نفوذ هکرها با سوء استفاده از ابزار NSA به رایانه

انتشار ابزار نفوذ آژانس امنیت ملی آمریکا، وسیله سوء استفاده هکرها برای استفاده غیرمجاز از هزاران رایانه در جهان است.

بعد یک سال از آلودگی هزاران کامپیوتر ویندوزی به ابزار نفوذ آژانس امنیت ملی آمریکا و ارائه‌ی بسته‌های اصلاحی برای دفع اثرات منفی آن، اکنون این دستگاه‌ها به حال آسیب‌پذیر قبلی برگشته اند.

ابتدا برای باج‌گیری از ابزار یادشده استفاده می‌شد و بعد هم سوء‌استفاده از رایانه‌ها برای ماینینگ، نتیجه‌ی انتشار این ابزار است. محققان می‌گویند اکنون سوء‌استفاده‌ی بزرگتری از ابزار NSA شده و آن هم تشکیل یک شبکه نیابتی (Proxy Network) بزرگ برای اجرای طیفی از اقدامات مخرب است.

یک شرکت برجسته آمریکایی در حوزه‌ی امنیت به نام آکامای (Akamai)، نقطه‌ی آسیب‌پذیری UPnProxy که از همان پروتکل شبکه Plug and Play می تواند رایانه‌هایی را که پچ تکمیلی آن‌ راحذف و حتی از پشت فایروال به آن‌ها نفوذ کند.

مهاجمان غالباً از UPnProxy برای بازنشانی و پیکربندی مجدد تنظمیات انطباق درگاه‌ها (Port Mapping) در یک مسیریاب آلوده استفاده می‌کردند. آنها با هدایت ترافیک ساختگی، زمینه را برای حمله‌ی DOS به یک نقطه‌ی خاص فراهم کرده و بدافزار پخش کنند، این نوع حمله اغلب ناموفق بود، چراکه شمار زیادی از کامپیوترها در این شبکه‌ها پشت NAT بودند.

۶ نحوه جاسوسی فناوری از زندگی شما

اما آکامای معتقد است، این بار هکرها از ابزار نفوذ قوی NSA برای فریب دادن مسیریاب و دستیابی به کامپیوترهای پشت آن، استفاده می‌کنند، این کار محدوده‌ی نفوذ و تسلط مهاجم را گسترده‌تر کرده و شبکه آلوده را هم بزرگتر و خطرناک‌تر می‌کند. چاد سیمن (Chad Seaman) مهندس شرکت آکامای که گزارش این حملات را منتشر کرده است، می‌گوید:

متاسفم از اینکه UPnProxy تبدیل به معبری برای نفوذ هکرها به سیستم‌های پشت NAT شده است، اما دیر یا زود این اتفاق باید رخ می‌داد.

دو ابزار، واسطه‌ی این نفوذ هستند: یکی EternalBlue که در حقیقت راه نفوذی مخفی و اختصاصی است که توسط NSA برای راهیابی مستقیم به سیستم‌‌های ویندوزی توسعه داده شده است. دومی EternalRad که کار مشابه را با پلتفرم‌های لینوکسی می‌کند و در اصل توسط همان بنیانگذار       Samba توسعه داده شده است.

وقتی UPnProxy سازوکار انطباق درگاه‌های یک مسیریاب آسیب‌پذیر را مختل کرد، این دو ابزار، دسترسی به رایانه‌ی هدف را از محل درگاه‌های مربوط به SMB فراهم می‌کنند.

آکامای اسم این حمله را که به شدت دامنه‌ی کامپیوترهای آلوده را گسترش داده سکوت ابدی می‌نامد، طبق اعلام این شرکت تاکنون بیش از ۴۵۰۰۰ سیستم در این شبکه آسیب و بیش از یک میلیون سیستم دیگر هم پذیرش این نفوذ هستند.

سیمن می‌گوید:

این رخداد حمله به یک نقطه خاص نیست، بلکه با استفاده از یک ابزار نفوذ تست شده و آماده، توان پردازشی تعداد زیادی از رایانه‌ها را تجمیع کرده و یک استخر ماینینگ به وجود آورد.

نفوذ این بدافزارها بسیار پیچیده و شناسایی آن بسیار سخت است. مدیران شبکه‌ها و سیستم‌ها به راحتی نمی‌توانند از آلوده‌شدن سیستم‌هایشان مطلع شوند. گفته می‌شود با وجود اینکه بیش از یک سال است که پچ‌های لازم برای دفع EternalBlue و EternalRad ارائه شده‌اند، اما تاکنون میلیون‌ها سیستم این پچ‌ها را ندارند و به شدت آسیب دیده اند.

ساخت بسته‌های تکمیلی جدید برای دفع حملات این بدافزارهای Eternal بهتر از هرگز ارائه نشدن آن‌ها است؛ اما این اصلاً بدان معنی نیست که با چنین پچ‌هایی کار بدافزارهای مورد بحث هم تمام است. حتی اگر کلا پروتکل UPnP را غیرفعال کنیم باز مشکل کاملاً حل نشده است.

بازنشانی و راه‌اندازی مجدد مسیریاب و غیرفعال کردن پروتکل UPnP یک راهکار است، اما سیمن باور دارد که باید اصلاً مسیریاب به‌کلی عوض شود.