بازگشت بدافزارهای کلاه برداری

به گزارش کارگروه امنیت سایبربان، به نقل از «armnet»؛ سوزاندن نرم افزارهای مخرب مانند مبارزه میان هرکول و هیدرای 9 سر است. هر سری که قطع می شود ، 2 سر بیشتر در جایش رشد می کند.

شرکت نرم افزاری سیلنس (Cylance) به تازگی گزارشی را منتشر کرده و پیشنهاد می کند که مدافعان شبکه سازمانی و عموم مردم به آن توجه داشته باشند.

بر اساس تحقیق سیتیزن لب (Citizen Lab) در اوایل سال میلادی جاری، مجرمان سایبری بدافزارهایی را به رژیم های سرکوبگر در آسیای میانه می فروشند. این رژیم ها از نرم افزارهای مخرب برای حمله به شهروندان خود استفاده می کنند.

کشورهایی مانند ترکیه و مصر، ارائه دهنده خدمات اینترنت (ISP) محلی را به بازرسی عمیق «Sandvine/Procera» ساخته و پرداخته شده در کانادا وادار می کنند تا بدافزارهای رمزنگاری نشده را از طریق «HTTP» در نرم افزارهای محبوب مانند: «Avast» ،«VLC Player» و «WinRAR» تزریق کنند.

تاکنون تعداد زیادی از کاربران در مصر، ترکیه و سوریه تحت تاثیر قرار گرفته اند.

سیلنس، در 6 ماه گذشته، روی چگونگی تاثیر گزارش سیتیزن لب در تغییر بدافزار یادشده، تحقیق کرده است. این بدافزار، «Promethium » یا «StrongPity» نام دارد.

کوین لیولی (Kevin Livelli)، مدیر اطلاعات تهدید در سیلنس به «CSO» توضیح داد:

اگرچه شاخص های خطر (IOC) به ظاهر از نمایشگر رادار ناپدید می شوند ؛ اما به این معنی نیست که از بین رفته اند.

آنها یک کد کوچک را تغییر می دهند تا بتوانند، بدون شناسایی شدن، فعالیت مجدد خود را زیر نظر رادار آغاز کنند و همچنان محصولاتشان را به رژیم های سرکوبگر بفروشند.

واگذار کردن اختیار؟

رژیم هایی که منابعی برای توسعه ی بدافزارهایشان ندارند، به بازارهای خاکستری رو می آورند. در این بازارها‌، گروه های مزدوران سایبری فراوانی، نرم افزار و سخت افزارهای مورد نیاز برای شناسایی‌، هک، تعقیب، آزار و اذیت، ناپدید کردن، شکنجه و قتل مخالفان، روزنامه نگاران، مخالفان سیاسی و هر شخص دیگری را که با رژیم حاضر موافق نباشد، ارائه می دهند.

گزارش جنجال برانگیز روزنامه ی هاآرتز (Haaretz) اسرائیل، زیربنای تاریک تجارت مجرمان سایبری در این کشور را افشا کرده است. رژیم صهیونیستی، تنها منطقه ای نیست که به مزدوران سایبری اجازه ی فعالیت می دهد. کشورهایی همچون: کانادا ، آلمان و ایتالیا نیز چنین فعالیت هایی را تحمل می کنند.

سیلنس با توجه به سیاست های شرکت، نپذیرفت که این گونه نرم افزار مخرب را به گروه خاصی از مجرمان نسبت دهد؛ اما گزارشش به این نکته اشاره دارد که ممکن است هکرها، گروهی ایتالیایی باشند که یک هکر غیرنظامی به اسم فینیاس فیشر (Phineas Phisher) به آن ها حمله ور شده باشد. او 400 گیگابایت از کد منبع، اسناد داخلی و ایمیل ها را فاش ساخت.

سیلنس توضیح داد:

ما باور داریم که این گروه بدافزاری، دارای ارتباط قوی با یک شرکت مستقر در ایتالیا است. رهبری که امیدواریم در آینده ی نزدیک درباره ی آن تحقیق کنیم.

چه اتفاقی می افتد وقتی یک گروه بدافزار را بسوزانید؟

مدت کوتاهی پس از گزارش سیتیزن لب، بدافزار گروه مزدور سایبری در بالاترین سرعت خود برگشته بود.

در گزارش ذکر شده است :

ماه بعد از گزارش سیتیزن لب ، سیلنس فعالیت «Promethium/StrongPity» نوین را پیدا و شناسایی کرد که زیرساخت های جدیدی را مورد استفاده قرار می دهد. ظاهرا دامنه های مشاهده شده 2 هفته پس از گزارش سیتیزن لب ثبت شده است. به محض انتشار اطلاعات تازه، این بدافزار خود را با آن منطبق کرده، به فعالیتش ادامه می دهد.

گزارش می گوید که بازسازی ضروری برای ادامه ی کار، کافی نبوده است. همچنین ذکر شده است :

تنها کمی تلاش و تغییرات کد برای خارج بودن از مرکز توجه لازم بود. سیلنس دامنه های جدید، آدرس های «IP» نو، تغییرات نام فایل ها و تغییراتی در مبهم سازی کدهای کوچک مشاهده شده است.

گروه های مزدور سایبری، اکنون منابع یک دولت-ملت کوچک تا متوسط را دارند و باید به عنوان یک تهدید پیشرفته ی  مستمر (APT) در نظر گرفته شوند. سلاح های آنان علیه غیرنظامیان، با نادیده گرفتن کامل حکم قانون، مورد بهره برداری قرار می گیرند.

لیولی ادامه داد:

بنابراین زمانی که محققان گزارش های خود را منتشر می کنند، فعالیت های مجرمان به ظاهر ناپدید می شوند. پس مردم از آن می گذرند. تحقیقات ما نشان می دهد که مهم است که مدافعان و پژوهشگران شبکه به صورت مداوم به عقب نگاه کنند و ببینند که پس از انتشار تحقیق چه اتفاقی افتاده است.

مزدوران سایبری: تهدیدی برای جامعه

مزدوران سایبری، مایل به همکاری برای جنایت علیه بشریت هستند. زمانی که کشورهای غربی که ادعای ترویج حقوق بشر دارند نه تنها اجازه ی فعالیت به چنین مزدورانی می دهند، بلکه آن ها را با تایید مجوز صادرات چنین فناوری هایی ـ ابزارهای هکی که برای شناسایی و شکنجه ی مردمی که آزادی عقیده دارند ، به کار می روند ـ در ارتکاب این جنایات، یاری می دهند.

تلاش ها برای متوقف ساختن این رویه تاکنون شکست خورده است. در اصلاحات پیشنهادی سال 2015، برای توافقنامه ی «Wassenaar»، صادرات تعداد زیادی از نرم افزارهای امنیتی بی ضرر نیز ممنوع می گشت که از آن صرف نظر شد. این قرارداد، یک توافقنامه ی بین المللی است که طبق آن، صادرات فن آوری هایی با قابلیت استفاده ی دوجانبه همچون مواد شکافت پذیر و سانتریفیوژ ها به کشورهای خاصی، ممنوع گردید.

ماهیت قابل قبول تکذیب پذیر بودن هک کردن حکومت، به این معنا است که حتی در یک جامعه ی آزاد، غیرممکن است که چنین منفعت هایی اداره شوند. قدرت کنترل نشده همیشه مورد سوءاستفاده قرار می گیرد.

گال (Gal)، مجرم سابق سایبری که اکنون یک افشاگر است، به هارتز گفت:

هیچ راهی وجود ندارد که این گونه فن آوری ها در مسیر اشتباه استفاده نشوند. سؤال این است که در چه راهی ؟

وی در ادامه اظهار داشت:

من نمی خواهم بخشی از این اتفاق دردناک باشم.