Palo Alto Networks، کشف کرد.

سیسکو، بزرگترین تامین کننده تجهیزات شبکه، برای رفع آسیب پذیری های متعدد و مهم تأثیرگذار بر HyperFlex HX و SD-WAN vManage Software كه می تواند به مهاجم اجازه دهد حملات اعمال فرمان، اجرای كد دلخواه و دسترسی به اطلاعات حساس را انجام دهد، بروزرسانی های نرم افزاری ارائه داده است.

در یک سری راهنمایی ها و گزارشات توصیه ای منتشر شده در تاریخ 5 ماه می سال جاری میلادی، این شرکت اعلام کرده است که هیچ راهکار قطعی برای رفع مشکلات وجود ندارد.

آسیب پذیری های اعمال فرمان HyperFlex HX، همانگونه که در CVE-2021-1497 و CVE-2021-1498 (CVSS Score 9.8) ردیابی شده است، بر تمام دستگاه های سیسکو که از نرم افزار HyperFlex HX نسخه های 4.0 ، 4.5 و نسخه های 4.0 استفاده می کنند، تأثیر می گذارد. این اشکال می تواند به دلیل عدم اعتبارسنجی کافی ورودی ارائه شده توسط کاربر در اینترفیس مدیریتی مبتنی بر وب سیسکوی HyperFlex HX Data Platform باشد که این آسیب پذیری میتواند مهاجم ناشناس از راه دور را قادر سازد تا یک حمله اعمال دستور را علیه دستگاه آسیب پذیر به اجرا درآورد. این شرکت در هشدار خود گفت: "این آسیب پذیری با ارسال یک درخواست ساختگی به اینترفیس مدیریتی مبتنی بر وب توسط مهاجم تحت تاثیر قرار گیرد. یک سوءاستفاده موفق می تواند به مهاجم اجازه دهد به صورت root یا کاربر tomcat8، دستورات خودسرانه را اجرا نماید".

سیسکو همچنین پنج اشکال موثر بر SD-WAN vManage Software (CVE-2021-1275، CVE-2021-1468، CVE-2021-1505، CVE-2021-1506 و CVE-2021-1508) را مشخص کرد که مهاجم ناشناس از راه دور میتواند کد دلخواه خود را اجرا کند یا به اطلاعات حساس دسترسی پیدا کند، یا اینکه برای یک مهاجم محلی شناخته شده این اجازه را فراهم آورد که به امتیازات بسیار بیشتر یا دسترسی غیرمجاز به برنامه، دست پیدا کند.

نیکیتا آبراموف و میخائیل کلیوچنیکوف از شرکت پازیتیو تکنولوجیز در حالی با گزارش HyperFlex HX شناخته شده اند، که چهار مورد از اشکالات SD-WAN vManage را در هنگام آزمایش امنیت داخلی شناسایی کرده اند، از طرفی CVE-2021-1275 در هنگام حل و فصل یک مورد پشتیبانی کاربری در مرکز کمک فنی سیسکو (TAC)  مشخص گردیده است.

اگرچه هیچ شواهدی مبنی بر سوءاستفاده مخرب از آسیب پذیری ها در فضای کاربری وجود ندارد، اما توصیه می شود کاربران برای کاهش احتمال خطر ناشی از نقص ها، دستگاه های خود را به جدیدترین نسخه بروزرسانی نمایند.

 

VMware رفع اشکال پرخطرvRealize Business for Cloud را در دستور کار قرار داده است.

سیسکو تنها نیست. VMware در روز چهارشنبه بروزرسانی هایی را برای رفع نقص جدی در vRealize Business for Cloud 7.6 منتشر کرد که به مهاجمین غیرمجاز و ناشناس این امکان را می دهد کد مخرب را از راه دور اجرا بر روی سرورهای آسیب پذیر کنند.

نقص اجرای کد از راه دور (CVE-2021-21984، CVSS Score: 9.8) از یک endpoint غیرمجاز VAMI نشات می گیرد و در نتیجه سناریویی ایجاد می شود که به متعاقب آن مهاجم میتواند با دسترسی به شبکه، کد غیر مجاز را روی دستگاه اجرا کند. کاربران تحت تأثیر این آسیب پذیری می توانند با نصب فایل بروزرسانی امنیتی ISO، این مشکل را برطرف نمایند.

Vmware نیز گزارش ایگور دیمیترنکو از کمپانی پازیتیو تکنولوجیز مبنی بر وجود این آسیب پذیری را تایید نموده و آنرا مثبت دانسته است.

روز یکشنبه وزارت فناوری اطلاعات و ارتباطات گزارش داد که حملات سایبری شب شنبه علیه چند رسانه ای ایران منتشر شده و گفته می شود که این سایت ها از سوی ایالات متحده و بریتانیا مورد حمله قرار گرفته اند.
این گزارش می گوید مسائل امنیتی یکی از عوامل مهم است که به حملات منجر شد. همچنین نام 27 وب سایت دیگر با مسائل مشابه منتشر شده است.

وب سایت های خبری که مورد حمله قرار گرفته اند شامل: روزنامه ی قانون، روزنامه ی آرمان، روزنامه ستاره صبح بودند که در مرکز داده ی تبیان و مرکز داده شرکت پیشتاز میزبانی شده اند . گروه فنی مرکز ماهر اقدام به شناسایی نقاط اشتراک سیستم های هدف نموده و در این فرایند مشخص شد که تمامی این سامانه ها توسط یک شرکت و در بستر سیستم عامل ویندوز با سرویس دهنده ی وب IIS و زبان برنامه نویسی ASP.Netتوسعه داده شده اند

پس از دریافت فایل های ثبت وقایع از حملات انجام شده از سرویس دهنده ها با تحلیل و بررسی تاریخچه ی حملات و آسیب پذیری ها حجم بالایی از فایل ها مورد تحلیل و آنالیز قرار گرفت و آی پی مبدا حملات استخراج شد که شامل 5آی پی از کشورهای انگلستان و آمریکا بوده است. طبق این گزارش، تمام سایت های خبری مورد حمله دارای نام کاربری و کلمه ی عبور پیش فرض و یکسان توسط شرکت پشتیبان بودند که این موارد به معنای رعایت نشده حداقل موارد امنیتی هست.

 

مجرمان اینترنتی به روش آلوده سازی در موتورهای جستجو متوسل می شوند تا متخصصان تجاری را سمت به سایت های به ظاهر قانونی گوگل که Remote Access Trojan (RAT) را نصب می کنند و قادر به انجام حملات گسترده هستند، هدایت کنند.

به نقل از هکر نیوز، این حمله با استفاده از جستجوی فرم های تجاری مانند فاکتورها، الگوها، پرسشنامه ها و رسیدها به عنوان سنگ بنایی برای نفوذ به سیستم ها امکان پذیر می شود. کاربرانی که سعی در دانلود فایل های از پیش طراحی شده ای دارند، بدون اطلاع خودشا به وب سایتی مخرب هدایت می شوند که بدافزارها را میزبانی می کنند.

محققان ای سنتایر در مقاله ای که روز سه شنبه منتشر شد اعلام کردند: "هنگامی که RAT روی رایانه قربانی قرار گرفت و فعال شد، مهاجمین و عوامل تهدید می توانند دستوراتی را ارسال کرده و بدافزارهای دیگری از جمله باج افزار، بدافزار سرقت گواهی، تروجان بانکی را روی سیستم آلوده بارگذاری کنند و یا به سادگی از RAT به عنوان جای پای قربانی در راستای اقدامات مخرب خود استفاده کنند".

 

این شرکت امنیت سایبری گفت که بیش از 100000 صفحه وب منحصر به فرد و متفاوت را کشف کرده است که حاوی اصطلاحات تجاری معروف یا کلمات کلیدی مانند الگو، فاکتور، رسید، پرسشنامه و رزومه هستند که به صفحات اجازه می دهد در نتایج جستجو در رتبه بالاتری قرار بگیرند و بر این مبنا احتمال موفقیت مهاجمین را افزایش میدهد.

هنگامی که یک قربانی در وب سایتی تحت کنترل مهاجم ورود پیدا کند و فایلی را که در جستجوی آن بوده است دانلود نماید، به نقطه ای آغازی برای حملات و تهدیدات پیچیده تر تبدیل شده و در نهایت منجر به نصب RAT مبتنی بر .NET به نام SolarMarker (با نام مستعار Yellow Cockatoo ، Jupyter و پولازرت) میشود.

در یک مورد بررسی شده توسط ای سنتایر که شامل یک کارمند شرکت مدیریت مالی بود، بدافزار قابل اجرا به شکل یک فایل پی‌دی‌اف مبدل شده بود که با باز شدنش، RAT را به همراه نسخه قانونی Slim PDF به عنوان طعمه اجرا و راه اندازی می کرد.

 

اسپنس هاچینسون، مدیر اطلاعات حملات شرکت ای سنتایر، گفت: "جنبه نگران کننده دیگر این کمپین این است که گروه SolarMarker بسیاری از صفحات وب مخرب خود را با کلمات کلیدی مرتبط با اسناد مالی پر کرده است".

وی ادامه داد: "یک گروه جرایم اینترنتی، کارمندی را که در بخش مالی یک شرکت کار می کند یا یک کارمند را که برای یک سازمان مالی کار می کند، یک هدف با ارزش بالا قلمداد میکند. متأسفانه، به محض اینکه RAT روی سیستمی نصب شود، پتانسیل بسیار زیادی وجود دارد که فعالیت کلاهبرداری به وقوع بپیوندد".

به گزارش سایت هکرنیوز، پسری ۱۶ ساله و ساکن جنوب ملبورن استرالیا، چندین بار به سیستم‌های کامپیوتری حاوی اطلاعات مشتریان اپل نفوذ کرد و موفق به دانلود حدود ۹۰ گیگابایت فایل امن مربوط به اطلاعات حساب کاربری کاربران اپل شد.

با توجه به اینکه هک، توسط پسری نوجوان انجام شده است؛ طبق قوانین استرالیا به‌دلیل نوجوان بودن متهم، تاکنون نامی از وی در رسانه‌ها مطرح نشده است. در پی بروز این حمله‌ی هکری، اپل به کاربران اطمینان داد با وجودی که اطلاعات توسط این هکر جوان دانلود شده است؛ ولی هیچ‌کدام از داده‌های کاربری کاربران به‌خطر نیفتاده و جای هچ‌گونه نگرانی نیست. بلافاصله پس از آنکه اپل از حمله‌ی هکری مطلع شد، موضوع را به FBI‌ اطلاع داد. FBI نیز موضوع نفوذ به اطلاعات را به پلیس فدرال استرالیا (AFP) منتقل کرد.

پلیس فدرال استرالیا بلافاصله موضوع را پیگیری کرد و متوجه شد که نفوذ از طریق دو عدد لپتاپ، یک عدد گوشی هوشمند و یک عدد هارد اتفاق رخ داده است. شماره سریال لپتاپ‌ها و آدرس IP گوشی تلفن همراه با گزارش اپل مبنی بر بروز نفوذ، مطابقت داشت. پسر نوجوان کلیه‌ی اطلاعات دانلود‌شده از سرورهای اپل را در فولدری به‌نام «hacky hack hack» ذخیره کرده بود. براساس گزارش AFP، این پسر نوجوان ملبورنی در پیام‌رسان واتساپ، در مورد کاری که انجام داده بود، صحبت کرده بود و به خودش به دلیل توانایی انجام چنین کاری افتخار کرده بود.

سخنگوی اپل بدون اشاره به جزئیات پرونده، به یکی از اعضای امنیت اطلاعات اپل در خصوص بروز این حادثه اعلام کرد:

فرد خاطی و هکر نوجوان به دست قانون سپرده می‌شود تا به پرونده‌ی وی رسیدگی کند. کاربران و مشتریان‌مان مطمئن باشند که هیچ‌گونه اطلاعات شخصی و اطلاعات مربوط به حساب کاربری کاربران در این حادثه، به‌خطر نیفتاده است.

از آنجایی که هنوز دادگاهی برای پسر نوجوان تشکیل نشده است؛ پلیس فدرال استرالیا در مورد این واقعه هیچ‌گونه اظهار نظری نکرد. یکی از سخنگویان اداره‌ی دادگستری استرالیا نیز، ضمن امتناع از ارائه‌ی توضیحات بیشتر در مورد این پرونده، تنها به این نکته اشاره کرد که پسر نوجوان در دادگاه ۲۰ام سپتامبر محکوم خواهد شد. از آنجایی که هکر یک نوجوان است؛ نام وی قرار نیست رسانه‌ای شود. به‌همین دلیل هیچ‌ صحبتی در مورد نام و یا هویت پسر نوجوان در رسانه‌ها مطرح نشده است.

محققان امنیتی حداقل سه کمپین عظیم مخرب برای گسترش بدافزارها را کشف کرده اند که از صدها هزار روتر MikroTik سوء استفاده می کنند تا بصورت مخفیانه بدافزارهای ماینر ارزهای دیجیتال (cryptocurrency miners) را بدون اجازه در رایانه های متصل به آنها نصب کنند.
در مجموع، کمپین های بدافزاری بیش از 210،000 روتر از شرکت ارائه دهنده سخت افزار شبکه لتونی (Latvian network hardware provider Mikrotik) در سراسر جهان را به خطر انداخته اند، که هنوز هم در حال افزایش هستند.
هکرها از یک آسیب پذیری شناخته شده در Winbox روتر MikroTik بهره می گیرند که در اردیبهشت ماه سال جاری(1397) کشف شد و طی یک روز از کشف آن پچ شده است که بار دیگر نشان میدهد که پچ نکردن بروزرسانی ها چقدر میتواند دردسرساز باشد.
این نقص امنیتی به طور بالقوه می تواند به مهاجم این اجازه را بدهد که از راه دور به هر روتر میکروتیک آسیب پذیری دسترسی داشته باشد.
اولین کمپین برای اولین بار توسط توسط محققان Trustwave کشف شد که با هدف قرار دادن تجهیزات شبکه در برزیل آغاز شده بود، جایی که یک هکر یا گروهی از هکرها بیش از 183،700 روتر MikroTik را به خطر انداختند.
از آنجا که هنوز هم بسیاری از روترهای میکروتیک موجود در دنیا، پچ های مرود نظر را نصب نکرده اند و هکرها هرروز اطلاعات بیشتری در مورد این باگ کشف میکنند، احتمال میرود که این حملات در مقیاس گسترده تری در جهان گسترش یابند.
تروی مورچ (Troy Mursch)، یکی از محققان امنیتی، دو کمپین مشابه بدافزار را شناسایی کرده است که 25،500 و 16،000 روتر MikroTik را در مولدووا آلوده کرده است، که این بدافزارها عمدتاً به منظور ماینینگ ارزهای دیجیتال بوده و از سرویس CoinHive بهره برده اند. روش کار به این صورت است که مهاجمان کد جاوا اسکریپت Coinhive را به صفحات وبی تزریق میکنند که از مسیر یک روتر آسیب پذیر مشاهده شود تا در نهایت هر کامپیوتر متصل را به صورت ناشناس به یک ماینر ارز دیجیتالی مونرو (Monero) تبدیل کند.
سایمون کنین (Simon Kenin) محقق شرکت Trustwave می گوید: "مهاجم یک صفحه خطای سفارشی با اسکریپت CoinHive را ایجاد کرده است" و "اگر کاربر هنگام مرور صفحات وب، یک صفحه خطا (از هر نوع) را دریافت کند، این صفحه خطای سفارشی برای کاربر ارسال میگردد و شروع به ماینینگ میکند."  آنچه در مورد این کمپین ها قابل توجه است، این است که مهاجمان بجای اینکه با استفاده از روش های پیچیده استفاده کنند، توانسته اند به همین راحتی کلاینت های بسیار زیادی را آلوده کرده و به هدفشان برسند.
سایمون کنین همچنین گفت: "صدها هزار دستگاه از این دستگاه ها (MikroTik) در سرتاسر جهان وجود دارد، در ISP ها و سازمان ها و کسب و کارهای مختلف، هر دستگاه حداقل ده ها و نه صدها کاربر روزانه را خدمت می کند. این یک زنگ اخطار خوب برای کاربران و مدیران فناوری اطلاعات است که در حال حاضر روترهای MikroTik آسیب پذیر را در محیط خود به کار می گیرند تا در اسرع وقت دستگاه های خود را بروزرسانی و پچ کنند".
این اولین بار نیست که روترهای MikroTik برای گسترش نرم افزارهای مخرب هدف قرار گرفته اند. در اسفند ما سال 1396 نیز، یک گروه هک پیشرفته APT از آسیب پذیری های ناشناخته در روترهای MikroTik به منظور مخفی ساختن نرم افزارهای جاسوسی به رایانه های قربانیان بهره برداری کرد.
حرف آخر:با توجه به بالا رفتن قیمت ارز و قیمت پایین تجهیزات میکروتیک ، استفاده از این فایروال روتر بسیار فراگیر شده است، برای جلوگیری از بروز حملات رایج مطرح شده در این چند ماه و درگیر شدن با کمپین های بدافزاری، حتما فایروال روتر میکروتیک خود را بروزرسانی کرده و دسترسی های آن را محدود نمایید و در سناریوهای تخصصی تر حتما از فایروال های حرفه ای استفاده نمایید.