بنابر گزارش‌ها, این هکرها و مجرمان آنلاین در سراسر جهان برای لطمه زدن به صدها از هزاران کامپیوتر ویندوز آسیب پذیر در اینترنت اقدام به استفاده از ابزارهای هک متعلق به آژانس امنیت ملی امریکا کرده اند که در آخر هفته ی گذشته افشاء شد.

هفته‌ی گذشته, یک گروه سِرّی از هکرها که تحت عنوان دلالان سایه (Shadow Brokers) شناخته می‌شوند, یک مجموعه از ابزارهای هک کردن ویندوز را فاش کردند که ویندوز XP , ویندوز سرور ۲۰۰۳, ویندوز۷ و ۸ و ویندوز ۲۰۱۲ را مورد هدف قرار می‌دهد. بنا به گفته‌ی بعضی, این مجموعه متعلق به گروه اکوئیشن آژانس امنیت ملی آمریکا می‌باشد.

چه چیزی بدتر است؟ مایکروسافت سریعا وصله‌هایی برای تمام آسیب پذیری‌های به کار گرفته شده عرضه کرد و از این طریق تهدیدهای امنیتی را کم اهمیت جلوه داد اما به همان اندازه که سیستم‌های وصله نشده در خطر هستند, سیستم‌های پشتیبانی نشده نیز در معرض تهدیدهای امنیتی می‌باشند.

در چند روز گذشته، پژوهشگران امنیت چندگانه بررسی‌های اینترنتی فراوانی انجام داده‌اند و ده‌ها از هزاران کامپیوتر ویندوز را درجهان پیدا کرده اند که بهDoublePulsar  آلوده شده اند.

DoublePulsar که مظنون به جاسوسی برای آژانس امنیت ملی آمریکا می‌باشد, نتیجه‌ی یک ابزار رایگان است که برای استفاده همگان در GitHub عرضه شد.

محققان امنیت از شرکت سوئیسیِ Binary Edge یک بررسی اینترنتی انجام دادند و بیش از ۱۰۷۰۰۰ کامپیوتر با سیستم عامل ویندوز پیدا کردند که به DoublePulsar آلوده شده اند.

یک بررسی دیگر که توسط راب گراهام (Rob Graham) مدیر عامل اجرایی شرکت Errata Security انجام شده است, تقریبا ۴۱۰۰۰ دستگاه آلوده را پیدا کرده است، در حالیکه در پژوهش‌های محققان Below0Day بیش از ۳۰۰۰۰ دستگاه آلوده کشف شده که اکثریت آنان در آمریکا بوده‌اند.

DoublePulsar یک درب پشتی می‌باشد که برای تزریق و اجرای کدهای بدخواه در سیستم‌های آلوده استفاده می‌شود. این در پشتی با استفاده از کدهای مخرب EternalBlue نصب می‌شود که سرویس SMB اشتراک گذاری فایل بر روی ویندوز اکس پی مایکروسافت تا سرور ۲۰۰۸ R2 را مورد حمله قرار می‌دهد.

بنابراین برای به خطر انداختن یک دستگاه، آن سیستم باید یک ورژن آسیب پذیر از سیستم عامل ویندوز را همراه با یک سرویس SMB بدون محافظ در مقابل مهاجم اجرا کند.  هم DoublePulsar و هم EternalBlue مظنون به ابزارهای متعلق به گروه اکوئیشن هستند. در حال حاضر، این دو در دسترس هر هکر تازه کاری می تواند می‌باشد تا آن را دانلود کرده و علیه کامپیوترهای آسیب پذیر استفاده کنند.

پس از یک بار نصب، DoublePulsar از کامپیوترهای ربوده شده برای پخش کردن بدافزار، ارسال اسپم به کاربران آنلاین و شروع حملات سایبری بعدی به قربانی‌های دیگر استفاده می‌کند. برای مخفی ماندن، در پشتی بر روی کامپیوتر آلوده هیچ فایلی نمی‌نویسد و مانع باقی ماندن پس از راه اندازی مجدد کامپیوتر آلوده می‌شود.

در حالیکه مایکروسافت قبلا اکثر نقص‌های به کارگرفته شده در سیستم عامل های آلوده را تعمیر و وصله (پچ) کرده است، آنهایی که وصله نشده اند در برابر کدهای مخربی از جملهEternalBlue, EternalChampion, EternalSynergy, EternalRomance, EmeraldThread,  و EducatedScholar آسیب پذیر هستند.

علاوه بر این، سیستم‌هایی که هنوز از پلتفرم‌هایی استفاده می‌کنند که در حال پایان تولید می‌باشند مثل ویندوز اکس پی، ویندوز سرور ۲۰۰۳ و IIS 6.0 و دیگر به روز رسانی های امنیتی را دریافت نمی‌کنند نیز در برابر سواستفاده‌های غیر قابل کنترل، آسیب پذیر هستند.

از آنجایی که دانلود کردن دامپ فایل‌های Shadow Broker بررسی کردن اینترنت از طریق ابزارهایی که دوشنبه عرضه شد و پخش کردن کدهای مخرب هک کردن برای هکرها فقط چند ساعتی زمان می‌برد. پژوهشگران در انتظار کامپیوترهای آسیب پذیر و وصله نشده بیشتری هستند که در دام DoublePulsar می‌افتند.

پس از اینکه این خبر افشاء شد، مقامات رسمی مایکروسافت توضیحی منتشر کرد:

“ما در صحت گزارش ها شک داریم و در حال بررسی هستیم.”

ضمنا، به کاربران ویندوز که تا به حال آپدیت MS17-010 را نصب نکرده اند، شدیدا توصیه می‌شود که وصله‌ها را هرچه سریع تر دانلود کرده و به کار ببرند.

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *