باج افزار پتیا موج جدیدی از حمله‌های سایبری را به راه انداخته است

به نظر می‌رسد بعد از واناکرای (Wannacry)، حالا نوع جدیدی از باج افزار پتیا (Petya) شرکت‌های بزرگ را هدف خود قرار داده است.

ماه گذشته میلادی بود که تعداد زیادی از کاربران کشورهای اروپایی از جمله انگلستان از آلوده شدن سیستم خود به باج افزار واناکرای خبر دادند. سو استفاده هکرها از سیستم کاربران به واسطه باج افزارها موضوع جدیدی نبود؛ اما در ماه آوریل گروه “The Shadow Brokers” با انتشار اطلاعاتی، از بهره‌گیری واناکرای از یک آسیب پذیری پیچیده موسوم اترنال بلو (EternalBlue) خبر داد و مدعی توسعه آن توسط آژانس امنیت ملی ایالات متحده آمریکا یا به اختصار “NSA” شد. با تکیه بر این موضوع، می‌توان گفت هکرها از یک سلاح سایبری پیشرفته و در سطوح ملی در برابر شهروندان و سیستم‌های ساده آنها استفاده کرده‌اند. این موضوع درست شبیه آن است که بخواهید با تانک آبرامز به دنبال سرقت از بانک یک شهر کوچک باشید.

حالا بعد از یک ماه، با نوع جدیدی از باج افزارها که می‌توان آن را در خانواده باج افزار پتیا (Petya) قرار داد، رو به رو هستیم که بر اساس گزارش‌ها، هزاران سیستم مختلف در سراسر جهان از جمله کمپانی‌های چند ملیتی بزرگ “Maersk” ،”Rosneft” و “Merck” را آلوده کرده است. پتیا هنوز از اترنال بلو استفاده می‌کند، اما تا به این لحظه بسیاری از سازمان‌هایی که هدف قرار گرفته بودند در برابر آن ایمن شده‌اند و دیگر نیازی به نگرانی در مورد این روزنه نیست. در عوض، نوع جدید باج افزار پتیا از رخنه‌ها و نقاط آسیب پذیر اساسی‌تر در اجرای شبکه‌ها یا مهم‌تر از آن، ارائه وصله‌های نرم افزاری مختلف، بهره‌برداری می‌کند. در واقع شاید آنها به اندازه کدهای مخرب NSA قابل توجه و چشمگیر نباشند، اما به مراتب قدرت بالاتری داشته و می‌توانند سازمان‌ها را با تلاش برای بازگشت به حالت عادی، در شرایط سخت‌تری قرار دهند.

دیو کندی (Dave Kennedy) با ارسال توییتی جدید، از آلوده شدن بیش از 5 هزار سیستم در کمتر از 10 دقیقه خبر داده است. همچنین این باج افزار با بازنویسی اولین سکتور هارد دیسک، موجب ناپایداری سیستم و ری استارت شدن آن با نمایش پیام مربوطه می‌شود.

اگرچه واناکرای سیستم‌های ضعیف را هدف قرار می‌داد، اما این نوع جدید از باج افزار پتیا شبکه شرکت‌های بزرگ و ایمن را آلوده کرده است که می‌توان آن را الگویی برای پخش شدن این ویروس در نظر گرفت. زمانی که یک کامپیوتر در شبکه‌ای خاص آلوده می‌شد، پتیا با استفاده از ابزارهای شبکه همچون “WMI” و “PsExec”، کامپیوترهای دیگر آن شبکه را نیز آلوده می‌کرد.

معمولا از هر دو این ابزارها به منظور دسترسی از راه دور با سطوح مدیریتی استفاده می‌شود، اما یکی از محققان حوزه امنیت، لسلی کارهارت (Lesley Carhart)، می‌گوید اغلب، هکرها از آنها برای انتشار بدافزار در یک شبکه آلوده استفاده می‌کنند. به عقیده وی، استفاده از WMI روشی بسیار موثر و مداوم برای هکرها بوده و به ندرت توسط ابزارهای امنیتی مسدود می‌شود. ابزار Psexec نیز با وجود نظارت بیشتر روی آن، هنوز هم کارآمدی بسیار بالایی دارد.

برخی مواقع، حتی شبکه‌هایی که در برابر اترنال بلو ایمن شده بودند نیز در برابر حمله‌هایی که از طریق شبکه داخلی آنها انجام می‌شد، آسیب پذیر بودند. به گفته شان سالیوان (Sean Sullivan) از “F-Scure”، چنین چیزی در ادامه حمله‌های سایبری مشهور پتیا در گذشته هستند که کمپانی‌های بزرگ را برای دریافت پول، هدف قرار داده بود.

این حمله‌ها به عنوان گروهی برای هدف قرار دادن تجارت‌های مختلف آغاز شده است و شما باید از رخنه‌ای استفاده کنید که برای آسیب زدن و دریافت باج از شرکت‌های تجاری، فوق‌العاده باشد.

جنبه آزاردهنده این داستان در جایگاه اول، نحوه آلوده شدن این کامپیوترها به باج افزار پتیا است. به گفته محققان “Talos Intelligence”، احتمالا این باج افزار از طریق آپدیتی جعلی برای یکی از سیستم‌های حسابداری کشور اوکراین با نام “MeDoc” پخش شده است. اگرچه MeDoc این ادعا را رد کرده، اما گروهی دیگر از متخخصان نیز با اشاره به یک امضای دیجیتال جعلی در دریافت این آپدیت، نسبت به یافته‌های Talos ابراز نگرانی کرده‌اند. در صورت کارآمد بودن این امضا برای هکرها، می‌توان گفت راهی تمیز و مناسب برای دسترسی به تقریبا تمام سیستم‌های مجهز به این نرم افزار وجود داشته است.

از طرفی، این فرضیه رد پای سنگین پتیا در سازمان‌های داخلی کشور اوکراین را نیز توجیه خواهد کرد چرا که 60 درصد سیستم‌های آلوده، در این کشور هستند و بانک مرکزی و بزرگترین فرودگاه اوکراین نیز شامل آن می‌شوند.

این اولین باری نیست که هکرها با آلوده کردن سیستم‌هایی با آپدیت‌ خودکار اقدام به پخش بدافزارها می‌کنند؛ هرچند، این حمله‌ها معمولا به کشورهای ایالتی محدود بوده‌اند. در سال 2012 و در اقدامی که بسیاری آن را به دولت آمریکا نسبت می‌دهند، هکرها با آلوده کردن پروسه آپدیت سیستم عامل ویندوز، بدافزار شعله (Flame) را وارد ایران کردند. سال 2013 نیز حمله‌ای سایبری روی بانک‌ها و ایستگاه‌های تلویزیونی کره جنوبی، سبب پخش شدن بدافزارها در سیستم‌های داخلی این کشور شود.

محقق امنیتی مرکز “NYU”، جاستین کاپوس (Justin Cappos)، کسی که روی ایمن کردن روش‌های ارائه وصله‌های نرم افزاری به عنوان بخشی از “The Update Framework” فعالیت دارد، معتقد است این کاستی‌های زیربنایی به شکل قابل توجهی مشترک هستند. معمولا سازمان‌های مختلف موفق به تایید آپدیت‌ها نشده و یا کارهای لازم برای ایمن کردن موارد زیربنایی را انجام نمی‌دهند. در همین زمان، آپدیت‌های نرم افزاری یکی از قدرتمندترین راه‌ها برای آلوده کردن سیستم‌ها خواهند بود. کاپوس در رابطه با این بدافزار که معمولا با دسترسی مدیریتی اجرا می‌شود، می‌گوید:

این قطعه نرم افزاری در کامپیوتر هر کسی وجود داشته، اتصالاتی را ایجاد می‌کند که تمایل به رمزگذاری دارند و از تمام دیوارهای آتش شما عبور می‌کند.