مراقب بدافزار خطرناک لینوکس باشید

سازمان‌ های امنیتی آمریکا NSA و FBI هشدار جدی در رابطه با یکی از بدافزار های خطرناک لینوکس که به تازگی منتشر شده است داده اند. آنها این بدافزار را برای امنیت ملی آمریکا تهدیدی جدی می دانند.

طبق بیانیه سازمان‌ های امنیتی آمریکا، تهدید هکرهای روسی در رابطه با سو استفاده از یکی از بدافزار های لینوکس را بسیار جدی خواندند و بدافزار ناشناس لینوکسی را معرفی کردند که با هدف نفوذ به شبکه‌ های حساس مورد استفاده قرار می گیرد. همچنین سرقت اطلاعات حساس و اجرای کدهای مخرب در شبکه‌ ها از کاربرد های سواستفاده گرایانه دیگر این بدافزار می باشد.

در گزارش جدید NSA و FBI به بدافزار Drovorub در لینوکس اشاره شده است که دارای قابلیت‌ های بسیار زیادی است و تا به حال شناخته شده نبوده است. این بدافزار متصل به سرور های فرمان و کنترلی است که مدیر و مالک آن گروه GRU آژانس امنیتی ارتش روسیه می باشد. در یک دهه گذشته، آژانس امنیتی ارتش روسیه در کمپین‌ های امنیتی متعدد و نفوذ های سایبری نقش ایفا کرده است. به عقیده سازمان های امنیتی آمریکا، این گروه برای امنیت ملی کشور آمریکا بسیار خطرناک است و این گروه را نیز متهم به نفوذ در جریان انتخابات سال 2016 کرده اند. مقام‌ های آمریکایی بدافزار Drovorub را مرتبط به گروه‌ های روسی می‌ دانند و در بیانیه‌ خود بر رفع تهدید گروه GRU تاکید دارند.

این بدافزار شامل 4 بخش اصلی می باشد که در نفوذ و رخنه به سیستم ها دارای قدرت بسیار زیادی است. کلاینت موجود در این بدافزار باعث آلوده شدن دستگاه‌ های لینوکسی می شود. همچنین بخش دیگر آن به‌ حالت ماژول کرنل (Kernel Module) عمل می‌ کند که از طریق روش‌ های روت‌ کیت (Rootkit) وارد سیستم قربانی می شود و می تواند خود را از لایه‌ های امنیتی سیستم‌ عامل و سایر بخش‌ های امنیتی مخفی نگه دارد. در بخش دیگر آن سروری وجود دارد که بر روی زیر ساخت‌ های مدیریت‌ شده‌ توسط مجرم سایبری عمل می کند و پس از تحت اختیار وکنترل درآوردن سیستم، شروع به دریافت داده‌ های به‌ سرقت‌ رفته می‌ کند. همچنین در فرایند عملیاتی بدافزار Drovorub کارگزاری وجود دارد که از سرورهای اشغال‌ شده یا کامپیوتر های در اختیار هکرها به‌ عنوان یک واسطه بین ماشین‌ های آلوده و سرورها استفاده می‌ کند.

به بدافزاری که در لایه‌ های کرنل سیستم‌ عامل نفوذ می‌ کند روت‌ کیت (Rootkit) می گویند. در پی این نفوذ عمیق، سیستم‌ عامل قادر نیست عملکرد های مخرب را در لایه‌ های امنیتی ثبت نماید. به علاوه، روت‌ کیت‌ ها با استفاده از راهکارهای مختلف، مانع از شناسایی و ثبت عملکرد مخرب توسط ابزارهای آنتی‌ویروس می شوند.

بدافزار Drovorub در سطح شبکه با عملکرد عمیقی که دارد تمامی ترافیک عبوری از آن را بررسی و استخراج می کند. این بدافزار فعالیتش را با دسترسی‌ های ریشه‌ های بسیار عمیق انجام می دهد. بنابراین با سو استفاده از این بدافزار، مجرمان سایبری می توانند کنترل کامل سیستم را در دست بگیرند و به هک و کنترل گوشی افراد بپردازند.

علاوه بر موارد فوق، قابلیت ها و توانایی های این بدافزار به قدری زیاد است که برای تعریف آن از لقب “چاقوی سوئیسی” استفاده می کنند.

نام Drovorub طبق ادعای مقامات آمریکایی برگرفته از رشته‌ های برنامه‌نویسی می باشد. این عبارت ترکیبی از کلمات گوناگون است که در مجموع به معنای “تکه‌ کردن چوب” می باشد. یکی دیگر از محققان امنیتی که در رابطه با فعالیت‌ های نفوذی روسیه تحقیق می‌ کند، نام Drovorub را طوری دیگر معنی می کند. او اعتقاد دارد که کلمه‌ی “Drova” تعریفی برای کلمه‌ی “درایور” در زبان روسی می باشد و به طور کلی نام این بدافزار را “قاتل درایور های امنیتی” گذاشته است.

گروه APT 28 یکی از گروه‌ های معروف روسی است که دارای ابزار هایی حرفه‌ ای برای نفوذ به شبکه‌ های هدف می باشند. نام‌ های گوناگونی از سوی محققان امنیتی برای این تم اسفائه می شود همچون: Fancy Bear ،Strontium ،Pawn Storm ،Sofacy ،Sednit و Tsar Team.

سال گذشته (2019) مایکروسافت در رابطه با نفوذ گروه‌ های هکر روسی و هک پرینتر ها و دستگاه‌ های دیگر گزارشی را منتشر کرد. طبق گفته ی این گزارش، هکر ها از طریق سو استفاده از ابزار های قربانی، به شبکه‌ های اصلی نفوذ پیدا می‌ کردند. همچنین گزارشی دیگری در سال 2018 منتشر شد که در آن خبر از نفوذ گروه APT 28 به بیش از 500 هزار روتر می داد که طبق گفته ی محققان احتمال سو استفاده از آن‌ ها برای اهداف خراب‌ کارانه‌ی دیگر بسیار زیاد بود. در مجموع می توان گفت که در رابطه با نفوذ های گروه APT 28 گزارش های بسیاری در دسترس است که باعث اثبات قدرت این گروه می شوند.

در حقیقت، در این گزارش منتشر شده ی اخیر توسط سازمان‌ های امنیتی ایالات متحده اشاره ای به دوره‌ ی زمانی سو استفاده‌ ی هکرها از بدافزار Drovorub نشده است. به علاوه، نامی از افراد و سازمان‌ هایی که با نفوذ و آلودگی بدافزار مواجه شده اند برده نشده است.

اما به عقیده ی این مقامات، به‌ روز رسانی امنیتی دستگاه‌ های سازمانی بهترین راه برای جلوگیری از آلودگی و نفوذ این بدافزار می باشد. همچنین سازمان‌ ها باید از لینوکس با کرنل 3/7 به بعد در سرورهای خود استفاده نمایند. از این طریق می توانند در برابر مجرمان سایبری از جدید ترین لایه‌ های امنیتی استفاده کنند.

راه حل پیشنهادی دیگر برای مقابله با این بدافزار استفاده از سیستم‌‌ های تشخیص نفوذ Yara و Snort می باشد. جزئیات بسیاری را می توان در بیانیه 45 صفحه ای سازمان های امنیتی FBI و NSA یافت که به عقیده ی بسیاری از کارشناسان این بیانیه که در زمینه امنیت سایبری منتشر شده است یکی از بیانیه‌ های نادر سازمان‌ های دولتی می باشد.