تروجان Poison Ivy دوباره فعال شده است

موسسه خبری سایبربان: تروجان Poison Ivy شاید کمی پا به سن گذاشته باشد اما این دلیل نمی‌شود تا نفوذگران و حتی دولت‌ها استفاده از این تروجان را در حملات هدف‌مند خود متوقف نمایند.

اخیراً سه گروه نفوذگر شناسایی شده‌اند که ظاهرا همگی با چین در ارتباط بوده و نیازهای مالی و آموزشی خود را از این کشور تأمین می‌کنند. این سه گروه با استفاده از تروجان مذکور حملاتی را در سراسر جهان به منظور سرقت اطلاعات و پایش فعالیت‌های کاربران به انجام می‌رسانند.

 

 به گفته‌ی کارشناسان شرکت FireEye این سه گروه صنایع و بخش‌های جداگانه‌ای را هدف قرار می‌دهند اما در عین حال نقاط مشترک بسیاری دارند که از جمله‌ی آن‌ها می‌توان به ابزار مورد استفاده ونیز  گذرواژه‌هایی اشاره کرد که دارای الگوی معنایی مشابهی هستند.

 

استفاده از این بدافزار کاملاً مخالف اصول حملات هدفمند و پیشرفته یعنی فعالیت مخفیانه و حملات روز صفرم است. با وجود این  دارین کیندلاند1 از شرکت FireEye معتقد است که «وقتی این بدافزار به خوبی اهداف نفوذگران را برآورده می‌کند چه نیازی به طراحی راه‌های جدید است؟ آن‌ها تا زمانی که Poison Ivy فعال باشد به دنبال راه دیگری نخواهند رفت.»

 

کیندلاند ادامه می‌دهد: «این خطر وجود دارد که مدیران امنیتی در شرکت‌ها Poison Ivy را یک جرم‌افزار معمولی فرض کرده و به سادگی از کنار آن بگذرند. حال آن که این بدافزار می‌تواند چندین سامانه‌ی دیگر را هم غیرفعال سازد. جست‌و‌جو برای یافتن سامانه‌های آسیب‌پذیر یکی از قابلیت‌های اصلی این بدافزار است.

 

از نظر کیندلاند نکته‌ی نگران‌کننده در مورد این بدافزار و انواع مشابه‌اش این است که چنین بدافزارهایی از ابزارهای ساده استفاده می‌کنند و همین باعث می‌شود تا به راحتی با سایر جرم‌افزارها برابر دانسته شوند. از همین روست که اگر یک ضدبدافزار آلودگی به Poison Ivy را تشخیص دهد معمولاً باز هم کسی آن را جدی نمی‌گیرد. این باور نادرست سبب می‌شود تا به جای ریشه‌یابی آلودگی، کارشناسان امنیتی به پاک‌سازی سامانه‌ای که بدافزار در آن شناسایی شده اکتفا کنند و از حمله‌ی بزرگ‌تر غافل شوند.

 

یکی دیگر از دلایل محبوبیت Poison Ivy در میان نفوذگران دشواری رهگیری ارتباط آن با کارگزار دستوردهی و کنترل است. بر خلاف Gh0stRat که از فشرده‌سازی zlib برای برای مخفی کردن ارتباطات خود استفاده می‌کند، Poison Ivy از استاندارد رمزنگاری Camellia استفاده می‌کند که رمزگشایی از آن دشوارتر است. شایان ذکر است که ترافیک مربوط به Gh0stRat به راحتی قابل شناسایی و رمزگشایی است.

 

در حال حاضر این سه حمله شباهت‌های بسیاری به هم دارند. حمله‌ی اول که  admin@338 (گذرواژه‌ی مورد استفاده‌ی نفوذگران در حمله) نامیده شده است نهادهای مالی بین‌المللی را هدف می‌گیرد که در زمینه‌ی تحلیل سیاست‌های اقتصادی جهانی و یا به تفکیک کشورها فعالیت می‌کنند. در این حمله پرونده‌های آلوده به Poison Ivy به پیوست رایانامه‌های فیشینگ ارسال می‌شوند تا نقاط پایانی2 را آلوده کنند. این بدافزار پس از راه‌یابی به رایانه‌ی هدف دسته‌ای دیگر از بدافزارها را بارگیری می‌کند که به نوبه‌ی خود اطلاعات را سرقت کرده و برای نفوذگران ارسال می‌نمایند. به اعتقاد کیندلاند این اطلاعات سپس ممکن است به نهادهای خاصی فروخته شده و یا در اختیار دولت‌ها قرار گیرند تا در عرصه‌های مختلف سیاست به عنوان برگ برنده استفاده شوند.

 

حمله‌ی دوم هم که th3bug نامیده شده سال گذشته به اوج فعالیتش رسیده بود. طبق اعلام FireEye این حمله مراکز تحصیلات عالی و نهادها و شرکت‌های فعال در زمینه‌های بهداشت و نیز فناوری‌های مدرن را هدف می‌گیرد. نفوذگران بر روی این اهداف تمرکز می‌کنند چرا که به دنبال سرقت دانش علمی و مالکیت معنوی فناوری‌های نوین هستند. این حملات اکثراً به شکل 3watering hole هستند؛ بدین‌ترتیب که نخست یکی از وب‌گاه‌های معتبر دولتی یا محلی که از سوی هدف موردنظر به دفعات مورد بازدید قرار می‌گیرد شناسایی می‌شود. سپس این وب‌گاه مورد نفوذ قرار گرفته و کد مخربی از طریق آن به رایانه‌ی هدف تزریق می‌گردد که کاربر را به سمت Poison Ivy هدایت می‌کند.

 

حمله‌ی سوم هم menuPass نام دارد که فعال‌ترین حمله در میان این سه است. این حمله از سال ۲۰۰۹ آغاز شده و سال گذشته به اوج خود رسیده بود. در این حمله صنایح دفاعی و نیز سازمان‌های دولتی بین‌المللی با هدف سرقت اطلاعات نظامی مورد هدف قرار می‌گیرد. اسپر-فیشینگ نقش اصلی را در این حملات بازی کرده و به گفته‌ی کیندلاند معمولاً در این حملات Poison Ivy در قالب پرونده‌هایی برای کاربر ارسال می‌شود که توجه وی را تا جای ممکن جلب کند. مثلاً در یک مورد اجناسی که قربانی مدت‌ها به دنبال خریدشان بوده است دستمایه‌ی حمله قرار گرفته و پرونده‌های آلوده‌ای در ارتباط با فروش با تخفیف این اجناس برای کاربر ارسال شده است.

 

کیندلاند بر این باور است که حملات مذکور بر پایه‌ی شناخت کامل از اهداف انجام گردیده و رایانامه‌های فیشینگ مورد استفاده کاملاً گویای این امر است. وی همچنین معتقد است که این سه حمله علی‌رغم استفاده از کارگزارهای فرمان‌دهی و کنترل جداگانه، همگی با چین در ارتباط هستند.

 

در همین راستا شرکت FireEye به زودی ابزار رایگانی را منتشر خواهد کرد که بر پایه‌ی بسته‌ی متن‌باز ChopShop تهیه شده است. این بسته مخصوص Poison Ivy بوده و به مسئولیت امنیتی شبکه اجازه می‌دهد تا ترافیک Poison Ivy را شناسایی و رمزگشایی کنند.