درباره بدافزاری که شرکت های مخابراتی خاورمیانه را هدف قرار می دهد

به گزارش ای بی اس نیوز، Back Door نوعی بدافزار یا آسیب پذیری امنیتی است که به هکرها امکان دسترسی به سیستم های کاربران را می دهد. در این روش هکرها با دور زدن مکانیسم های امنیتی به سیستم کاربران دسترسی غیرمجاز پیدا می کنند به طوری که کاربران با فعالیت در پس زمینه سیستم کاربران حتی متوجه نفوذ هکر نمی شوند و شناسایی آنها برای کاربران عادی مشکل است. .

در واقع Back Door به هکرها اجازه می دهد تا به سیستم کاربران نفوذ کنند و اطلاعات آنها را به روش های مختلف دستکاری کنند. هکرها معمولاً از بدافزار برای کنترل سیستم های کاربر استفاده می کنند. آنها می توانند اطلاعات شخصی کاربران را بدزدند یا از راه دور دستکاری کنند. در همین راستا، مرکز هماهنگی عملیات و مدیریت اضطراری فناوری اطلاعات (ماهر) اخیراً از ظهور بدافزار در پشتی جدیدی که شرکت‌های مخابراتی در خاورمیانه را هدف قرار می‌دهد، خبر داد.

در مورد جزئیات این بدافزار می توان گفت که ارائه دهندگان خدمات مخابراتی در خاورمیانه هدف مجموعه حمله جدیدی به نام ShroudedSnooper هستند که از یک درب پشتی مخفی به نام HTTPSnoop استفاده می کند. سیسکو تالوس در گزارشی گفت HTTPSnoop یک درپشتی ساده اما مؤثر است که از تکنیک‌های نوآورانه برای تعامل با درایورهای هسته و دستگاه‌هایی که از HTTP استفاده می‌کنند برای گوش دادن به درخواست‌های دریافتی برای URL‌های خاص HTTP(S) و بازیابی محتوای مرتبط در یک مرورگر وب استفاده می‌کند. دستگاه آلوده

بخشی از جعبه ابزار تهاجمی این گروه PipeSnoop نیز نامیده می شود که می تواند کد پوسته خود ایجاد شده را از طریق یک لوله نامگذاری شده دریافت کرده و آن را روی یک ماشین آلوده اجرا کند. ShroudedSnooper از سرورهای رو به اینترنت استفاده می کند و HTTPSnoop را برای دسترسی اولیه به محیط های هدف مستقر می کند.

هر دو نوع بدافزار به عنوان اجزای برنامه Cortex XDR (CyveraConsole.exe) Palo Alto Networks برای فرار از شناسایی توسط متخصصان امنیتی ظاهر می شوند. گفته می شود که تاکنون سه نسخه مختلف از HTTPSnoop شناسایی شده است. این درپشتی از API های سطح پایین ویندوز برای گوش دادن به درخواست های دریافتی با الگوهای URL تعریف شده استفاده می کند. سپس از این الگوها برای استخراج پوسته کد برای اجرا در هاست استفاده می شود.

این نشانی‌های اینترنتی HTTP برای تقلید نشانی‌های اینترنتی مرتبط با سرویس تبادل اطلاعات وب مایکروسافت، OfficeTrack، و سرویس‌های تامین مرتبط شرکت مخابراتی شبیه‌سازی شده‌اند، به طوری که درخواست‌های مخرب درخواست‌های بی‌ضرر به نظر می‌رسند. تحقیقات نشان می دهد که URL های HTTP استفاده شده توسط HTTPSnoop و همچنین اتصال به یک وب سرور معمولی ویندوز نشان می دهد که احتمالاً برای اجرا در اینترنت و سرورهای وب و همچنین سرورهای خدمات تبادل اطلاعات (EWS) طراحی شده است. نام آن، احتمالاً روی آن کار می‌کند. در یک شرکت در معرض خطر استفاده می‌شود و به نظر می‌رسد برای دستگاه‌های مخرب با اولویت‌ها یا مقادیر بالاتر طراحی شده است.

PipeSnoop نمی تواند به عنوان یک ابزار مخرب مستقل عمل کند و به یک مؤلفه کمکی نیاز دارد که به عنوان یک سرور عمل می کند و کد پوسته را از طریق روش های دیگر دریافت می کند و آن را از طریق یک لوله نامگذاری شده به درب پشتی ارسال می کند. حملات به بخش مخابرات، به ویژه در منطقه خاورمیانه، در سال های اخیر عادی شده است.

در ژانویه 2021، ClearSky یک سری حملات را کشف کرد که توسط لبنان Cedar انجام شده بود که حامل های مخابراتی در ایالات متحده، بریتانیا و منطقه خاورمیانه را هدف قرار می داد.

محققان Talos می گویند که سازمان های مخابراتی دید جامعی از ترافیک اینترنت، هم در بخش خدمات خرده فروشی و هم در بخش های مرتبط با تجارت دارند. علاوه بر این، بیشتر زیرساخت‌های مخابراتی از شبکه‌های حیاتی تشکیل شده‌اند که برای ایجاد ارتباطات داخلی و خارجی ضروری هستند و بنابراین برای گروه‌های حمایتی دولت ارزش بالایی دارند.

راه های مقابله با واکنش های منفی چیست؟

کارشناسان این حوزه به کاربران توصیه می کنند نرم افزار آنتی ویروس و ضد بدافزار را روی سیستم خود نصب کنند. آنتی ویروس مناسب برای امنیت دستگاه بسیار مهم و ضروری است اما کافی نیست و علاوه بر آن یک ضد بدافزار امن برای شناسایی برنامه های مخرب روی سیستم خود نصب کنید.

علاوه بر این، کاربران باید از نرم‌افزار متن‌باز استفاده کنند که معمولاً رایگان است، زیرا کد این برنامه‌ها در دسترس عموم است و برخی کارشناسان آن‌ها را بررسی می‌کنند تا ببینند درب پشتی یا کد مرجع آنها وجود دارد یا خیر. بنابراین Back Door به سمت برنامه هایی می رود که بسیار ساده تر و مناسب تر برای هک هستند.

انتهای پیام