زیرساخت دسکتاپ‌های مجازی، هدف بد‌افزار Shamoon

0
204
بد‌افزار Shamoon - Malware

جدیدترین نوع بدافزار Shamoon دارای اطلاعات اعتباری پیش‌فرض برای وارد شدن به یکی از راهکارهای مجازی‌سازی دسکتاپ شرکت Huawei می‌باشد.

به تازگی شواهدی مبنی بر بازگشت یک برنامه‌ی سایبری مخرب ارائه شده است که در سال ۲۰۱۲ باعث از بین رفتن داده‌های بیش ۳۰,۰۰۰ کامپیوتر در شرکت ملی نفت عربستان سعودی شده بود و قادر است دسکتاپ‌های مجازیِ Host شده بر روی سرورها را تحت تاثیر قرار دهد.

این بد‌افزار (Malware) تحت عنوان Shamoon یا Disttrack نام دارد و به عنوان جزئی از مجموعه برنامه‌های مخرب پاک‌کننده دیسک یا Disk Wiper شناخته می‌شود. در سالیان اخیر شرکت Sony Pictures Entertainment و چندین بانک و سازمان توسط این بدافزار مورد حمله قرار گرفتنه‌اند.

این بدافزار اولین بار پنج سال پیش، در یک حمله سایبری به شرکت سعودی Aramco مشاهده شد و با استفاده از اطلاعات اعتباری ربوده شده در میان کامپیوتر‌های شبکه Local انتشار یافته و با فعال نمودن قابلیتی، باعث پاک شدن تمامی اطلاعات موجود بر روی دیسک در تاریخ مورد نظر خود گردید.

محققان حوزه‌ی امنیت شرکت Symantec سال گذشته از یافتن نسخه‌ی جدیدی از بد‌افزار Shamoon خبر دادند که در موج جدیدی از حملات به برخی سازمان‌ها در عربستان سعودی استفاده شده بود. این نسخه به گونه‌ای طراحی شده بود که کار بازنویسی داده‌ها بر روی هارد دیسک را در یک تاریخ و ساعت مشخص (زمانی که اکثر کارکنان تعطیلات آخر هفته را سپری می‌کردند) آغاز می‌نمود.

همچنین محققان شرکت Palo Alto Networks نیز گونه‌ دیگری از بد‌افزار Shamoon را شناسایی کرده‌اند که با بدافزار کشف شده توسط Symantec تفاوت داشته و احتمال می‌رود برای حمله به یک هدف دیگر در عربستان سعودی به کار رفته شده باشد. به گفته محققان این شرکت، نسخه‌ی سوم Shamoon از اکانت‌های Hard-Coded برای نفوذ به ساختار استفاده می‌نماید و تاریخ معینی برای پاک کردن داده‌ها مشخص می‌نماید.

برخی از این اطلاعات اعتباری برای حساب‌های کاربری موجود در Windows و تعداد کمی از آنها نیز نام‌های کاربری و رمز‌ عبور پیش‌فرض برای راهکار زیر‌ساخت دسکتاپ مجازی (VDI) شرکت Huawei  با نام FusionCloud بودند.

محصولات VDI مانند Huawei FusionCloud این امکان را برای سازمان‌ها فراهم می‌کند تا فرآیند نصب چندین دسکتاپ مجازی را در دیتاسنتر اجرا نماید. پس از آن کاربران قادر خواهند بود با استفاده از راهکار‌هایی مانند Thin Client به این PCهای مجازی دسترسی یابند که این امر تا حد زیادی موجب تسهیل مدیریت Workstation‌ها در بین شعب و دفاتر مختلف می‌گردد.

از مزایای دیگر راهکار‌های VDI می‌توان به تهیه مداوم Snapshot‌ از دسکتاپ های مجازی اشاره نمود که در صورت وقوع مشکل امکان بازیابی دسکتاپ‌های مجازی را به راحتی فراهم می‌نماید.

واضح است که مهاجمان حاضر در کمپین اخیر بد‌افزار Shamoon از این موضوع آگاه بوده‌اند که سازمان هدف آنها از محصول VDI متعلق به شرکت Huawei استفاده کرده و پاک کردن داده‌های PCهای مجازی تنها با استفاده از اکانت‌های سرقت شده‌ی ویندوزی در دامین امکان پذیر نبوده است.

محققان فعال در حوزه شبکه‌ در Palo Alto  عنوان کردند: این واقعیت که مهاجمان Shamoon این نام‌های کاربری و رمزهای عبور را در اختیار داشته‌اند نشان دهنده این موضوع می‌باشد که هدف مهاجمان دسترسی به اینگونه تکنولوژی‌ها در سازمان‌ هدف به منظور افزایش تاثیر حملات تخریبی در آن سازمان بوده است. اگر چنین فرضیه‌ای درست باشد، پیشرفت بزرگی برای مهاجمان به شمار رفته و سازمان‌ها باید به فکر افزودن فرآیندهای محافظتی بیشتر جهت محافظت از اطلاعات اعتباری مربوط به پیاده‌سازی ساختار VDI خود باشند.

هرچند که این روش تنها در نوع خاصی از حملات سایبریِ هدفمند با هدف تخریب داده‌ها مشاهده شده است، اما ممکن است به راحتی توسط ارائه دهندگان باج‌افزار‌ها در آینده‌ای نزدیک مورد استفاده قرار گیرد. امروزه برخی باج‌افزار‌ها در تلاش‌ هستند تا قبل از رمز‌گذاری داده‌های فعلی، داده‌های مربوط به پشتیبان‌گیری را نیز پاک کنند؛ بنابراین تمرکز بر آسیب‌رسانی به Snapshot‌هایی که از ساختار VDI گرفته می‌شود می‌تواند جزو پیشرفت‌های این روش در آینده محسوب شود.

اسامی هیچ یک از سازمان‌هایی که تحت حمله اخیر قرار گرفتند از سوی شرکت‌های Symantec و Palo Alto Networks اعلام نشده است.

بدون دیدگاه

دیدگاهتان را بنویسید

*