حمله بات‌نت به بخش‌های بهداشتی، آموزشی و دولتی

صدا و سیما شنبه 30 بهمن 1400 - 17:31

بات‌نت (FritzFrog (P۲P پس از گذشت یک سال دوباره فعال شده و سرور‌های متعلق به نهاد‌های بهداشتی، آموزشی و نیز بخش‌های دولتی را در یک ماه به خطر انداخته است.

حمله بات‌نت به بخش‌های بهداشتی، آموزشی و دولتی به گزارش خبرگزاری صدا و سیما؛ به نقل از مرکز مدیریت راهبردی افتا، این بات نت که برای توسعه آن از Golang استفاده‌ شده است، در یک ماه موفق شده است که ۱۵۰۰ میزبان را آلوده کند.
محققان Akamai در گزارشی که با The HACKER News به اشتراک گذاشته‌شده است، اعلام کرده‌اند: بات‌نت غیرمتمرکز هر سرور SSH اعم از موارد موجود در فضای ابری، سرور‌های مرکز داده، روتر‌ها و ... را هدف قرار می‌دهد و قابلیت اجرای هر بار مخربی را روی نود‌های آلوده نیز خواهد داشت.
بنابر این گزارش، موج جدید حملات در اوایل دسامبر ۲۰۲۱ آغاز شد، این حملات در یک ماه فعالیت افزایش ۱۰ برابری در نرخ آلودگی را به ثبت رسانده است و در ژانویه ۲۰۲۲ به ۵۰۰ حادثه در روز رسید.
شرکت امنیت سایبری Akamai اعلام کرده که دستگاه‌های آلوده‌ای را در یک شبکه تلویزیونی اروپایی، یک شرکت روسی تولیدکننده تجهیزات مراقبت‌های بهداشتی و چندین دانشگاه در شرق آسیا شناسایی کرده است.
بات نت FritzFrog اولین بار به دست guardicore در آگوست ۲۰۲۰ گزارش شد و توانایی این بات نت در حمله و آلوده کردن بیش از ۵۰۰ سرور در سراسر اروپا و ایالات‌متحده از ژانویه همان سال مشاهده شد. از سوی دیگر، تراکم زیادی از آلودگی‌های جدید در چین نیز مشاهده می‌شود.
یک محقق امنیتی به نام Ophir Harpaz در سال ۲۰۲۰ به این موضوع اشاره کرده است که:" Fritzfrog در فرایند آلوده کردن شبکه‌های جدید و نیز اجرای فایل‌های مخرب، مانند Monero crypto miner، به قابلیت اشتراک‌گذاری فایل‌ها از طریق شبکه، متکی است. "
ساختار (P۲P) بات نت باعث انعطاف‌پذیری آن می‌شود، چراکه هر یک از دستگاه‌های آسیب‌دیده در شبکه می‌توانند به‌عنوان یک سرور فرمان و کنترل (C۲) عمل کنند. علاوه بر این، ظهور مجدد بات نت با ویژگی‌های جدیدی به عملکرد آن، از جمله استفاده از شبکه پروکسی و هدف قرار دادن سرور‌های WordPress همراه بوده است.
زنجیره آلودگی از SSH شروع می‌شود سپس پیلود بدافزار drop شده و پس‌ازآن نیز دستورالعمل‌های دریافتی از سرور C۲ اجرا می‌شود که شامل دریافت فایل‌های اجرایی بدافزار و ارسال اطلاعات می‌شود.
FritzFrog به دلیل استفاده از پروتکل P۲P کاملاً اختصاصی است. درحالی‌که نسخه‌های قبلی در فرآیند‌های مخرب به نام ifconfig و nginx اجرا می‌شدند، نسخه‌های اخیر تلاش می‌کنند فعالیت‌های خود را با نام‌های "apache۲" و "php-fpm" پنهان کنند.
سایر ویژگی‌های جدید گنجانده شده در بدافزار شامل: استفاده از پروتکل کپی امن (SCP) برای کپی کردن خود به سرور راه دور، یک زنجیره پروکسی Tor به‌منظور پنهان کردن اتصالات SSH خروجی، زیرساختی برای ردیابی سرور‌های WordPress برای حملات بعدی و یک مکانیسم لیست سیاه برای جلوگیری از آلوده کردن سیستم‌های ارزان‌قیمت مانند دستگاه‌های Raspberry Pi. است.
گنجاندن ویژگی SCP ممکن است اولین سرنخ را در مورد منشأ بدافزار ارائه دهد. Akamai در همین زمینه اشاره داشته است که این متن که در زبان برنامه‌نویسی Go نوشته‌شده است، به دست کاربری در شهر شانگ‌های چین در GitHub به اشتراک گذاشته‌شده است.
بخش دوم اطلاعاتی که این بدافزار را به چین مرتبط می‌کند از این واقعیت ناشی می‌شود که یکی از نشانی‌های کیف پول جدیدی که برای استخراج کریپتو استفاده می‌شود نیز به‌عنوان بخشی از کمپین بات‌نت Mozi استفاده می‌شود که اپراتور‌های آن در سپتامبر گذشته در چین دستگیر شدند.