سیستم های لینوکسی، هدف بدافزار KillDisk

0
162
بدافزار KillDisk

محققان حوزه‌ی امنیت شرکت ESET هشدار دادند، بدافزار (Malware) مخرب KillDisk که پیش از این در حملات صورت گرفته به شرکتهای صنعتی نقش داشته است، به تازگی ماشین‌های Linux را نیز آلوده می‌نماید.

طبق بررسی‌های بعمل آمده، KillDisk با عامل BlackEnergy مرتبط است زیرا این بد‌افزار یکی از ابزار‌های مورد استفاده‌‌ توسط BlackEnergy، جهت هدف قرار دادن واحد انرژی اوکراین در اواخر سال ۲۰۱۵ میلادی بوده، گرچه در آن زمان به طور مستقیم در بروز قطعی‌های آن بخش دخیل نبوده است.

KillDisk پیش از این نیز به دلیل اینکه می‌تواند کلیه اطلاعات روی هارد را پاک کند و سیستم‌ها را از کار بیندازد، به عنوان تهدیدی مهم در نظر گرفته شده است. از طرفی طبق بررسی‌های بعمل آمده، قابلیت‌های رمزگذاری و عملکرد مانند یک باج‌افزار (Ransomware) نیز بدان اضافه شده است. به همین دلیل این بد‌افزار نیاز به دسترسی‌های بیشتری داشته و باید خود را به عنوان یک سرویس Register نماید و سپس فرآیندهای مختلف را از بین ببرد و در عین حال از فرآیندهای ضروری اجتناب نماید.

طبق اظهارات ESET، این بد‌افزار با گروهی از تهدیدات به نام TeleBots مرتبط است که ظاهرا روند تکامل یافته‌ی گروه روسیِ BlackEnergy به نام Sandworm می‌باشد. به نظر می‌رسد بخش مالی کشور اوکراین با استفاده از ابزار‌های مختلف، توسط این گروه مورد هدف قرار داده شده است که از آن جمله می‌توان از نسخه‌ی جدید‌تر KillDisk نام برد که پس از مدت زمانی معین مجددا فعال شده و فایل‌‌های دارای افزونه‌‌های خاص را بازنویسی می‌کند.

طبق گفته محققان در نوع لینوکسی این بد‌افزار یک پیغام به شیوه‌ای نا‌معمول در GRUB Bootloader برای کاربر نمایش داده می شود. بدین معنا که ورودی‌های Bootloader توسط بدافزار بازنویسی می‌شود تا متن مورد نظر باج‌افزار جهت درخواست مبلغ مربوطه، نمایش داده شود.

روند اصلی رمز‌گذاری به صورت تکراری از چندین پوشه در Directory Root، تا ۱۷ زیر‌شاخه (Subdirectory) در آن عبور می‌نماید، در حالی که فایل‌های آن با استفاده از Triple-DES به کار رفته برای فایل بلوک‌های ۴۰۹۶ بایتی رمز‌گذاری می‌شوند. به هرحال محققان عنوان می‌کنند که تهدیدات از یک مجموعه متفاوت از کلید‌های رمز‌گذاری ۶۴ بیتی برای هر یک از فایل‌های رمز‌گذاری شده استفاده می‌کنند.

این موضوع ثابت شده است که KillDisk بسیار مخرب می‌باشد چرا که سیستم‌های آلوده را پس Reboot کردن دیگر نمی‌توان Boot نمود. علاوه بر آن، کلیدهای رمزگذاری ایجاد شده بر روی Host آسیب‌دیده به سرور C&C ارسال نشده و به صورت Local نیز ذخیره نمی‌شوند، بدین ترتیب هیچ راهی برای بازیابی فایل‌ها وجود نخواهد داشت و طبق هشدار شرکت ESET، پرداخت مبلغ درخواستی به هکرها، هدر دادن پول و زمان است.

محققان امنیتی تاکید کرده‌اند که علی‌رغم وجود قربانیانی که حاضر به پرداخت مبالغ درخواستی بسیار زیاد از سوی این باج‌افزار می‌باشند، مجرمان سایبری در پشت پرده‌یِ این نوع KillDisk، قادر به تهیه‌ی کلید‌های رمز‌گشایی برای بازیابی فایل‌ها نیستند.

ESET اعلام نمود: با این همه، نقطه ضعفی که در رمز‌گذاری مربوط به نسخه‌ی لینوکسی این باج‌افزار وجود دارد، بازیابی فایل‌ها را هرچند دشوار، ممکن می‌سازد. ضمن اینکه این موضوع در مورد نوع ویندوزی این باج‌افزار صدق نمی‌کند.

گروه‌های مهاجم فعال در حوزه اینگونه عملیات به پلتفرم‌های مختلفی توجه نشان می‌دهند که ممکن است PCهای ویندوزی که سیستم‌های SCADA/ICS را تحت کنترل دارند و یا Workstation‌ها باشند. بنابراین مهاجمان می‌توانند فایل‌های موجود بر روی سیستم‌های لینوکسی را از بین ببرند. با این وجود ESET اعلام کرده است که هر‌گونه ارتباط میان ایجاد‌کنندگان این حملات ‌نا‌مشخص و بسته به موقعیت می‌باشد.

با توجه به اینکه حملات قبلی از نوع عملیات‌ سایبریِ جاسوسی و خرابکاری بوده است، موضوع غیر‌معمول در مورد KillDisk، افزوده شدن قابلیت‌های شبه باج‌افزار به آن می‌باشد. در واقع به گفته محققان حوزه‌ی امنیت، احتمالا افزودن چنین عملکردی بیش از آنکه قصد ارائه ویژگی‌های واقعی باج‌افزار را داشته باشد، با هدف افزایش قابلیت مخرب بودن در بدافزار صورت گرفته است.

در پایان به کاربران توصیه می‌شود در هنگام مواجهه با باج‌افزارها، از پرداخت مبالغ درخواستی اکیدا خودداری نمایند چرا که ضمانتی برای بازپس‌گیری اطلاعات وجود ندارد. به نقل از محققان ESET، پیشگیری امن‌ترین روش مواجهه با باج‌افزارها می‌باشد که از طریق آموزش، به‌روز نگه داشتن و Patch کردن کامل سیستم‌ها با استفاده از یک راهکار امنیتی قابل اطمینان، انجام پشتیبان‌گیری و تست نمودن قابلیت بازیابی اطلاعات، حاصل می‌گردد.

بدون دیدگاه

دیدگاهتان را بنویسید

*