شناسایی عامل مخرب جاسوسی در كارزار TunnelSnake
به گزارش لینک بگیر دات کام گروهی از مهاجمان سایبری از سال ۲۰۱۹ در کارزاری بنام TunnelSnake با به کارگیری حداقل یک روت کیت اختصاصی، به آلوده سازی سامانه های با سیستم عامل Windows اقدام نموده اند و جاسوسی و سرقت اطلاعات از آنها را همچنان ادامه می دهند.
به گزارش لینک بگیر دات کام به نقل از ایسنا، روت کیت ها (Rootkit) ابزارهای مخربی هستند که با اجرا شدن در سطح سیستم عامل، ضمن در اختیار گرفتن کنترل دستگاه، خویش را از دید محصولات امنیتی مخفی نگاه می دارند. این روت کیت که کسپرسکی آنرا Moriya نام گذاری کرده یک درب پشتی (Backdoor) منفعل است که مهاجمان را به جاسوسی از ترافیک شبکه ای قربانی و ارسال فرمان های موردنظرآنان قادر می کند.
به صورت خلاصه Moriya به گردانندگان TunnelSnake اجازه می دهد تا ترافیک ورودی را در سطح هسته (Kernel Space) رصد و تحلیل کنند. سطح هسته یا همان Kernel Space جایی است که هسته سیستم عامل در آن قرار دارد و به صورت معمول تنها کدهای مورد تأیید و دارای سطح دسترسی ویژه، اجازه اجرا شدن را در آن دارند.
روت کیت Moriya فرمان های مهاجمان را از راه بسته های دست کاری شده خاصی دریافت می کند که در نتیجه آن نیازی به برقراری ارتباط با یک سرور فرماندهی وجود ندارد.
این ترفندها محدود به Moriya نیست و روند رو به افزایش تعداد مهاجمان نشان داده است که آنان تلاش می کنند در مجموعه ابزارهای خود (با متفاوت و پیچیده ساختن تکنیک ها) برای مدت ها بدون جلب توجه در شبکه قربانی ماندگار بمانند.
در کارزار TunnelSnake، برای ازکار انداختن و متوقف کردن اجرای فرایند های ضدویروس، از بدافزاری با عنوان ProcessKiller بهره گرفته و همینطور برای توسعه دامنه آلودگی و شناسایی دستگاههای صدمه پذیر، از ۴ ابزار دیگر کمک گرفته شده است. تعداد سازمان هایی که کسپرسکی، Moriya را در شبکه آنها شناسایی کرده است کمتر از ۱۰ مورد هستند و همه آنها سازمان های مطرحی چون نهادهای دیپلماتیک در آسیا و آفریقا بوده اند.
نشانه های آلودگی، لینک مشروح گزارش کسپرسکی و همینطور منابع آشنایی با کارزار TunnelSnake در پایگاه اینترنتی مرکز مدیریت راهبردی افتا قابل دریافت و مطالعه است.
5.0 / 5
1340
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد مطلب شناسایی عامل مخرب جاسوسی در كارزار TunnelSnake