روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ متخصصین ما اواخر سال 2019 از ترفند گودال آب برای پردهبرداری از حملهای هدفدار استفاده کردند. مهاجمین بدون به کاربردن هیچ ترفند پیچیده و یا اکسپلویت کردن هیچ آسیبپذیریای دستگاه کاربران آسیا را در طول دستکم هشت ماه آلوده کردند. در خبرهایی که تسری این بدافزار را گزارش دادهاند مدام میشنویم یا میخوانیم که این حمله «غسل تعمید»داده شده است. بله، با آب مقدس. در این چند ماه این دومین حملهایست که متوجه شدیم از چنین تاکتیکهایی استفاده میکند. در ادامه با ما همراه شوید تا خطرات این حمله را که «آب مقدس» نام دارد گوشزد کرده و راه مبارزه با آن را خدمتتان ارائه دهیم.
آب مقدس چطور توانست دستگاهها را آلوده کند؟
ظاهراً مهاجمین از یک جایی به بعد سرور میزبانِ صفحات وبیای را که بیشتر به شخصیتهای مذهبی، سازمانهای عمومی و خیریهها متعلق بود را دستکاری کردهاند. مجرمان سایبری در حقیقت اسکریپتهای آلوده را در کد این صفحات جاگذاری کردند که بعد از آن برای پیشبرد حملات به کار رفت. وقتی کاربران از صفحهی آلوده دیدن کردند، اسکریپتها از ابزارهای کاملاً قانونیبرای جمعآوری دادههایی در مورد آنها استفاده نموده و برای اعتبارسنجی به سروری طرفسوم فورواردش کردند.
نمیدانیم قربانیان چطور انتخاب میشدند اما در واکنش به اطلاعات دریافتی اگر هدف تضمینکننده بود، سرور فرمانی را برای ادامه حمله ارسال میکرد. گام بعدی ترفندی است که اکنون استاندارد است (بیش از یک دهه است که از آن استفاده میشود): کاربر مجبور میشد Adobe Flash Player را که از قرار معلوم تاریخگذشته شده بوده و در معرض خطر امنیتی هم قرار داشته آپدیت کند. اگر قربانی رضایت میداد در عوض آپدیت وعده دادهشده، بکدر Godlike12 در کامپیوتر دانلود و نصب میشد.
خطر Godlike12
مغزهای متفکر این حمله از سرویسهای قانونی استفادهی فعالانهای کردند؛ هم برای پروفایلبندیِ قربانیان و هم برای ذخیرهسازی کد آلوده (بکدر به GitHub ارجاع داده شده بود). بکدر در واقع از طریق گوگلدرایو با سرورهای C&C مورد تعامل قرار میگرفت. بکدر در ذخیرهگاه گوگلدرایو یک شناساگر جاساز کرده و با آن تماسهای مقرری داشت تا فرمانهای مهاجمین را مورد بررسی قرار دهد. نتایج اجرای چنین فرمانهایی نیز همانجا آپلود شد. بر طبق گزارشات متخصصین ما، هدف این حمله شناسایی و جمعآوری اطلاعات از دستگاههای دستکاریشده بوده است.
راهکاری برای جلوگیری
تا حالا که آب مقدس فقط در آسیا دیده شده است. با این حال، ابزارهای بکار رفته در این کمپین بسیار ساده بوده و میتوانند خیلی راحت هر جای دیگری مورد استفاده قرار گیرند. بنابراین، توصیه ما به شما این است که تمامی کاربران توصیههای ما را جدی بگیرند (فرقی ندارد به لحاظ جغرافیایی کجا قرار دارید).
ما نمیتوانیم بگوییم آیا این حمله فقط افراد یا سازمانهای خاصی را مورد هدف خود قرار داده اما یک چیز حتمی است: هر کسی میتواند از این سایتهای آلوده دیدن کند (هم از دستگاههای خانه و هم از دستگاههای محل کار). بنابراین، توصیه اصلی ما به شما محافظت از هر دستگاهی است که دسترسی به اینترنت دارد. ما برای کامپیوترهای شخصی و سازمانی شما راهکارهای امنیتی ارائه میدهیم. محصولات ما تمامی ابزارها و تکنیکهای سازندگان آب مقدس را شناسایی و سریعاً بلاک میکند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.
