اختلال در شبکه بدافزار رادامانتیس

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، رادامانتیس (Rhadamanthys) نوعی بدافزار سرقت اطلاعات (infostealer) است که اطلاعات ورود و کوکی‌های احراز هویت را از مرورگرها، برنامه‌های ایمیل و سایر نرم‌افزارها سرقت می‌کند.

این بدافزار معمولاً از طریق کمپین‌هایی منتشر می‌شود که به‌عنوان نسخه‌های کرک نرم‌افزار، ویدیوهای یوتیوب یا تبلیغات مخرب در موتورهای جستجو معرفی می‌شوند.

این بدافزار در قالب مدل اشتراکی (Malware-as-a-Service) ارائه می‌شود؛ به این صورت که مجرمان سایبری با پرداخت حق اشتراک ماهانه به توسعه‌دهنده، به بدافزار، پشتیبانی فنی، و پنل تحت وب برای جمع‌آوری داده‌های سرقت‌شده دسترسی پیدا می‌کنند.

به گفته دو پژوهشگر امنیت سایبری با نام‌های مستعار g0njxa و Gi7w0rm که فعالیت بدافزارهایی مانند رادامانتیس را رصد می‌کنند، مجرمان مرتبط با این عملیات اعلام کرده‌اند که نهادهای اجرای قانون به پنل‌های تحت وب آن‌ها دسترسی پیدا کرده‌اند.

در یکی از انجمن‌های هک، برخی از کاربران اعلام کردند که دسترسی SSH خود به پنل‌های رادامانتیس را از دست داده‌اند و اکنون سیستم برای ورود به جای رمز عبور، گواهی دیجیتال (certificate) درخواست می‌کند.

یکی از کاربران در این انجمن نوشت:

اگر رمز عبور شما دیگر کار نمی‌کند، بدانید روش ورود به سرور به حالت ورود با گواهی تغییر یافته است. لطفاً بررسی و تأیید کنید؛ اگر این‌طور است، فوراً سرور خود را دوباره نصب کرده و تمامی ردپاها را پاک کنید. پلیس آلمان در حال اقدام است.

مشترک دیگری نیز تأیید کرد که با همین مشکل مواجه شده و گفت دسترسی SSH به سرورش تنها با گواهی ممکن است.

او نوشت:

تأیید می‌کنم که مهمانانی از سرور من بازدید کرده‌اند و رمز عبور root حذف شده است. ورود به سرور تنها با گواهی مجاز بود، بنابراین فوراً همه چیز را حذف کردم و سرور را خاموش کردم. کسانی که به‌صورت دستی آن را نصب کرده بودند احتمالاً آسیب ندیدند، اما آن‌هایی که از “پنل هوشمند” استفاده کرده بودند، ضربه سختی خوردند.

توسعه‌دهنده رادامانتیس در پیامی اعلام کرده است که معتقد است پلیس آلمان پشت این عملیات بوده است، زیرا آی پی (IP) های آلمانی پیش از قطع دسترسی مجرمان، به پنل‌های تحت وب در مراکز داده اتحادیه اروپا وارد شده‌اند.

پژوهشگر g0njxa در گفت‌وگو با خبرگزاری بلیپینگ کامپیوتر (BleepingComputer) بیان کرد که وب‌سایت‌های تور (Tor) مربوط به این بدافزار نیز آفلاین شده‌اند، اما هنوز بنر توقیف پلیس روی آن‌ها قرار ندارد، بنابراین هنوز مشخص نیست چه نهادی دقیقاً پشت این اقدام است.

چندین پژوهشگر امنیت سایبری که با بلیپینگ کامپیوتر صحبت کرده‌اند، معتقدند این اختلال ممکن است به اعلامیه‌ای مرتبط با عملیات پایان بازی (Endgame) مربوط باشد؛ عملیات بین‌المللی در حال انجام نهادهای مجری قانون که هدف آن مقابله با شبکه‌های ارائه‌دهنده بدافزار به‌صورت سرویس است.

عملیات پایان بازی پیش‌تر در چندین اقدام مشابه، زیرساخت‌های مرتبط با باج‌افزارها و بدافزارهای مختلف از جمله ای وی چک (AVCheck)، اسموک لودر (SmokeLoader)، دانابات (DanaBot)، آیسد آی دی (IcedID)، پیکابات (Pikabot)، تریک بات (Trickbot)، بامبل بی (Bumblebee) و سیستم بی سی ( SystemBC) را هدف قرار داده است.

در وب‌سایت رسمی عملیات پایان بازی، در حال حاضر یک شمارش‌گر (timer) نمایش داده می‌شود که اعلام می‌کند اقدام جدیدی قرار است روز پنج‌شنبه افشا شود.

پایگاه بلیپینگ کامپیوتر برای کسب توضیح بیشتر با پلیس آلمان، یوروپل و اف‌بی‌آی تماس گرفته است، اما تاکنون پاسخی دریافت نکرده است.