روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ «شهر نبرد[1]» که در زبان عامیانه «بازی تانک[2]» شناخته میشود، نمادی از دوران گذشته است. 30 سال پیش، گیمرها کارتریج را در کنسول خود جا میزدند، روبروی تلویزیونی بزرگ مینشستند و انقدر موجی از تانکهای دشمن را منهدم میکردند تا صفحه تلویزیون بسوزد. امروز، دنیا طور دیگری است اما باز هم بازی گیمها سرجای خودشان ماندند و هنوز محبوبند. نسخههای تکراری این گیم اغلب نه تنها حس هیجان گیمپلی قدیمی را میدهند که همچنین این شانس را هم بهشان میدهد تا NFT کاسب شوند! و در این میان مجرمان سایبری هم بیکار ننشستند: آنها هم حملهای پیچیده که مشتاقان این بازی کریپتویی را هدف میگیرد ارائه میدهند.
بکدر و اکسپلویت روز صفر در گوگل کروم
این داستان، فوریه 2024 شروع شد؛ وقتی راهکار امنیتی ما بکدر Manuscrypt را روی کامپیوتر کاربری در روسیه شناسایی کرد. با ما این بکدر بسیار آشناییم؛ نسخههای متعدد آن دست کم از سال 2013 دارد توسط گروه APT لازاروس استفاده میشود. پس با توجه به شناختمان از ابزار اصلی و متودهایی استفادهشده توسط مهاجمین، چه چیز این رخداد سایبری، انقدر خاص بوده است؟ نکته این است که این هکرها معمولاً سازمانهای بزرگ مانند بانکها، شرکتهای آیتی، دانشگاهها و حتی آژانسهای دولتی را نشانه میرود اما این بار لازاروس یک کاربر را با کاشت بکدری روی کامپیوتر شخصیاش هدف قرار داده! مجرمان سایبری قربانی را در سایت گیم به دام انداختند و به موجب آن دسترسی تمام به سیستم او را دست گرفتند. سه چیز این امکان را فراهم کرد: 1) میل زیاد قربانی به تانک بازی در قالب جدید مورد علاقهاش، 2) آسیبپذیری روز صفر در گوگل کروم و اکسپلویتی که اجازه اجرای فایل ریموت را در پروسه گوگل کروم میداد. اما پیش از اینکه نگران شوید باید بگوییم خیالت راحت باشد: گوگل از آن زمان به بعد، آپدیت مرورگر منتشر کرده، وبسایت بازی تانک را بسته و از محققین تیم امنیتی کسپرسکی هم تشکر کرده. اما محض احتیاط، محصولات ما بکدر Manuscrypt و اکسپلویت را در این مقاله بررسی کرده است. با ما همراه باشید.
اکانتهای فیک
در شروع بررسیهای خود، فکر کردیم گروه حسابی برای حمله وقت گذاشته: «آیا واقعاً یک گیم واقعی را صرف پیش بردن نقشه اسکم ابداع کردهاند؟». اما زود پی بردیم مبنای گیم فعلی خود را که DeFiTankLand باشد بر DeTankZone گذاشتند. آنها هم کد منبع DeFiTankLand را دزدیدند و هم اکانتهای تقلبی رسانههای اجتماعی را برای نقشه کلاهبردارانه خود ساختند. همان موقعها (مارس 2024) قیمت رمزارز DefitankLand (sic) به شدت کاهش یافت- توسعهدهندگان گیم اصلی اعلام کردند کیفپول سردشان هک شده و کسی 20 هزار دلار ازشان سرقت کرده. هویت سارق هنوز مشخص نشده. توسعهدهندگان فکر میکنند او نفوذی بوده اما ما شکمان به تیم همیشه حاضر لازاروس رفته است. مجرمان سایبری برای این گیم، یک کمپین تبلیغاتی تمام عیار را ترتیب دادند: تعداد فالور روی x (توییتر سابق) را افزایش داده، پیشنهادهای همکاری به صدها اینفلوئنسر رمزارز (همچنین قربانیان بالقوه) فرستادند، اکانتهای پریمیوم لینکدین ساختند و موجی از ایمیلهای فیشینگ را راهانداختند. در نتیجه، این گیم فیک حتی بیش از بازی اصلی توجه جلب کرد (6 هزار فالوئر در توییتر در مقایسه با 5هزار فالوئر برای اکانت اورجینال گیم).
چطور تانک بازی میکردیم؟
حالا سرگرمکنندهترین بخشش...
این سایت مخرب که با آن، تیم لازاروس دست به تور کردن قربانیان میزنند نه تنها به آنها اجازه داد به اکسپلویت مرورگر روز صفر را امتحان کنند که این وسط یک نسخه بتای گیم هم نصیبشان نشد. ما بچههای کسپرسکی که همیشه طرفدار چیزهای کلاسیک بودهایم نتوانستیم جلوی این نسخه جدید نویدبخش مقاومت کنیم. ما آرشیوی را که به نظر کاملاً قانونی میآمد دانلود کردیم: 400 مگابایت سایز داشت، ساختار فایل سالم بود، لوگو و المانهای رابط موجه بود و بافتهای مدل سه بعدی بودند. عجب کار تمیزی! منوی شروع DeTankZone با متنی به ما خوشامد گفت که در انتها درخواست داشت آدرس ایمیل و پسوردمان را بزنیم. ابتدا سعی کردیم با پسوردهای رایج مانند 12345 و password لاگین شویم اما کار نکرد. پس گفتیم شاید بهتر باشد اکانت جدید بسازیم. باز هم شانس یار نبود- سیستم نمیگذاشت باز کنیم.
پس چرا بافتهای سه بعدی مدل و سایر فایلها در آرشیو گیم بودند؟ میتوانستند واقعاً اجزای بدافزار بوده باشند؟ در واقع قضیه آنقدر هم بد نبود. ما کد را مهندسی معکوس کردیم و المانهای موظف در کانکشن سرور گیم را کشف کردیم- که برای این نسخه فیک، غیراجرایی بودند. پس در تئوری، گیم هنوز قابل بازی بود. کمی زمان و برنامهنویسی لازم داشت تا کار دربیاید: سرور هکر را با سرور خود جایگزین ردیم و تانک قرمز Boris وارد عرصه شد.
درسهایی که از این حمله میشود گرفت
میشود این درس را گرفت که حتی به ظاهر بیضررترین لینکهای وبی میتواند به سرقت کامپیوتر شما منجر شود. مجرمان سایبری مدام در حال سر و شکل دادن جدیدی به تاکتیکها و ترفندهای خود هستند. لازاروس همین الانش هم دارد از هوش مصنوعی مولد به طور موفقی استفاده میکند و این یعنی ما میتوانیم حتی حملات پیچیدهتری را در آینده شاهد باشیم. راهکارهای امنیتی همچنین دارند با ترکیب مؤثری از هوش مصنوعی تکامل مییابند. تنها کاری که کاربران معمولی اینترنت باید انجام دهند این است که مطمئن شوند دستگاههایشان محافظت میشوند. همینطور باید از اسکمهای جدید و به روز مطلع باشند. خوشبختانه بلاگ روزانه ما به شما در این اطلاعرسانی کمک میکند. پس برای همیشه به روز ماندن ما را دنبال کنید.
[1] Battle City
[2] tank game
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
