۱۰ مرداد ۱۳۹۷

سوء استفاده‌ی هکرها از اعتبارنامه های به سرقت رفته ی D-Link در راستای امضای بدافزارها

به گزارش شرکت ESET ، یک گروه جاسوسی سایبری در حال سوءاستفاده از اعتبارنامه های امضای کد به سرقت رفته از شرکتهای تایوانی، برای توزیع بک‌دور خودشان هستند. در سالهای اخیر استفاده از بدافزارهای امضای دیجیتال شده، به منظور مخفی کردن اهداف مخرب رایج شده است. محققین امنیتی به تازگی یک گروه بدافزاری جدید را شناسایی کرده اند که از گواهی های دیجیتال معتبر به سرقت رفته مانند گواهی D-Link ، برای امضای بدافزارشان استفاده می کنند تا از این طریق آن را مانند برنامه های قانونی جلوه دهند  و امکان تشخیص آن بعنوان بدافزار توسط دستگاههای دیگر را کاهش دهند.

گواهی دیجیتال توسط یک سازمان قابل اعتماد صادر می شود، و برای امضای رمزنگاری شده ی برنامه های کاربردی کامپیوتر و نرم افزارها مورد استفاده قرار می گیرد. کامپیوتر برای اجرای این برنامه ها به گواهی دیجیتال آن اعتماد کرده و پیام اخطاری نشان نمی دهد.

 

از آنجا که نویسندگان بدافزار و هکرها همواره در جستجوی روشهای جدید عبور از تمهیدات امنیتی هستند، در سالهای اخیر به سو استفاده از گواهی های دیجیتال مورد اعتماد روی آورده اند.

به گفته محققین امنیتی شرکت ESET ، بنظر می رسد این گروه که ملقب به BlackTech هستند، بسیار ماهر بوده و تمرکز اصلی آنها روی مناطق آسیای شرقی –بخصوص تایوان- می باشد. اعتبارنامه های مذکور که D-Link و شرکت امنیتی “تغییر فناوری اطلاعات” به سرقت رفته اند، برای امضای بک‌دور Plead بکار برده شده‌اند.

برخی بر این باورند که شروع فعالیت بک‌دور Plead دست‌کم از سال ۲۰۱۲ بوده، و تمرکز آن غالباً روی اسناد محرمانه است. همچنین هدف اصلی آن سازمانهای دولتی و سازمان‌های خصوصی تایوان برآورد شده است.

بر طبق توضیحات ESET، اعتبارنامه ی D-Link برای امضای نرم افزار غیرمخرب D-Link و همچنین بدافزار Plead بکار برده شده بود، که همین امر گواهی برای به سرقت رفتن این اعتبارنامه است.

پس از اینکه D-Link از سوءاستفاده از اعتبارنامه اش مطلع شد، در سوم جولای آن را با یک اعتبارنامه ثانویه عوض کرد. این شرکت اذعان داشت که اکثر مشتریان آنها لزوماً تحت تأثیر این تغییر و لغو اعتبارنامه قرار نخواهند گرفت.

به گفته این شرکت، آنها تحت هدف یک گروه جاسوسی سایبری بسیار فعال قرار گرفته اند که این گروه از بدافزار PLEAD برای سرقت اسناد محرمانه از شرکت ها و سازمانها در شرق آسیا، بخصوص در تایوان، ژاپن و هنگ کنگ استفاده کرده‌اند.

طبق تحقیقات شرکت ESET ، شرکت “تغییر فناوری اطلاعات” که در تایوان نیز مستقر است، چهارم جولای اعتبارنامه ای که مورد سو استفاده واقع شده را لغو کرد. اما حتی پس از آن تاریخ نیز مهاجم از آن برای مقاصد مخرب استفاده کرده است. زیرا اکثر برنامه های آنتی ویروس حتی زمانیکه یک شرکت اعتبارنامه هایش را لغو می‌کند، قادر به تشخیص صلاحیت اعتبارنامه نیستند.

نمونه های این بدافزار امضا شده نیز شامل کدهای نامطلوب به منظور مبهم سازی هستند. اما همه آنها عمل یکسانی انجام می دهند: آنها برای دانلود ماژول نهایی بک‌دور Plead ، یا از یک سرور راه دور واکشی می کنند و یا کد رمزنگاری شده را از یک دیسک محلی باز می کنند.

 

این بدافزار می تواند رمزهای عبور را از مرورگرهای رایج وب مانند کروم، فایرفاکس و اینترنت اکسپلورر، و همچنین از برنامه Outlook مایکروسافت به سرقت ببرد.

به گفته شرکت امنیتی Trend Micro، بک‌دور Plead همچنین قادر است لیستی از درایوها، فرآیندها، پنجره‌های باز و فایل‌های موجود در سیستم  آلوده شده تهیه کند، Shell را از راه دور باز کند، فایلهایی را آپلود کند؛ از طریق ShellExecute API برنامه هایی را اجرا کند، و همچنین توانایی حذف فایلها را نیز دارد.

شرکت ESET سو استفاده از اعتبارنامه های دیجیتال را یکی از راههای مورد استفاده مجرمان سایبری برای پنهان سازی مقاصد مخرب‌شان معرفی کرده است. از آنجا که اعتبارنامه های به سرقت رفته، باعث می شوند بدافزار بتواند به شکل یک برنامه قانونی ظاهر شود، در نتیجه بدافزار شانس بیشتری برای دور زدن و عبور از تمهیدات امنیتی بدون ایجاد شک خواهد داشت.

البته استفاده از اعتبارنامه های امضای کد در بدافزارها، اقدام جدیدی نیست. کرم Stuxnet که در سال ۲۰۰۳ تأسیسات هسته‌ای ایران را هدف قرار داد، این نمونه بزرگی از انجام چنین اقداماتی توسط مجرمان بوده است. این کرم از اعتبارنامه های دیجیتال به سرقت رفته از شرکتهای معروف تایوانی در زمینه تکنولوژی مانند RealTek و JMicron برای حمله به زیرساختهای حیاتی استفاده میکرد.

 

مراجع

۱- Hackers Using Stolen D-Link Certificates for Malware Signing: https://www.securityweek.com/hackers-using-stolen-d-link-certificates-malware-signing
۲- Stolen D-Link Certificate Used to Digitally Sign Spying Malware: https://thehackernews.com/2018/07/digital-certificate-malware.html