ethernal blue
۵ اردیبهشت ۱۳۹۷

یک ابزار لو رفته از سازمان امنیت ملی آمریکا، که دنیا را هک کرد!

ethernal blue
 
" Eternal Blue" حدود یک سال پیش به بیرون درز کرد و از آن زمان بطور آشکار در حال خرابکاری بوده است. تیم‌های هکینگ "یک روسی نخبه"  (AN ELITE RUSSIAN) ، یک حمله تاریخی باج‌افزاری، یک گروه جاسوسی در خاورمیانه، و رمزگشاهای آنی، همگی یک نقطه اشتراک دارند. اگرچه نحوه کار و اهدافشان متفاوت است، همگی‌شان برای نفوذ به کامپیوترهای هدف و گسترش بدافزار در شبکه، با تکیه بر ابزار هک لو رفته از سازمان امنیت ملی آمریکا یعنی "Eternal Blue" کارشان را انجام داده‌اند. اگرچه کمتر از یک سال از عمومی شدن و لو رفتن Eternal Blue می‌گذرد، با این وجود میان هکرها بسیار محبوب واقع شده است. کرم ویندوزی Conficker در سال ۲۰۰۸ میلیونها کامپیوتر را آلوده ساخت، و در سال ۲۰۰۳ کرم اجرای کد از راه دور Welchia خسارات بسیاری به بار آورد. Eternal Blue نیز قطعا دنباله رو همین مسیر است، و نشانه‌ها حاکی از آن است که این بدافزار رفتنی نخواهد بود. با این حال حتی اگر رفتنی هم باشد، تحلیلگران امنیتی تغییر یافتن و متنوع ساختن آن توسط هکرها را خواهند دید. از آنجا که هکرها برنامه‌های کاربردی جدید و هوشمندانه‌ای توسعه می‌دهند و به سادگی متوجه می‌شوند که چقدر راحت می‌توان از آن برای توسعه کمک گرفت.
 
آدام مایرز، معاون اطلاعات در شرکت امنیتی " CrowdStrike" می‌گوید: زمانیکه یک وسیله کاملاً مجهز و توسعه یافته را گرفته و آن را در اختیار عموم قرار می‌دهید، فراگیری را در حد آن بالا می‌برید. پس از گذشت یک سال، هنوز سازمانهایی وجود دارند که توسط Eternal Blue مورد حمله قرار می‌گیرند، و رخنه امنیتی مربوطه را وصله نکرده‌اند. Eternal Blue نام یک آسیب‌پذیری نرم افزاری در سیستم عامل ویندوز مایکروسافت است، و همچنین نام یک اکسپلویت است که سازمان امنیت ملی آمریکا برای تجهیز این باگ ساخته است. در آوریل سال ۲۰۱۷ این اکسپلویت به بیرون درز کرد، که این بخشی از پنجمین انتشار ابزارهای سازمان امنیت ملی آمریکا توسط گروه مرموزی که لقب Shadow Brokers را دارند بود. بدیهی است که سازمان هرگز تصدیق نخواهد کرد که ساخت Eternal Blue کار آنها بوده، یا هر چیز دیگری که در انتشارهای گروه Shadow Brokers بود، اما گزارشهای متعددی اصل و منشاء آن را تایید می‌کنند، و حتی مایکروسافت بطور عمومی وجود آن را به سازمان امنیت ملی نسبت داده است. این ابزار از یک آسیب‌پذیری در بلاک پیام سرور ویندوز بهره می‌برد، یک پروتکل انتقال که به دستگاههای ویندوزی این امکان را می‌دهد که برای سرویس‌های راه دور و یا به اشتراک گذاشتن فایل‌ها و یا چاپگر با یکدیگر و یا با دستگاههای دیگر ارتباط برقرار کنند. در نحوه مدیریت بسته‌ها توسط بلاک پیام سرور، رخنه‌هایی وجود دارد که مهاجمان با دستکاری آنها، کدهای دلخواه خودشان را اجرا می‌کنند. زمانیکه به دستگاه موردنظر دسترسی یابند، می‌توانند در کل شبکه حضور داشته باشند. سال پیش در تاریخ ۱۴ مارس مایکروسافت وصله‌هایی برای Eternal Blue منتشر کرد. اما پذیرش به روز رسانی امنیتی کار سختی است، مخصوصاً زمانیکه در رابطه با شبکه‌های سازمانی باشد. Eternal Blue به مدت دو ماه مرکز حملات باج‌افزاری Wannacry بود که در نهایت سرنخ آن به هکرهای دولت کره شمالی رسید. سیستم عامل‌های XP و ویندوز سرور ۲۰۰۳ با وجود محبوبیت‌شان، مدت زیادی است که دیگر تحت پشتیبانی شرکت مایکروسافت نیستند. طی حمله‌ی واناکرای، مایکروسافت طی اقدامی بی سابقه، برای این سیستم عامل‌ها وصله امنیتی ارائه داد. پس از حمله واناکرای، مایکروسافت و شرکت‌های دیگری از سازمان امنیت ملی آمریکا به دلیل مخفی نگهداشتن آسیب پذیری Eternal Blue به مدت چندین سال، بجای افشای آن به منظور اصلاح و وصله کردن آن انتقاد کردند. برخی گزارشات تخمین زده‌اند که این سازمان به مدت حداقل ۵ سال از این آسیب پذیری Eternal Blue استفاده کرده، و تنها زمانیکه متوجه به سرقت رفتن آن شد، به مایکروسافت هشدار داد. Eternal Blue می‌تواند بهمراه دیگر اکسپلویت‌های این سازمان که توسط گروه شکنندگان سایه منتشر شده‌اند، مورد استفاده قرار گیرند. درپشتی هسته به نام DarkPulser که قابلیت نفوذ و مخفی ماندن در هسته قابل اعتماد یک کامپیوتر را دارد، نمونه‌ای از این اکسپلویت‌های منتشر شده است.
eternalblue
 

 

Eternal Blue ها همه کاره بودن و تطبیق پذیر بودن این ابزار باعث شده در بین هکرها محبوبیت ویژه پیدا کند. و از آنجا که Wannacry از خصوصیات Eternal Blue بهره می‌برد، بسیاری از مهاجمان از قبل می‌دانستند این اکسپلویت چه قابلیت‌هایی دارد. در روزهای ابتدایی انتشار گروه Shadow Brokers، تحلیلگران امنیتی اعلام ردند که عملگران مخربی را دیده‌اند که از Eternal Blue برای استخراج رمزهای عبور از مرورگرها استفاده می‌کنند، و ماینرهای مخرب رمزارز روی دستگاه‌های هدف نصب می‌کنند. جروم سکیورا، رهبر تحلیلگران اطلاعات بدافزاری در شرکت امنیتی MalwareBytes می‌گوید: Wannacry سروصدای عظیمی به پا کرد و در صدر تمامی اخبار قرار گرفت، زیرا باج افزار بود. اما پیش از آن مهاجمان از همان اکسپلویت Eternal Blue برای آلوده ساختن دستگاه‌های دیگر و اجرای ماینرها روی آنها استفاده کرده بودند. دستگاه‌های بسیار زیادی هر یک به نحوی مورد حمله قرار گرفته اند. حتی یک سال پس از آنکه شرکت مایکروسافت وصله امنیتی را منتشر کرد، مهاجمان هنوز برای هدف قراردادن قربانیان از اکسپلویت Eternal Blue بهره می‌برند. زیرا تا به امروز تعداد زیادی از دستگاهها در مقابل آن بی دفاع مانده‌اند. جیک ویلیامز بنیانگذار شرکت امنیتی Rendition Infosec که پیش‌تر در سازمان امنیت ملی آمریکا مشغول به کار بود، می‌گوید: Eternal Blue تا چندین سال بهترین ابزار برای مهاجمان خواهد بود.  بخصوص در شبکه‌های صنعتی و رخنه‌دار، وصله کردن این رخنه زمان زیادی می‌برد و دستگاهها از دست می‌روند. دستگاههای بسیاری با سیستم‌های عامل XP و ویندوز سرور ۲۰۰۳ وجود دارند که تا پیش از Eternal Blue، برای وصله امنیتی خطرات دیگر پشتیبانی نمی‌شدند. تا کنون Eternal Blue همانند ابزار استخراج رمز عبور Mimikatz، به یکی از ابزارهای معروف و همه‌گیر در جعبه‌ابزار همه‌ی هکرها تبدیل شده است. اما کاربردهای گسترده‌ی Eternal Blue اکنون بدین شکل مورد کنایه قرار می‌گیرد که یک ابزار جاسوسی فوق سری و پیچیده‌ی ایالات متحده اکنون بازیچه دست مردم شده است. این ابزار همچنین توسط گروهی از هکرهای دولت استفاده می‌شود، از حمله هکرهای حاضر در گروه Russia's Fancy Bear ، که سال گذشته از Eternal Blue در حملاتی برای بدست آوردن رمزهای عبور و دیگر اطلاعات حساس از شبکه‌های وای-فای هتل‌ها استفاده کردند. هنوز نمونه‌های جدیدی از بکار بردن Eternal Blue اتفاق می‌افتند. در ماه فوریه، هکرهای بیشتری از Eternal Blue برای نصب نرم‌افزار ماینر رمزارزها روی کامپیوترها و سرورهای قربانی استفاده کردند، و از آن برای اصلاح روش‌هایشان در جهت افزایش تاثیر و قابلیت اطمینان حملاتشان استفاده کردند. ویلیامز از شرکت Rendition Infosec همچنین میگوید: Eternal Blue برای بسیاری از مهاجمان ایده‌آل است، زیرا گزارشات بسیار کم و ردهای دیجیتال اندکی از خود به جا می‌گذارد. یک نرم افزار سوم شخص برای دیدن عملیات حمله و بهره برداری مورد نیاز است. ماه گذشته محققین امنیتی Symantec، یافته‌هایی درباره یک گروه هک ایرانی به نام "Chafer" منتشر کردند، که از Eternal Blue بعنوان بخشی از عملیات گسترده خود استفاده می‌کردند. سال گذشته Chafer به قربانیانی در سراسر خاورمیانه حمله کرده بود، و تمرکز آنها بر روی بخش‌های حمل و نقل، از جمله خطوط هوایی، خدمات هواپیمایی، شرکتهای فناوری صنایع و مخابرات بوده است. ویکرام تاکور مدیر فنی تیم واکنش امنیتی وبسایت Symantec می‌گوید: باور نکردنی است که چگونه یک ابزار که توسط سرویسهای اطلاعات بکار می‌رفته، حالا چگونه در اختیار عموم قرار گرفته و اینگونه وسیع توسط فعالان مخرب بکار برده می‌شود. این ابزار برای هکرها تنها وسیله‌ای است که وجود و گسترش آنها در شبکه را راحت‌تر می‌سازد. به علاوه آنها از این ابزار برای پیشگیری از شناسایی استفاده می‌کنند. بدین صورت برای ما سخت تر است که تعیین کنیم این مهاجمان در یک کشور یا در چندین کشور قرار دارند. سالهای زیادی طول می‌کشد تا کامپیوترهای کافی در مقابل Eternal Blue وصله امنیتی شوند و هکرها Eternal Blue را از لیست ابزارهای خود بازنشست کنند. تا کنون متخصصین امنیتی می‌دانند چگونه به دنبال آن بگردند، و هکرهای هوشمند نیز به شیوه‌های متفاوت و بیشتری از این اکسپلویت استفاده خواهند کرد. پیش از آنکه یک محقق شانس پیشگیری از گسترش Eternal Blue را بدست آورد، Wannacry با استفاده از Eternal Blue به کابوس حملات باج افزاری تبدیل شد. اگر تصور میکنید که Eternal Blue فاجعه است، با Mimikatz آشنا شوید، ابزار جادویی سرقت رمزعبور! وهمگی اینها تنها به یک درز ویرانگر گروه Shadow Brokers برمی‌گردد.

منابع

وب سایت www.wired.com