حملات سایبری بدافزار Icefog به سه شرکت نفتی و گازی آمریکا
موسسه خبری سایبربان: چند ماه گذشته پس از کشف بدافزار Icefog و معرفی آن، عنوان شد این بدافزار توسط اکثر نرم افزارهای آنتی ویروس شناسایی میشود، اما به تازگی نسخهای از این بدافزار کشف شده که رفتاری شبیه به تهدیدات پیش رفته دائمی را داراست.
محققان امنیتی شرکت کسپرسکی، در مرداد ماه سال جاری این بدافزار را کشف و گزارش دادند که پیمانکاران نظامی، شرکتهای ساخت کشتی، مراکز کنترل ماهوارهها و سایر مراکز با فناوریهای پیشرفته را در کشورهای کره جنوبی و ژاپن مورد هدف قرار داده است.
به نظر میرسد این بدافزار توسط گروه کوچکی از هکرها ایجاد شده باشد و از آسیبپذیریهای شناختهشده سیستمعاملهای ویندوز و مک استفاده کرده اند. آنها بدافزار را به گونه ای توسعه دادهاند که در ابتدا هدف را پیدا و پس از آلوده سازی و کسب اطلاعات مورد نیاز، آن را رها میکند. احتمال میرود این گروه از نفوذگران به دنبال سرقت اطلاعات محرمانه خاصی بودند.
در اواسط شهریور ماه، شرکت کسپرسکی گزارش داد که در بررسی و همچنین پیگری قربانیان این بدافزار، به جزییات بیشتری دست پیدا کرده و اعلام داشت که نسخه جدید این بدافزار مبتنی بر جاواست و سه شرکت نفت و گاز آمریکایی توسط آن مورد حملات سایبری قرار گرفته اند.
علاوه بر کسپرسکی دو شرکت امنیتی دیگر اذعان داشتند که به احتمال زیاد این حملات با سوء استفاده از یک آسیبپذیری در محصولات آفیس آغاز شده است. به محض شروع آلودگی در رایانهها، بدافزار Javafog در رایانهها نصب و یک سرور کنترل و فرمان دهی جدید، ارتباطات و فعالیتهای بدافزار را کنترل میکند.
این بدافزار به نحوی توسعه پیدا کرده که در درازمدت به جمعآوری اطلاعات بپردازد. از مهمترین دستآوردهای آزمایشگاه کسپرسکی، کشف دامنهای در آدرس lingdona[.]com بود که در کشور هنگکنگ میزبانی میشده و در هر ۱۰ ثانیه یک فرمان از یک نرمافزار مبتنی بر جاوا دریافت میکرد.
به محض نصب شدن در رایانههای قربانی، رجیستری ویندوز به نحوی تغییر داده میشود که رایانههای آلوده به محض بالا آمدن به lingdona[.]com متصل میشوند و شروع به ارسال اطلاعات میکنند. اگر مهاجم تشخیص دهد که رایانهی متصل یک هدف ارزشمند است، شروع به ارسال فرمان میکند و نتایج آنها را به صورت پرونده یا خروجی بارگذاری میکند.
به هر حال اگرچه این بدافزار بسیار ساده میباشد، اما بسیار تاثیرگذار بوده و البته نشان میدهد سوءاستفاده از آسیبپذیریهای جاوا همچنان قربانی میگیرد./
محققان امنیتی شرکت کسپرسکی، در مرداد ماه سال جاری این بدافزار را کشف و گزارش دادند که پیمانکاران نظامی، شرکتهای ساخت کشتی، مراکز کنترل ماهوارهها و سایر مراکز با فناوریهای پیشرفته را در کشورهای کره جنوبی و ژاپن مورد هدف قرار داده است.
به نظر میرسد این بدافزار توسط گروه کوچکی از هکرها ایجاد شده باشد و از آسیبپذیریهای شناختهشده سیستمعاملهای ویندوز و مک استفاده کرده اند. آنها بدافزار را به گونه ای توسعه دادهاند که در ابتدا هدف را پیدا و پس از آلوده سازی و کسب اطلاعات مورد نیاز، آن را رها میکند. احتمال میرود این گروه از نفوذگران به دنبال سرقت اطلاعات محرمانه خاصی بودند.
در اواسط شهریور ماه، شرکت کسپرسکی گزارش داد که در بررسی و همچنین پیگری قربانیان این بدافزار، به جزییات بیشتری دست پیدا کرده و اعلام داشت که نسخه جدید این بدافزار مبتنی بر جاواست و سه شرکت نفت و گاز آمریکایی توسط آن مورد حملات سایبری قرار گرفته اند.
علاوه بر کسپرسکی دو شرکت امنیتی دیگر اذعان داشتند که به احتمال زیاد این حملات با سوء استفاده از یک آسیبپذیری در محصولات آفیس آغاز شده است. به محض شروع آلودگی در رایانهها، بدافزار Javafog در رایانهها نصب و یک سرور کنترل و فرمان دهی جدید، ارتباطات و فعالیتهای بدافزار را کنترل میکند.
این بدافزار به نحوی توسعه پیدا کرده که در درازمدت به جمعآوری اطلاعات بپردازد. از مهمترین دستآوردهای آزمایشگاه کسپرسکی، کشف دامنهای در آدرس lingdona[.]com بود که در کشور هنگکنگ میزبانی میشده و در هر ۱۰ ثانیه یک فرمان از یک نرمافزار مبتنی بر جاوا دریافت میکرد.
به محض نصب شدن در رایانههای قربانی، رجیستری ویندوز به نحوی تغییر داده میشود که رایانههای آلوده به محض بالا آمدن به lingdona[.]com متصل میشوند و شروع به ارسال اطلاعات میکنند. اگر مهاجم تشخیص دهد که رایانهی متصل یک هدف ارزشمند است، شروع به ارسال فرمان میکند و نتایج آنها را به صورت پرونده یا خروجی بارگذاری میکند.
به هر حال اگرچه این بدافزار بسیار ساده میباشد، اما بسیار تاثیرگذار بوده و البته نشان میدهد سوءاستفاده از آسیبپذیریهای جاوا همچنان قربانی میگیرد./
