حمله خطرناک بدافزارها به تأسیسات تأمین انرژی

به گزارش واحد هک و نفوذ سایبربان؛ این برنامه جاسوسی که محققان شرکت امنیتی SentinelOne آن را از دار‌ و دسته Furtim لقب داده‌اند، در اصطلاح یک برنامه Dropper است که در حین خراب‌کاری، ابزار و قطعات آلوده به بدافزار دیگری را دانلود و مورداستفاده قرار می‌دهد. محققان بر این باورند که این بدافزار در دو ماه گذشته و توسط مهاجمان تحت حمایت ساخته‌شده است.

هدف از برنامه Dropper، آماده‌سازی زمینه برای نصب و راه‌اندازی اجزای دیگر از نرم‌افزارهای مخرب است که می‌توانند وظایف و عملیات خاصی انجام دهند. اولویت آن‌ها این است که غیرقابل تشخیص باقی بمانند، به سرویس‌ها  قسمت‌های هدف دسترسی پیدا کنند و قسمت‌های امنیتی را از کار بیندازند. جالب اینجاست که خانواده بدافزار‌های Furtim، دقیقاً تمام عملیات مذکور را در دستور کار خود داشته‌اند.

هنگامی‌که این بدافزار برای اولین بار بر روی یک سیستم اجرا شود، نرم‌افزارهای جاسوسی آن، محیط را ازلحاظ وجود ماشین‌های مجازی، سند باکس‌ها، برنامه‌های آنتی‌ویروس، فایروال‌ها، ابزار استفاده‌شده توسط تحلیل گران بدافزار و نرم‌افزارهای بیومتریک مورد آزمایش قرار می‌دهد.

آزمایش‌ها گسترده هستند و شامل چک کردن در برابر لیست‌های سیاه از شناسه‌های CPU، اسامی هاست‌ها، نام فایل‌ها، کتابخانه‌های DLL، دایرکتوری‌ها، اطلاعات هسته پردازنده، اجراکنندگان هسته، فرآیندهای در حال اجرا، اطلاعات فروشنده هارددیسک، کارت‌های شبکه، آدرس‌های MAC و اطلاعات BIOS و نیز اطلاعات مجازی‌سازی‌ها و برنامه‌های امنیتی می‌شود.

در برخی از موارد، اگر چنین نرم‌افزاری شناسایی شود، بدافزار به‌طور خودکار خود را از بین می‌برد. در برخی دیگر از حالات، به فعالیت خود ادامه می‌دهد، اما قابلیت خود را محدود می‌کند و اگر یک آنتی‌ویروس بر سر راهش قرار گیرد، قابلیت‌های خود را به‌طور کامل غیرفعال می‌کند.

عمق و پیچیدگی این آزمایشات نشان‌دهنده این است که سازندگان بدافزار درک خوبی از ویندوز و محصولات امنیتی دارند و همین موضوع باعث شد محققان به این باور برسند که مجموعه Furtim نتیجه کار چندین توسعه‌دهنده با مهارت‌های سطح بالا و دسترسی به منابع قابل‌توجه است.

این بدافزار خودش را به‌عنوان یک فایل معمولی بر روی دیسک نصب نمی‌کند؛ در عوض، خود را به‌عنوان یک جریان داده جایگزین NTFS معرفی می‌کند که در ابتدای فرایند راه‌اندازی سیستم کامپیوتر اجرا می‌شود و با فراخوانی APIهای ویندوز، درصدد دور زدن محصولات امنیتی می‌شود.

محققان SentinelOne گفتند: استفاده از فراخوانی‌های غیرمستقیم و پنهان، تجزیه‌وتحلیل استاتیک دستی را تقریباً غیرممکن می‌کند و سرعت تجزیه‌وتحلیل دستی و پویا را به‌مراتب کاهش می‌دهد.

این بدافزار با سوءاستفاده از دو دسترسی ویندوز که یکی از آن‌ها توسط مایکروسافت در سال ۲۰۱۴ و یکی در سال ۲۰۱۵ ارائه شدند و همچنین یک روش بای‌پس شناخته‌شده کنترل حساب کاربر UAC برای به دست آوردن دسترسی، کار می‌کند. اگر بدافزار این دسترسی را به دست آورد، کاربر فعلی به گروه مدیران اضافه می‌شود تا امکان اجرای عملیات جاسوسی و مشکوک پنهان از بین برود.

پس از نصب، نرم‌افزار جاسوسی در سکوت به غیرفعال سازی لایه‌های حفاظتی چندین آنتی‌ویروس می‌پردازد و تنظیمات DNS سیستم را برای جلوگیری از دسترسی به سرور به‌روزرسانی آنتی‌ویروس خاص از کار می‌اندازد. بدین ترتیب، این فرایند تضمین می‌کند که زمینه برای نصب و اجرای عملیات محموله موردنظر فراهم است.

یک محموله مشاهده‌شده توسط محققان SentinelOne برای جمع‌آوری اطلاعات از سیستم‌های آلوده و ارسال آن به سرور فرمان و کنترل استفاده شد که به‌احتمال‌زیاد یک ابزار شناسایی بود، اما Dropper نیز می‌توانست برای دانلود قطعات طراحی‌شده برای استخراج اطلاعات حساس و یا انجام اقدامات مخرب، مورداستفاده قرار گیرد.

شرکت‌های تولید و توزیع انرژی هدف مناسبی برای حملات سایبری هستند، زیرا سیستم‌های آن‌ها به‌طور بالقوه می‌تواند آسیب‌های فیزیکی به سیستم وارد کند و این دقیقاً همان موردی است که در ماه دسامبر در اوکراین رخ داد؛ زمانی که هکرها با استفاده از نرم‌افزارهای مخرب، به تجهیزات نفوذ کردند و باعث قطع گسترده برق در کشور شدند.