گروهی از مهاجمان سایبری از سال ۲۰۱۹ تا کنون در کارزار TunnelSnake اقدام به جاسوسی و سرقت اطلاعات سامانههای دارای سیستم عامل ویندوز کردهاند.
*** شناسایی عامل مخرب جاسوسی در کارزار TunnelSnake
به گزارش پژواک، گروهی از مهاجمان سایبری از سال ۲۰۱۹ در کارزاری بنام TunnelSnake با بهکارگیری حداقل یک روتکیت اختصاصی، به آلودهسازی سامانههای با سیستمعامل Windows اقدام کردهاند و جاسوسی و سرقت اطلاعات از آنها را همچنان ادامه میدهند.
روتکیتها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستم عامل، ضمن در اختیار گرفتن کنترل دستگاه، خود را از دید محصولات امنیتی مخفی نگاه میدارند.
این روتکیت که کسپرسکی آن را Moriya نامگذاری کرده یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکهای قربانی و ارسال فرمانهای موردنظرآنان قادر میکند.
به طور خلاصه Moriya به گردانندگان TunnelSnake اجازه میدهد تا ترافیک ورودی را در سطح هسته (Kernel Space) رصد و تحلیل کنند.
سطح هسته یا همان Kernel Space جایی است که هسته سیستمعامل در آن قرار دارد و به طور معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.
روتکیت Moriya فرمانهای مهاجمان را از طریق بستههای دستکاری شده خاصی دریافت میکند که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی وجود ندارد.
این ترفندها محدود به Moriya نیست و روند رو به افزایش تعداد مهاجمان نشان میدهد که آنان تلاش میکنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیکها) برای مدتها بدون جلبتوجه در شبکه قربانی ماندگار بمانند.
*** استفاده از بدافزار ProcessKiller
به گزارش پژواک، شایان ذکر است در کارزار TunnelSnake، برای از کار انداختن و متوقف کردن اجرای پروسههای ضد ویروس، از بدافزاری با عنوان ProcessKiller بهره گرفته و همچنین برای گسترش دامنه آلودگی و شناسایی دستگاههای آسیبپذیر، از ۴ ابزار دیگر کمک گرفته شده است.
تعداد سازمانهایی که کسپرسکی، Moriya را در شبکه آنها شناسایی کرده است کمتر از ۱۰ مورد هستند و همه آنها سازمانهای مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بودهاند.
انتهای پیام///
برای نوشتن دیدگاه باید وارد بشوید.