افزونه های بدافزار BlackEnergy شایع است

افزونه های بدافزار BlackEnergy شایع است

تحقیقات جهانی کسپرسکی & تیم تجزیه و تحلیل هفته گذشته گزارشی جالب در رابطه با ابزار جاسوسی سایبر BlackEnergy منتشر کرد.

اولین بار که چند سال پیش مشخص شد ، هدف اصلی BlackEnergy اجرای حملات DDoS از طریق افزونه های سفارشی آن بود. با توجه به زمان ، محققان کسپرسکی کورت باومگارتنر و ماریا گارناوا گفتند که با گذشت زمان ، BlackEnergy2 و BlackEnergy3 تکامل یافتند و سرانجام مشاهده شد که افزونه های سفارشی دیگری را که برای اجرای اسپم و برداشت اطلاعات بانکی آنلاین استفاده می شد ، بارگیری می کنند. اخیراً ، این بدافزار توسط تیم Sandworm پذیرفته شده است ، گروهی که به جاسوسی سایبر از جمله هدف قرار دادن سیستم های صنعتی SCADA مرتبط هستند..

گزارش کسپرسکی دو قربانی ناشناس BlackEnergy را که در تابستان سال 2014 مورد حمله قرار گرفتند ، شرح داد:

اولین نیزه نیز با ایمیلی حاوی یک سوءاستفاده از WinRAR تهیه شد. سپس پرونده اجرایی پنهان افزونه های مختلف BlackEnergy را رها کرد.

قربانی دوم با استفاده از گواهینامه های VPN سرقت شده قبلی قربانی هک شد ، که منجر به از بین رفتن برخی از داده های تجاری شد و هر کسی که به قربانی شماره دو حمله کرد ، از کاسپرسکی به بهترین وجه خوشحال نبود ، زیرا آنها پیام زیر را با یک اسکریپت tcl نوشتند - "Fuck U، kaspeRsky !! هرگز یک En3rgy سیاه تازه دریافت نکنید. "

سهولت روترهای Cisco این شرکت که همگی نسخه های مختلف IOS را اجرا می کردند به خطر افتادند مورد استقبال هکرها قرار گرفت اما اسکریپت نویس با بیان "Thanks C1sco ltd for backd00rs داخلی & 0 روز. "

اخیراً وبلاگ خود را از iSIGHT Partners جزئیات آسیب پذیری صفر روز ویندوز (CVE-2014-4114) را منتشر کرده است که بر تمامی نسخه های مایکروسافت ویندوز و سرور 2008 و 2012 تأثیر گذاشته است. ناتو ، سازمانهای دولتی اوکراین ، دولتهای اروپای غربی ، بخش انرژی در لهستان ، شرکتهای مخابراتی اروپایی و موسسات دانشگاهی در آمریکا. iSIGHT آن کارزار را به روسیه نسبت داد.

طبق گفته وزارت امنیت داخلی ایالات متحده ، BlackEnergy از سال 2011 در رایانه های اصلی ایالات متحده مخفی شده است و قرار است با زیرساخت های مهم ویران شود. ABC News می گوید منابع امنیت ملی آمریكا ادعا كرده اند كه دارای مداركی هستند كه همچنین انگشت محكم سرزنش را در جهت روسیه نشان می دهد ، و این نشان می دهد كه تیم Sandworm ممکن است در واقع حامی دولت باشد..

به عنوان یک شرکت روسی ، شگفت آور است که بدانید محققان کسپرسکی از شناسایی مادر روسیه به عنوان مجرم در حملات مختلف BlackEnergy ، متوقف شده اند ، هرچند که این امر عادلانه است ، آنها کشف کردند که یکی از "دستورات DDoS برای این روترها" بود. 188.128.123.52 که به گفته آنها ، متعلق به وزارت دفاع روسیه است. "آدرس IP دیگری که توسط باومگارتنر و گارناوا مشخص شد - 212.175.109.10 - متعلق به سایت دولت وزارت کشور ترکیه است. به گفته آنها ، این دو اکتشاف ، مشخص نیست که چه کسی در پشت حملات است.

تحقیقات Baumgartner و Garnaeva همچنین نشان می دهد که چگونه گسترش افزونه ها برای BlackEnergy به این طیف گسترده ای از قابلیت ها را داده است. اینها شامل یک ابزار DDoS است که به طور اختصاصی برای سیستم های ARM / MIPS ساخته شده است ، امکان پاک کردن درایوها و یا ارسال آنها به صورت غیرقابل کنترل و انواع افزونه های اسکن پورت و سرقت گواهی و همچنین یک کانال ارتباطی پشتیبان در قالب حساب های Google Plus که می توان برای بارگیری داده های فرمان و کنترل مبهم از یک پرونده تصویری PNG رمزگذاری شده استفاده کرد. محققان گفتند که افزونه ‘grc مورد استفاده در این مثال برای حاوی آدرس جدید فرمان و كنترل طراحی شده است ، اما آنها مشاهده نمی كنند كه یك مورد استفاده قرار می گیرد.

نکته جالب دیگری که در گزارش کسپرسکی به آن اشاره شد ، این واقعیت بود که برخی از افزونه ها برای جمع آوری اطلاعات سخت افزاری در سیستم های آلوده از جمله داده های مادربرد ، اطلاعات پردازنده و نسخه BIOS به کار رفته طراحی شده اند. سایر افزونه ها اطلاعات مربوط به دستگاه های USB متصل را جمع آوری می کردند و محققان را به این نتیجه می رساندند که سایر پلاگین های هنوز ناشناس ممکن است براساس اطلاعاتی که به مرکز فرمان و کنترل ارسال می شود ، برای خسارت بیشتر استفاده کنند..

افزونه های بدافزار BlackEnergy شایع است
admin Author
Sorry! The Author has not filled his profile.