ايتنا - ShadowPad: بدافزاری که می‌تواند از درب پشتی به نرم‌افزاری که صدها سازمان از آن استفاده می‌کنند، نفوذ کند

در زمانی که نرم‌افزار فعال می‌شود، درب پشتی به مجرمان این اجازه را می‌دهد که ماژول‌های مخرب را دانلود کنند و یا که داده های یک سازمان را به سرقت ببرند. لابراتوار کسپرسکی اخطارهای لازم را درباره ی NetSarang (عرضه کننده نرم‌افزار آلوده) به کاربران سراسر جهان داد و تاکید کرد که کدهای مخرب به سرعت از روی نرم‌افزار حذف شده است و به‌روزرسانی برای کاربران این نرم‌افزار منتشر شده است.

به گزارش ایتنا از کسپرسکی آنلاین، ShadowPad یکی از بزرگ‌ترین حملات زنجیره‌ای در سراسر جهان است. این تهدید به سختی شناسایی شد و استراتژی قوی برای آن درنظر گرفته شده بود. ShadowPad می‌توانست صدها سازمان در سراسر جهان را مورد هدف قرار بدهد و آنها را به روز سیاه بنشاند.

در ماه ژوئیه سال 2017، تیم تحقیقاتی و تحلیل جهانی لابراتوار کسپرسکی (GReAT) با یکی از پارتنرهای خود (موسسات مالی) رویکردی را بررسی کردند. متخصصان امنیتی سازمان در مورد DNS ( سرور نام دامنه) مشکوک که درخواست‌های عجیبی را برای پردازش معاملات مالی ارسال می کرد، ابراز نگرانی کردند و تمرکز خود را بر روی این موضوع گذاشتند.

تحقیقات بیشتر در این باره نشان داد که منبع این درخواست‌ها، نرم‌افزار مدیریت سرور بود که توسط یک کمپانی کاملا مشروع و قانونی ایجاد شده بود و مورد استفاده صدها کاربر در صنایع مختلف همانند خدمات مالی، آموزشی، مخابرات، تولید، انرژی و حمل و نقل قرار گرفته بود. نگران کننده ترین یافته های تیم امنیتی این بود که این درخواست‌ها از جانب فروشندگان این نرم‌افزار نبود و آن ها می دانستند که طبق معمول مجرمان سایبری هستند که خود را پنهان کرده‌اند.

علاوه بر این تیم آنالیزگر لابراتوار کسپرسکی متوجه شدند که درخواست‌های مشکوک در واقع نتیجه‌ای از فعالیت‌های یک ماژول مخرب در آخرین نسخه ی مشروع نرم افزار است. با نصب آپدیت نرم افزار آلوده، ماژول مخرب درخواست های DNS به دامنه‌های خاص (سرور command and control) با فرکانس یک بار در هر هشت ساعات ارسال می کرد. اما درخواستی که مصرانه ارسال می‌شد شامل اطلاعات اولیه در مورد سیستم قربانی نام کاربری، نام دامنه و نام هاست بود. در صورتی که مجرمان سیستم مورد حمله را جالب و کاربردی می دیدند، سرور رمان به آن پاسخ می‌داد و یک پلتفرم درب پشتی به طور کامل فعال می‌شد و به طور کاملا بی‌صدا به درون کامپیوتر حمله‌ور می‌شد. پس از آن بر اساس فرمان مجرمان، پلتفرم قادر به دانلود و اجرای کدهای مخرب بیشتری خواهد بود.

پس از کشف این آسیب‌پذیری محققان امنیتی لابراتوار کسپرسکی فورا با NetSarang تماس گرفتند و موضوع را با آنها در میان گذاشتند. این کمپانی نیز به سرعت واکنش نشان داد و نسخه به روز شده نرم‌افزار را بدون کدهای مخرب منتشر ساخت.

طبق یافته‌های لابراتوار کسپرسکی همچنان بسیاری از کسب و کارها هستند که آپدیت را انجام نداده‌اند و این بی اهمیتی می‌تواند همانن یک بمب کارگذاشته شده اما فعال نشده عمل کند و یک مجموعه را به نابودی بکشاند.

محققان لابراتوار کسپرسکی تکنیک‌های استفاده شده در این حمله را تجزیه و تحلیل کردند و به ای نتیجه رسیدند که برخی از این تکنیک‌ها بسیار شبیه عملکرد مخرب گروه‌های PlugX و Winnti بوده که در حملات خود از آن‌ها استفاده می‌کردند. این دو تیم یکی از گروه‌های جاسوسی چینی بود که شهرت بسیار زیادی را یافتند. با وجود این شباهات‌ها باز هم نمی‌توان قضاوتی دقیق در مورد اینکه این گروه پشت این حمله بوده‌اند را داشت.

Igor Soumenkov کارشناس امنیتی در تیم تحقیق و تحلیل لابراتوار کسپرسکی می‌گوید:" ShadowPad نمونه‌ای از حملات خطرناک و گسترده بود که موفق شد حملاتی زنجیره‌ای را در سراسر جهان به راه اندازد. با توجه به فراهم شدن فرصت‌ها برای دسترسی و جمع‌آوری داده ها احتمال حملات بعدی و قویتر را برای ShadowPad می دهند. خوشبختانه NetSarang سریعا نسبت به این مشکل واکنش نشان داد و به لطف اطلاع رسانی کارشناسان امنیتی تیم ما آپدیت جدید نرم‌افزار مربوط را داد و از صدها حملات پر خطر در سراسر جهان جلوگیری کرد.
با این حال نه تنها این حمله بلکه تمامی حملات گذشته نشان می‌دهند که شرکت‌های بزرگ و کسب و کارها باید به فکر راه‌حل‌های پیشرفته‌ای که قادر به نظارت بر فعالیت‌های شبکه و تشخیص فعالیت های مخرب هستند، باشند و بر آنها تکیه کنند. در این حمله شما متوجه شدید که مجرمان از درب پشتی به نرم‌افزار NetSarang حمله ور شدند و قادر به اجرای کدهای مخرب خود بودند. پس تمامی این اقدامات به صورت مخفی انجام می شود و در صورت نداشتن راهکار امنیتی به هیچ وجه امکان تشخیص آنها وجود نخواهد داشت.

شرح NetSarang
- مشاهده تمامی سیستم‌های موجود در شبکه در قسمت دیگر سیستم‌ها
- مدیریتی کامل بر روی شبکه
- کنترل نرم‌افزاری تمام قسمت‌های مختلف کامپیوترهای متصل به شبکه
- مشاهده صفحه نمایش دیگر سیستم‌ها
- توانایی کنترل اشتراک گذاری فایل‌ها در سیستم‌ها
- قابلیت برقراری ارتباط از طریق IP به کمک Address Bar
- پشتیبانی از پروتکل‌های مختلف اینترنتی
- توانایی اتصال به وسیله TelNet
- قابلیت اتصال به پروتکل‌های FTP برای انتقال فایل
- مناسب برای شبکه‌های کوچک خانگی و شبکه‌های بزرگ تجاری
- توانایی ساخت پروفایل‌های مختلف برای سرور و کاربران
- امکان ساخت shortcut دسکتاپ برای دسترسی سریع‌تر
- قابلیت کنترل تمامی Clientهای موجود در محیط شبکه از سوی مدیر
- قابلیت کنترل تمامی سیستم‌ها از سوی مدیریت و اعمال تغییرات دلخواه
- استفاده آسان هم برای مدیر و هم برای کلاینت‌ها
- قابلیت به اشتراک گذاری فایل‌ها از سوی کلاینت‌ها و سرور
- قابلیت به اشتراک کذاری اینترنت در میان کلاینت‌ها با تعیین حد و مرز استفاده
- شناسایی و سازگاری با پروتوکل های مختلف اینترنتی
- توانایی ارتباط با پروتوکل FTP به منظور ارسال فایل‌ها بر روی سرور
- امنیت بالا در محیط شبکه
- قابلیت به اشتراک گذاری پرینتر و مدیریت چاپ اسناد
- سرعت بالا در برقراری ارتباط
- و ... ما نسخه جدید این نرم‌افزار را در 18 ژوئیه 2017 منتشر ساختیم که متاسفانه در این نسخه یک درب پشتی وچود داشت و از این رو مجرمان توانستند نرم‌افزار را اکسپلویت و به سیستم کاربران نفوذ کنند.

امنیت کاربران یکی از اصلی‌ترین اولویت‌های ما است و ما آن را در بلندمرتبه ترین درجات اهداف خود در نظر می‌گیریم و همیشه به آنها متعهد هستیم.

اما واقعیت اینجا است که مجرمان سایبری و گروه‌ها و نهادهای مخرب از نرم‌افزارهای تجاری و البته کاملا رسمی و مشروع برای افزایش دستمزد خود استفاده می کنند و تنها همین موضوع برای آن ها اهمیت دارد. همانطور که مشاهده کردید NetSarang هم به همین ترتیب مورد حمله قرار گرفت و مجرمان نرم افزار محبوبی را یافتند و توانستند از آسیب‌پذیری که سهوا در این نرم‌افزار قرار داشت استفاده کنند و امنیت کسب و کارها را به خطر اندازند.

NetSarang نرم‌افزاری است که به فراهم کردن امنیت کاربرانش متعهد است و سیستمی قوی را به همین منظور برای برقراری امنیت در عملکرد و ارائه ی خدماتش در نظر گرفته است. این نرم‌افزار برای ارزیابی و بهبود امنیت تلاش خواهد کرد و برای مبارزه با مجرمان سایبری و بدست آوردن مجدد اعتماد کاربرانش وظیفه شناس خواهد بود.

تمام راهکارهای لابراتوار کسپرسکی بدافزار ShadowPad را با عنوان "Backdoor.Win32.ShadowPad.a" شناسایی و در مقابل آن از سیستم محافظت می‌کند.
لابراتوار کسپرسکی به کاربران توصیه می‌کند که NetSarang را به آخرین نسخه ی منتشر شده ارتقاء دهند تا نرم افزار از هرگونه کدهای مخرب حذف شود و ارسال درخواست‌های DNS جایی در آن نداشته باشد. اکیدا پیشنهاد می‌شود که برای کسب و کار خود از یک راهکار امنیتی که بتواند فعالیت‌های مخرب را تشخیص و آن ها را مسدود سازد، استفاده کنید.