IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

Monero

کلمات رایج امنیت شبکه و فناوری اطلاعات IPImen

عوامل سرقت Bitbucket و Docker Hub برای استخراج Monero شناسایی شدند

 

به گفته محققان حوزه امنیت، این منابع توسعه دهنده، سال گذشته نیز برای استخراج مونرو هدف قرار گرفته بودند اما "این بار به شکلی انتقام گونه دوباره ظاهر شده اند".

در سپتامبر 2020، تیم ناتیلوس شرکت آکوآ سکیوریتی کمپینی را کشف کرد که گیت هاب (GitHub) و داکر هاب (Docker Hub) را در راستای ایجاد فرایند استخراج رمزارز هدف قرار داده بودند. در آن زمان این شرکت، سازمان خدمات دهنده را مطلع کرده و حمله خنثی گردید.

طبق آخرین گزارش آکوآ سکیوریتی، همین کمپین دوباره و با شدت بیشتری ظاهر شده است. تنها در طی چهار روز، مهاجمان حدود 92 عامل مخرب و آلوده را در بیت باکت (Bitbucket) و 92 رجیستری آلوده را در داکر هاب با استفاده از تست نفوذ دینامیک آکوآ یا DTA قرار داده و بارگذاری کرده اند. هدف آنها از این کار، انجام استخراج رمزارز با استفاده از این منابع است.

فرآیند یکپارچه سازی منحصر بفرد

طبق گفته آساف موراگ، تحلیلگر ارشد داده شرکت آکوآ سکیوریتی، عاملین حمله یک روند یکپارچه مداوم و پیوسته را ایجاد کرده اند. این یک فرایند منحصر به فرد است، چرا که هر ساعت چندین فرایند ساخت فرایند اتوماتیک و خودکار را از نو آغاز میکند. در هر فرایند ساخت، آنها یک استخراج کننده رمزارز مونروی متفاوت را به اجرا در می آورند.

زنجیره حذف مستقیم

در این کمپین استخراج رمزارز، مهاجمان از یک زنجیره حذف مستقیم استفاده کرده اند. در مرحله اول مهاجمان چندین شناسه و اکانت ایمیل جعلی را از طریق یک سایت روسی ثبت میکنند و سپس برای قانونی جلوه دادن آنها، یک حساب بیت باکت با فضای نگهداری متعدد با استفاده از اسناد مستند و رسمی، ایجاد میکنند.

روش مشابهی نیز برای داکر هاب استفاده شده است، زیرا عوامل تهدیدکننده در حال ایجاد حساب هایی با ثبت نام های مختلف پیوسته و مرتبط به یکدیگر هستند. آنها پشتیبانی در محیط بیت باکت و داکر هاب ایجاد کرده و منابع آنها را برای استخراج غیرقانونی مونرو به سرقت میبرند.

takian.ir threat actors hijacking bitbucket and docker hub for monero mining

چگونه ایمن بمانیم؟

این کمپین ثابت میکند که محیط های ابری، هدف مورد علاقه فعلی مجرمان سایبری است.

موراگ در وبلاگ خود شرح میدهد که: "مهاجمین دائما در حال تکامل تکنیک های خود جهت سرقت و بهره برداری از منابع محاسبات ابری برای استخراج رمزارزها هستند".

آکوآ سکیوریتی توصیه میکند که کنترل دقیق دسترسی، تخصیص حداقل امتیازات و ایجاد فرایند شناسایی و احراز هویت در این محیط ها ضروری است.

محققان خاطر نشان کردند: " نظارت مداوم و محدود کردن ارتباطات با خارج از شبکه برای جلوگیری از سرقت داده ها و سوءاستفاده از منابع بسیار ضروری و مهم است".

هکرها بیش از دویست هزار روتر میکروتیک را آلوده به بدافزارهای ماینینگ کردند

محققان امنیتی حداقل سه کمپین عظیم مخرب برای گسترش بدافزارها را کشف کرده اند که از صدها هزار روتر MikroTik سوء استفاده می کنند تا بصورت مخفیانه بدافزارهای ماینر ارزهای دیجیتال (cryptocurrency miners) را بدون اجازه در رایانه های متصل به آنها نصب کنند.Takian.ir Mining Monero in Mikrotik
در مجموع، کمپین های بدافزاری بیش از 210،000 روتر از شرکت ارائه دهنده سخت افزار شبکه لتونی (Latvian network hardware provider Mikrotik) در سراسر جهان را به خطر انداخته اند، که هنوز هم در حال افزایش هستند.
هکرها از یک آسیب پذیری شناخته شده در Winbox روتر MikroTik بهره می گیرند که در اردیبهشت ماه سال جاری(1397) کشف شد و طی یک روز از کشف آن پچ شده است که بار دیگر نشان میدهد که پچ نکردن بروزرسانی ها چقدر میتواند دردسرساز باشد.
این نقص امنیتی به طور بالقوه می تواند به مهاجم این اجازه را بدهد که از راه دور به هر روتر میکروتیک آسیب پذیری دسترسی داشته باشد.
اولین کمپین برای اولین بار توسط توسط محققان Trustwave کشف شد که با هدف قرار دادن تجهیزات شبکه در برزیل آغاز شده بود، جایی که یک هکر یا گروهی از هکرها بیش از 183،700 روتر MikroTik را به خطر انداختند.
از آنجا که هنوز هم بسیاری از روترهای میکروتیک موجود در دنیا، پچ های مرود نظر را نصب نکرده اند و هکرها هرروز اطلاعات بیشتری در مورد این باگ کشف میکنند، احتمال میرود که این حملات در مقیاس گسترده تری در جهان گسترش یابند.
تروی مورچ (Troy Mursch)، یکی از محققان امنیتی، دو کمپین مشابه بدافزار را شناسایی کرده است که 25،500 و 16،000 روتر MikroTik را در مولدووا آلوده کرده است، که این بدافزارها عمدتاً به منظور ماینینگ ارزهای دیجیتال بوده و از سرویس CoinHive بهره برده اند. روش کار به این صورت است که مهاجمان کد جاوا اسکریپت Coinhive را به صفحات وبی تزریق میکنند که از مسیر یک روتر آسیب پذیر مشاهده شود تا در نهایت هر کامپیوتر متصل را به صورت ناشناس به یک ماینر ارز دیجیتالی مونرو (Monero) تبدیل کند.
سایمون کنین (Simon Kenin) محقق شرکت Trustwave می گوید: "مهاجم یک صفحه خطای سفارشی با اسکریپت CoinHive را ایجاد کرده است" و "اگر کاربر هنگام مرور صفحات وب، یک صفحه خطا (از هر نوع) را دریافت کند، این صفحه خطای سفارشی برای کاربر ارسال میگردد و شروع به ماینینگ میکند."  آنچه در مورد این کمپین ها قابل توجه است، این است که مهاجمان بجای اینکه با استفاده از روش های پیچیده استفاده کنند، توانسته اند به همین راحتی کلاینت های بسیار زیادی را آلوده کرده و به هدفشان برسند.
سایمون کنین همچنین گفت: "صدها هزار دستگاه از این دستگاه ها (MikroTik) در سرتاسر جهان وجود دارد، در ISP ها و سازمان ها و کسب و کارهای مختلف، هر دستگاه حداقل ده ها و نه صدها کاربر روزانه را خدمت می کند. این یک زنگ اخطار خوب برای کاربران و مدیران فناوری اطلاعات است که در حال حاضر روترهای MikroTik آسیب پذیر را در محیط خود به کار می گیرند تا در اسرع وقت دستگاه های خود را بروزرسانی و پچ کنند".
این اولین بار نیست که روترهای MikroTik برای گسترش نرم افزارهای مخرب هدف قرار گرفته اند. در اسفند ما سال 1396 نیز، یک گروه هک پیشرفته APT از آسیب پذیری های ناشناخته در روترهای MikroTik به منظور مخفی ساختن نرم افزارهای جاسوسی به رایانه های قربانیان بهره برداری کرد.
حرف آخر:با توجه به بالا رفتن قیمت ارز و قیمت پایین تجهیزات میکروتیک ، استفاده از این فایروال روتر بسیار فراگیر شده است، برای جلوگیری از بروز حملات رایج مطرح شده در این چند ماه و درگیر شدن با کمپین های بدافزاری، حتما فایروال روتر میکروتیک خود را بروزرسانی کرده و دسترسی های آن را محدود نمایید و در سناریوهای تخصصی تر حتما از فایروال های حرفه ای استفاده نمایید.