درباره بدافزاری که شرکتهای مخابراتی خاورمیانه را هدف قرار میدهد
Back Door یا در پشتی، از راههای مختلف به هکرها امکان میدهد که به سیستم کاربران نفوذ کنند؛ در همین رابطه مرکز ماهر به تازگی اعلام کرده است سرویسدهندگان ارتباطات تلفنی در منطقه خاورمیانه هدف یک مجموعه حمله جدید بهنام ShroudedSnooper هستند که از یک در پشتی پنهان به نام HTTPSnoop استفاده میکند.
به گزارش گیلونا، Back Door یا در پشتی یک نوع نرم افزار مخرب یا یک ضعف امنیتی است که دسترسی هکرها را به سیستم کاربران میسر میکند. در این روش هکرها با دور زدن مکانیزمهای امنیتی به صورت غیرمجاز به سیستم کاربران دسترسی پیدا میکنند به نحوی که کاربران حتی متوجه نفوذ هکرها نمیشوند چون که آنها در پسزمینه سیستم کاربران فعالیت میکنند و شناسایی آنها برای کاربران عادی کار سختی است.
درحقیقت Back Door یا درپشتی، از راههای مختلف به هکرها این امکان را میدهد که به سیستم کاربران نفوذ کنند و اطلاعات آنها را دستکاری کنند. معمولاً هکرها برای کنترل سیستم کاربران از بدافزارها استفاده میکنند؛ آنها از راه دور میتوانند اطلاعات شخصی کاربران را به سرقت ببرند یا دستکاری کنند؛ در همین رابطه به تازگی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) از یک بدافزار در پشتی جدید که شرکتهای مخابراتی خاورمیانه را هدف قرار میدهد خبر داده است.
درباره جزئیات این بدافزار میتوان گفت سرویسدهندگان ارتباطات تلفنی در منطقه خاورمیانه هدف یک مجموعه حمله جدید بهنام ShroudedSnooper هستند که از یک در پشتی پنهان به نام HTTPSnoop استفاده میکند. Cisco Talos در یک گزارش اعلام کرده است HTTPSnoop یک بکدور ساده ولی موثر است که از تکنیکهای نوآورانه برای تعامل با درایورها و دستگاههای هسته است که از HTTP استفاده میکند تا درخواستهای ورودی برای URLهای خاص HTTP(S) را گوش کند و محتوای مرتبط را در دستگاه آلوده اجرا کند.
بخشی از ابزارکار تهاجمی این گروه نیز با نام PipeSnoop نامگذاری شده است که میتواند شلکد خودساختهای از طریق یک لوله نامگذاری شده دریافت کرده و آن را در دستگاه آلوده اجرا کند. ShroudedSnooper از سرورهای قابل دسترسی اینترنتی استفاده میکند و HTTPSnoop را برای بهدست آوردن دسترسی اولیه به محیطهای هدف مستقر میکند.
هر دو نوع ابزار مخرب بهعنوان اجزایی از برنامه Cortex XDR شبکههای Palo Alto Networks (CyveraConsole.exe) جلوه میکنند تا از تشخیص متخصصان امنیتی فرار کنند. گفته شده تا کنون سه نسخه مختلف از HTTPSnoop شناسایی شده است. این در پشتی از API های ویندوز سطح پایینی برای گوش دادن به درخواستهای ورودی با الگوهای URL تعریف شده استفاده میکند. این الگوها سپس برای استخراج شلکد جهت اجرا در میزبان استفاده میشوند.
این URLهای HTTP به شبیهسازی URLهای مربوط به خدمات تبادل اطلاعات وب مایکروسافت، OfficeTrack و خدمات تخصیص مرتبط با یک شرکت ارتباطات شبیهسازی شدهاند تا درخواستهای مخرب به نظر درخواستهای بیخطری بیایند. تحقیقات میگویند URL های HTTP مورد استفاده توسط HTTPSnoop به همراه اتصال به وب سرور معمولی ویندوز نشان میدهد که احتمالاً برای کار روی سرورهای اینترنتی و وب و همچنین سرورهای خدمات تبادل اطلاعات (EWS) طراحی شده است اما PipeSnoop با توجه به نامش احتمالاً برای عمل در داخل یک شرکت مورد تخریب استفاده میشود و بهنظر میرسد برای دستگاههای مخرب با اولویتها یا ارزشهای بالاتر طراحی شده باشد.
PipeSnoop نمیتواند بهعنوان یک ابزار مخرب مستقل کار کند و به یک جزء کمکی نیاز دارد که بهعنوان یک سرور عمل کرده و شلکد را از طریق روشهای دیگر دریافت کند و از طریق لوله نامگذاری شده آن را به درب پشتی منتقل کند. حمله به بخش مخابرات، بهویژه در منطقه خاورمیانه، در سالهای اخیر به یک الگو تبدیل شده است.
در ژانویه ۲۰۲۱، ClearSky یک سری حملاتی را کشف کرد که توسط Lebanese Cedar اجرا شده بود و به اپراتورهای مخابراتی در ایالات متحده، انگلستان و منطقه خاورمیانه هدف میگرفت.
تحقیقگران Talos میگویند سازمانهای مخابراتی دید کاملی از ترافیک اینترنتی را دارند، هم در بخش خدمات خردهفروشی و هم در بخشهای مرتبط با شرکتها. علاوه بر این، بیشتر زیرساختهای مخابراتی از شبکههای مهمی تشکیل شدهاند که برای برقراری اتصالات داخلی و خارجی اساسی هستند و به همین دلیل ارزش بسیاری برای گروههای حمایتی دولتی دارند.
راههای مقابله با درپشتی چیست؟
کارشناسان در این زمینه توصیه میکنند کاربران حتما نرم افزارهای آنتیویروس و ضد بدافزار را روی سیستم خود نصب داشته باشید. آنتی ویروس مناسب برای امنیت دستگاه خیلی مهم و ضروری است ولی کافی نیست و در کنار آن یک Anti Malware امن را هم برای شناسایی اپلیکیشنهای مخرب روی سیستم تان نصب کنید.
همچنین کاربران از نرمافزارهای متن باز یا Open Source که معمولاً رایگان هم هستند استفاده کنند، چون که کد این برنامهها در دسترس عموم هست و عدهای متخصص آنها را بررسی میکنند که آیا Back Door یا درپشتی یا کد مرجع آنها وجود دارد یا خیر؛ پس Back Door یا درپشتی به سراغ اپلیکیشنهایی میرود که خیلی راحتر و مناسبتر برای هک هستند.
انتهای پیام