هک شدن هکرهای تازه کار

به گزارش کارگروه امنیت سایبربان، به نقل از «securityaffairs»؛ هکرهای تازه کار (script kiddies) از اسکریپت های مخرب اینترنت اشیا به منظور دستیابی به درب پشتی محصولات ZTE و هک آنها سو استفاده می کنند.

جالب است که این تنها در پشتی موجود در اسکریپت نیست. اسکارفیس (Scarface)، انتشار دهنده ی این کد، درب پشتی خاصی را برای هک کردن هکرهای تازه کار که از اسکریپت ها استفاده می کنند، گسترش داده است.

با غیر فعال شدن نام های برتر در اینترنت اشیا همچون «Paras»، «Nexus» و «Wicked»، اسکارفیس (Scarface/Faraday)، اکنون در حال تبدیل شدن به نامی برتر برای هکرهای تازه کار به منظور خرید کد بات نت های اینترنت اشیا به منظور انجام عملیات های مخرب است. در حالیکه اسکارفیس عمدتا از اعتبار خوبی بهره می برد، می توان مشاهده کرد که آسیب پذیری شناخته شده روتر های «ZTE ZXV10 H108L» را با یک در پشتی منتشر کرد که در زمان حمله ی هکرهای تازه کار، سیستم آنها را در معرض خطر قرار می دهد.

آسیب پذیری نام برده، شناخته شده است و شامل استفاده از حساب درب پشتی در روتر «ZTE» برای ورود به سامانه و سپس تزریق یک دستور در «manager_dev_ping_t.gch» می شود. این کد ساخته شده توسط اسکارفیس، دستگاه هایی را در پورت های مختلف هدفگیری می کند. با این حال پورت 8083 بیشتر مورد هدف است. این مسئله، توجیه می کند که چرا هانی پات های نیو اسکای (Newsky) ، در حال مشاهده ی افزایش استفاده از این آسیب پذیری در پورت 8083 به جای پورت استاندارد 8080/80 هستند. هرچند این تنها تفاوت نیست.

در تکه کد فاش شده، کد «login_payload» به منظور استفاده ی در پشتی و «command_payload» و برای تزریق دستورات مشاهده کرد. با این حال، یک متغیر دیگر نیز وجود دارد. کد «auth_payload» که حاوی در پشتی اسکارفیس است و در «base64» کدگذاری شده است.

کد های در پشتی، به صورت مخفیانه توسط فایل های اجرایی و جداگانه از 3 مرحله ی آسیب پذیری اصلی که عبارتند از استفاده از درب پشتی فروشنده، تزریق فرمان و خروج از سیستم، اجرا می شوند. این مراحل در تصویر زیر نشان داده شده اند:

کد های نام برده، پس از رمزگشایی به وب سایت دیگری متصل می شود که دارای کدی برای اتصال به یک «ee URL(.)» است و کد زیر را اجرا می کند:

مشاهده می شود که مجموعه ای از اعتبارنامه های کاربری درب پشتی، پس از حذف آثار از طریق پاک کردن ثبت رویداد ها و تاریخچه، افزوده شده است. نشانی وب های دیگری نیز توسط «wget» متصل شده است؛ اما کار زیادی را انجام نمی دهد؛ زیرا میزبان یک ویدیوی میم (meme) است. این فیلم احتمالا نشان دهنده ی این است که در این زمان، اسکارفیس دستگاه شما را تصاحب کرده است.

رقابت های حمله ی در پشتی میان اوپراتورهای بات نت اینترنت اشیا، می تواند چندین هدف داشته باشد. برای مثال، پس از اینکه اسکارفیس بتواند سیستم های هکرهای تازه کار  را کنترل کند، می تواند بات نت های کوچکتری را که آن ها ساخته اند نیز کنترل کند. یا به سادگی می تواند از دسترسی به سامانه های اوپراتورهای بات نت های اینترنت اشیا رقبا، برای رقابت یا کینه جویی شخصی استفاده نماید.