نفوذ هکرها با سوء استفاده از ابزار NSA به رایانه
انتشار ابزار نفوذ آژانس امنیت ملی آمریکا، وسیله سوء استفاده هکرها برای استفاده غیرمجاز از هزاران رایانه در جهان است.
بعد یک سال از آلودگی هزاران کامپیوتر ویندوزی به ابزار نفوذ آژانس امنیت ملی آمریکا و ارائهی بستههای اصلاحی برای دفع اثرات منفی آن، اکنون این دستگاهها به حال آسیبپذیر قبلی برگشته اند.
ابتدا برای باجگیری از ابزار یادشده استفاده میشد و بعد هم سوءاستفاده از رایانهها برای ماینینگ، نتیجهی انتشار این ابزار است. محققان میگویند اکنون سوءاستفادهی بزرگتری از ابزار NSA شده و آن هم تشکیل یک شبکه نیابتی (Proxy Network) بزرگ برای اجرای طیفی از اقدامات مخرب است.
یک شرکت برجسته آمریکایی در حوزهی امنیت به نام آکامای (Akamai)، نقطهی آسیبپذیری UPnProxy که از همان پروتکل شبکه Plug and Play می تواند رایانههایی را که پچ تکمیلی آن راحذف و حتی از پشت فایروال به آنها نفوذ کند.

مهاجمان غالباً از UPnProxy برای بازنشانی و پیکربندی مجدد تنظمیات انطباق درگاهها (Port Mapping) در یک مسیریاب آلوده استفاده میکردند. آنها با هدایت ترافیک ساختگی، زمینه را برای حملهی DOS به یک نقطهی خاص فراهم کرده و بدافزار پخش کنند، این نوع حمله اغلب ناموفق بود، چراکه شمار زیادی از کامپیوترها در این شبکهها پشت NAT بودند.
۶ نحوه جاسوسی فناوری از زندگی شما
اما آکامای معتقد است، این بار هکرها از ابزار نفوذ قوی NSA برای فریب دادن مسیریاب و دستیابی به کامپیوترهای پشت آن، استفاده میکنند، این کار محدودهی نفوذ و تسلط مهاجم را گستردهتر کرده و شبکه آلوده را هم بزرگتر و خطرناکتر میکند. چاد سیمن (Chad Seaman) مهندس شرکت آکامای که گزارش این حملات را منتشر کرده است، میگوید:
متاسفم از اینکه UPnProxy تبدیل به معبری برای نفوذ هکرها به سیستمهای پشت NAT شده است، اما دیر یا زود این اتفاق باید رخ میداد.
دو ابزار، واسطهی این نفوذ هستند: یکی EternalBlue که در حقیقت راه نفوذی مخفی و اختصاصی است که توسط NSA برای راهیابی مستقیم به سیستمهای ویندوزی توسعه داده شده است. دومی EternalRad که کار مشابه را با پلتفرمهای لینوکسی میکند و در اصل توسط همان بنیانگذار Samba توسعه داده شده است.
وقتی UPnProxy سازوکار انطباق درگاههای یک مسیریاب آسیبپذیر را مختل کرد، این دو ابزار، دسترسی به رایانهی هدف را از محل درگاههای مربوط به SMB فراهم میکنند.
آکامای اسم این حمله را که به شدت دامنهی کامپیوترهای آلوده را گسترش داده سکوت ابدی مینامد، طبق اعلام این شرکت تاکنون بیش از ۴۵۰۰۰ سیستم در این شبکه آسیب و بیش از یک میلیون سیستم دیگر هم پذیرش این نفوذ هستند.
سیمن میگوید:
این رخداد حمله به یک نقطه خاص نیست، بلکه با استفاده از یک ابزار نفوذ تست شده و آماده، توان پردازشی تعداد زیادی از رایانهها را تجمیع کرده و یک استخر ماینینگ به وجود آورد.
نفوذ این بدافزارها بسیار پیچیده و شناسایی آن بسیار سخت است. مدیران شبکهها و سیستمها به راحتی نمیتوانند از آلودهشدن سیستمهایشان مطلع شوند. گفته میشود با وجود اینکه بیش از یک سال است که پچهای لازم برای دفع EternalBlue و EternalRad ارائه شدهاند، اما تاکنون میلیونها سیستم این پچها را ندارند و به شدت آسیب دیده اند.
ساخت بستههای تکمیلی جدید برای دفع حملات این بدافزارهای Eternal بهتر از هرگز ارائه نشدن آنها است؛ اما این اصلاً بدان معنی نیست که با چنین پچهایی کار بدافزارهای مورد بحث هم تمام است. حتی اگر کلا پروتکل UPnP را غیرفعال کنیم باز مشکل کاملاً حل نشده است.
بازنشانی و راهاندازی مجدد مسیریاب و غیرفعال کردن پروتکل UPnP یک راهکار است، اما سیمن باور دارد که باید اصلاً مسیریاب بهکلی عوض شود.