این یک باج افزار یا شاید پاک کننده دیسک است و یک هدف قابل توجه در اسرائیل است


پرچم ایران.

محققان می گویند آنها بدافزار پاک کننده دیسک بی سابقه ای را کشف کرده اند که خود را به عنوان باج افزار مخفی می کند و حملات مخرب به اهداف اسرائیلی را تشخیص می دهد.

Apostol ، همانطور که SentinelOne به عنوان محققان امنیتی بدافزار را صدا زد ، در ابتدا برای پاک کردن داده ها به کار گرفته شد ، اما احتمالاً به دلیل نقص منطقی در کد وی ، موفق به انجام این کار نشد. نام داخلی سازندگان به آن “wiper-action” بود. در نسخه بعدی ، این اشکال برطرف شد و بدافزار به طور کامل باج افزار از جمله گذاشتن یادداشت هایی را که قربانیان را مجبور به پرداخت دیه در ازای کلید رمزگشایی می کند ، بدست آورد.

پاک کردن خط

در پستی که روز سه شنبه منتشر شد ، محققان SentinelOne گفتند که آنها اطمینان دارند که بر اساس کد و سرورهای گزارش شده توسط Apostol ، بدافزار توسط یک گروه بی سابقه و مرتبط با دولت ایران استفاده می شود. در حالی که یک یادداشت باج افزار آنها دریافتند که Apostol علیه تأسیسات حیاتی در امارات متحده عربی استفاده شده است ، هدف اصلی اسرائیل بود.

این گزارش روز سه شنبه نوشت: “اثبات استفاده از باج افزار به عنوان ابزاری مخرب معمولاً دشوار است ، زیرا تعیین اهداف بازیگر برای تهدید دشوار است.” “تجزیه و تحلیل بدافزار Apostol بینشی نادر از این نوع حملات را ایجاد می کند ، و مرز مشخصی را بین آنچه که به عنوان بدافزار پاک کن آغاز شده و باج افزار کاملاً کاربردی ترسیم می کند ، ارائه می دهد.”

محققان گروه هکرهای تازه کشف شده را Agrius نامگذاری کرده اند. SentinelOne مشاهده کرد که این گروه ابتدا از Apostle به عنوان پاک کننده دیسک استفاده می کنند ، اگرچه نقص در بدافزار از این کار جلوگیری می کند ، به احتمال زیاد به دلیل خطای منطقی در کد آن. پس از آن Agrius روی Deadwood ، پاک کننده ای که قبلاً در سال 2019 علیه یک هدف در عربستان سعودی استفاده شده بود ، افتاد.

وقتی Agrius نسخه جدید Apostle را منتشر کرد ، این یک باج افزار تمام عیار بود.

در بیانیه روز سه شنبه آمده است: “ما معتقدیم که اجرای عملکرد رمزگذاری برای سرپوش گذاشتن بر هدف واقعی آن است – تخریب اطلاعات قربانیان.” “این پایان نامه توسط نسخه اولیه رسول پشتیبانی می شود ، که مهاجمان در داخل آن را” اقدام پاک کن “می نامند.

رسول با درب پشتی همپوشانی بزرگی از کد با نام IPSec Helper دارد که Agrius نیز از آن استفاده می کند. IPSec Helper تعدادی از دستورات مانند بارگیری و اجرای یک فایل اجرایی را که توسط سرور کنترل کننده مهاجم صادر می شود ، دریافت می کند. Apostle و IPSec Helper با .Net نوشته شده اند.

Agrius همچنین از پوسته های وب استفاده می کند تا مهاجمان بتوانند در یک شبکه آسیب دیده به پهلو حرکت کنند. برای پنهان کردن آدرس های IP خود ، اعضا از ProtonVPN استفاده می کنند.

میل به برف پاک کن ها

هکرهای تحت حمایت ایران قبلاً به پاک کننده های دیسک علاقه دارند. در سال 2012 ، بدافزارهای خود تکثیر شبکه آرامکو مستقر در عربستان سعودی ، بزرگترین صادر کننده نفت خام جهان را از هم پاشید و سرانجام هارددیسک های بیش از 30000 ایستگاه کاری را نابود کرد. بعداً محققان کرم برف پاک کن را به نام شمون شناسایی کردند و گفتند این کار ایران است.

در سال 2016 ، شمون دوباره در کارزاری ظاهر شد که تعدادی از سازمان های عربستان سعودی ، از جمله چندین سازمان دولتی را مورد حمله قرار داد. سه سال بعد ، محققان پاک کننده جدید ایرانی به نام ZeroCleare را کشف کردند.

رسول اولین پاک کننده ای نیست که به عنوان باج افزار مخفی شده است. کرم NotPetya ، کرم میلیاردها دلار خسارت در سراسر جهان ، همچنین خود را به عنوان یک باج افزار مخفی کرد تا اینکه محققان دریافتند که توسط هکرهای مورد حمایت دولت روسیه برای ایجاد بی ثباتی در اوکراین ایجاد شده است.

خوان اصلی اندیشه Guerrero-Saade ، محقق اصلی تهدید SentinelOne ، در مصاحبه ای گفت که بدافزارهایی مانند Apostle تعاملاتی را که اغلب بین مجرمان سایبری با انگیزه مالی و هکرهای دولت ملی رخ می دهد ، نشان می دهد.

وی گفت: “اکوسیستم تهدید همچنان ادامه دارد و مهاجمان برای دستیابی به اهداف خود تکنیک های مختلفی را توسعه می دهند.” “ما می بینیم که باندهای مجرمان اینترنتی از گروه های دارای دولت های ملی با منابع بهتر یاد می گیرند. به همین ترتیب ، گروه های دولت ملی از باندهای جنایتکار وام می گیرند – و بدون این که مشخص کنند آیا قربانیان در واقع در ازای دیه پرونده های خود را پس می دهند ، حملات تخریبی خود را تحت عنوان باج افزار مخفی می کنند. “


منبع: tarjome-news.ir

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>