۹۶/۴/۹، ۰۴:۱۳ صبح
به نظر میرسد بعد از واناکرای (Wannacry)، حالا نوع جدیدی از باج افزار پتیا (Petya) شرکتهای بزرگ را هدف خود قرار داده است. ماه گذشته میلادی بود که تعداد زیادی از کاربران کشورهای اروپایی از جمله انگلستان از آلوده شدن سیستم خود به باج افزار واناکرای خبر دادند. سوء استفاده هکرها از سیستم کاربران به واسطه باج افزارها موضوع جدیدی نبود؛ اما در ماه آوریل گروه The Shadow Brokers با انتشار اطلاعاتی، از بهرهگیری واناکرای از یک آسیب پذیری پیچیده موسوم اترنال بلو (EternalBlue) خبر داد و مدعی توسعه آن توسط آژانس امنیت ملی ایالات متحده آمریکا یا به اختصار NSA شد. با تکیه بر این موضوع، میتوان گفت هکرها از یک سلاح سایبری پیشرفته و در سطوح ملی در برابر شهروندان و سیستمهای ساده آنها استفاده کردهاند. این موضوع درست شبیه آن است که بخواهید با تانک آبرامز به دنبال سرقت از بانک یک شهر کوچک باشید.
حالا بعد از یک ماه، با نوع جدیدی از باج افزارها که میتوان آن را در خانواده باج افزار پتیا (Petya) قرار داد، رو به رو هستیم که بر اساس گزارشها، هزاران سیستم مختلف در سراسر جهان از جمله کمپانیهای چند ملیتی بزرگ Maersk ،Rosneft و Merck را آلوده کرده است. پتیا هنوز از اترنال بلو استفاده میکند، اما تا به این لحظه بسیاری از سازمانهایی که هدف قرار گرفته بودند در برابر آن ایمن شدهاند و دیگر نیازی به نگرانی در مورد این روزنه نیست. در عوض، نوع جدید باج افزار پتیا از رخنهها و نقاط آسیب پذیر اساسیتر در اجرای شبکهها یا مهمتر از آن، ارائه وصلههای نرم افزاری مختلف، بهرهبرداری میکند. در واقع شاید آنها به اندازه کدهای مخرب NSA قابل توجه و چشمگیر نباشند، اما به مراتب قدرت بالاتری داشته و میتوانند سازمانها را با تلاش برای بازگشت به حالت عادی، در شرایط سختتری قرار دهند.
دیو کندی (Dave Kennedy) با ارسال توییتی جدید، از آلوده شدن بیش از 5 هزار سیستم در کمتر از 10 دقیقه خبر داده است. همچنین این باج افزار با بازنویسی اولین سکتور هارد دیسک، موجب ناپایداری سیستم و ری استارت شدن آن با نمایش پیام مربوطه میشود.
اگرچه واناکرای سیستمهای ضعیف را هدف قرار میداد، اما این نوع جدید از باج افزار پتیا شبکه شرکتهای بزرگ و ایمن را آلوده کرده است که میتوان آن را الگویی برای پخش شدن این ویروس در نظر گرفت. زمانی که یک کامپیوتر در شبکهای خاص آلوده میشد، پتیا با استفاده از ابزارهای شبکه همچون WMI و PsExec، کامپیوترهای دیگر آن شبکه را نیز آلوده میکرد.
معمولا از هر دو این ابزارها به منظور دسترسی از راه دور با سطوح مدیریتی استفاده میشود، اما یکی از محققان حوزه امنیت، لسلی کارهارت (Lesley Carhart)، میگوید اغلب، هکرها از آنها برای انتشار بدافزار در یک شبکه آلوده استفاده میکنند. به عقیده وی، استفاده از WMI روشی بسیار موثر و مداوم برای هکرها بوده و به ندرت توسط ابزارهای امنیتی مسدود میشود. ابزار Psexec نیز با وجود نظارت بیشتر روی آن، هنوز هم کارآمدی بسیار بالایی دارد.
برخی مواقع، حتی شبکههایی که در برابر اترنال بلو ایمن شده بودند نیز در برابر حملههایی که از طریق شبکه داخلی آنها انجام میشد، آسیب پذیر بودند. به گفته شان سالیوان (Sean Sullivan) از F-Scure، چنین چیزی در ادامه حملههای سایبری مشهور پتیا در گذشته هستند که کمپانیهای بزرگ را برای دریافت پول، هدف قرار داده بود.
این حملهها به عنوان گروهی برای هدف قرار دادن تجارتهای مختلف آغاز شده است و شما باید از رخنهای استفاده کنید که برای آسیب زدن و دریافت باج از شرکتهای تجاری، فوقالعاده باشد.
جنبه آزاردهنده این داستان در جایگاه اول، نحوه آلوده شدن این کامپیوترها به باج افزار پتیا است. به گفته محققان Talos Intelligence، احتمالا این باج افزار از طریق آپدیتی جعلی برای یکی از سیستمهای حسابداری کشور اوکراین با نام MeDoc پخش شده است. اگرچه MeDoc این ادعا را رد کرده، اما گروهی دیگر از متخخصان نیز با اشاره به یک امضای دیجیتال جعلی در دریافت این آپدیت، نسبت به یافتههای Talos ابراز نگرانی کردهاند. در صورت کارآمد بودن این امضا برای هکرها، میتوان گفت راهی تمیز و مناسب برای دسترسی به تقریبا تمام سیستمهای مجهز به این نرم افزار وجود داشته است.
از طرفی، این فرضیه رد پای سنگین پتیا در سازمانهای داخلی کشور اوکراین را نیز توجیه خواهد کرد چرا که 60 درصد سیستمهای آلوده، در این کشور هستند و بانک مرکزی و بزرگترین فرودگاه اوکراین نیز شامل آن میشوند.
این اولین باری نیست که هکرها با آلوده کردن سیستمهایی با آپدیت خودکار اقدام به پخش بدافزارها میکنند؛ هرچند، این حملهها معمولا به کشورهای ایالتی محدود بودهاند. در سال 2012 و در اقدامی که بسیاری آن را به دولت آمریکا نسبت میدهند، هکرها با آلوده کردن پروسه آپدیت سیستم عامل ویندوز، بدافزار شعله (Flame) را وارد ایران کردند. سال 2013 نیز حملهای سایبری روی بانکها و ایستگاههای تلویزیونی کره جنوبی، سبب پخش شدن بدافزارها در سیستمهای داخلی این کشور شود.
محقق امنیتی مرکز NYU، جاستین کاپوس (Justin Cappos)، کسی که روی ایمن کردن روشهای ارائه وصلههای نرم افزاری به عنوان بخشی از The Update Framework فعالیت دارد، معتقد است این کاستیهای زیربنایی به شکل قابل توجهی مشترک هستند. معمولا سازمانهای مختلف موفق به تایید آپدیتها نشده و یا کارهای لازم برای ایمن کردن موارد زیربنایی را انجام نمیدهند. در همین زمان، آپدیتهای نرم افزاری یکی از قدرتمندترین راهها برای آلوده کردن سیستمها خواهند بود. کاپوس در رابطه با این بدافزار که معمولا با دسترسی مدیریتی اجرا میشود، میگوید:
این قطعه نرم افزاری در کامپیوتر هر کسی وجود داشته، اتصالاتی را ایجاد میکند که تمایل به رمزگذاری دارند و از تمام دیوارهای آتش شما عبور میکند.