نفوذگران از در پشتی وارد می‌شوند

بنابر هشدار مرکز ماهر، سرویس‌دهندگان ارتباطات تلفنی در منطقه خاورمیانه هدف حملات ShroudedSnooper هستند که از یک در پشتی پنهان به نام HTTPSnoop استفاده می‌کند.

به گزارش افتانا، مرکز ماهر به تازگی اعلام کرده است سرویس‌دهندگان ارتباطات تلفنی در منطقه خاورمیانه هدف یک مجموعه حمله جدید به‌نام ShroudedSnooper هستند که از یک در پشتی پنهان به نام HTTPSnoop استفاده می‌کند.

Back Door یا در پشتی یک نوع نرم افزار مخرب یا یک ضعف امنیتی است که دسترسی هکرها را به سیستم کاربران میسر می‌کند. در این روش هکرها با دور زدن مکانیزم‌های امنیتی به صورت غیرمجاز به سیستم کاربران دسترسی پیدا می‌کنند به نحوی که کاربران حتی متوجه نفوذ هکرها نمی‌شوند چون که آنها در پس‌زمینه سیستم کاربران فعالیت می‌کنند و شناسایی آنها برای کاربران عادی کار سختی است.

Cisco Talos در یک گزارش اعلام کرده است HTTPSnoop یک بک‌دور ساده ولی موثر است که از تکنیک‌های نوآورانه برای تعامل با درایورها و دستگاه‌های هسته است که از HTTP استفاده می‌کند تا درخواست‌های ورودی برای URLهای خاص HTTP(S) را گوش کند و محتوای مرتبط را در دستگاه آلوده اجرا کند.

بخشی از ابزار کار تهاجمی این گروه نیز با نام PipeSnoop نامگذاری شده است که می‌تواند شل‌کد خودساخته‌ای از طریق یک لوله نام‌گذاری شده دریافت کرده و آن را در دستگاه آلوده اجرا کند. ShroudedSnooper از سرورهای قابل دسترسی اینترنتی استفاده می‌کند و HTTPSnoop را برای به‌دست آوردن دسترسی اولیه به محیط‌های هدف مستقر می‌کند.

هر دو نوع ابزار مخرب به‌عنوان اجزایی از برنامه Cortex XDR شبکه‌های Palo Alto Networks (CyveraConsole.exe) جلوه می‌کنند تا از تشخیص متخصصان امنیتی فرار کنند. گفته شده تا کنون سه نسخه مختلف از HTTPSnoop شناسایی شده است. این در پشتی از API های ویندوز سطح پایینی برای گوش دادن به درخواست‌های ورودی با الگوهای URL تعریف شده استفاده می‌کند. این الگوها سپس برای استخراج شل‌کد جهت اجرا در میزبان استفاده می‌شوند.

این URLهای HTTP به شبیه‌سازی URLهای مربوط به خدمات تبادل اطلاعات وب مایکروسافت، OfficeTrack و خدمات تخصیص مرتبط با یک شرکت ارتباطات شبیه‌سازی شده‌اند تا درخواست‌های مخرب به نظر درخواست‌های بی‌خطری بیایند. تحقیقات می‌گویند URL های HTTP مورد استفاده توسط HTTPSnoop به همراه اتصال به وب سرور معمولی ویندوز نشان می‌دهد که احتمالاً برای کار روی سرورهای اینترنتی و وب و همچنین سرورهای خدمات تبادل اطلاعات (EWS) طراحی شده است اما PipeSnoop با توجه به نامش احتمالاً برای عمل در داخل یک شرکت مورد تخریب استفاده می‌شود و به‌نظر می‌رسد برای دستگاه‌های مخرب با اولویت‌ها یا ارزش‌های بالاتر طراحی شده باشد.

PipeSnoop نمی‌تواند به‌عنوان یک ابزار مخرب مستقل کار کند و به یک جزء کمکی نیاز دارد که به‌عنوان یک سرور عمل کرده و شل‌کد را از طریق روش‌های دیگر دریافت کند و از طریق لوله نام‌گذاری شده آن را به درب پشتی منتقل کند. حمله به بخش مخابرات، به‌ویژه در منطقه خاورمیانه، در سال‌های اخیر به یک الگو تبدیل شده است.

در ژانویه ۲۰۲۱، ClearSky یک سری حملاتی را کشف کرد که توسط Lebanese Cedar اجرا شده بود و به اپراتورهای مخابراتی در ایالات متحده، انگلستان و منطقه خاورمیانه هدف می‌گرفت.

محققان Talos می‌گویند سازمان‌های مخابراتی دید کاملی از ترافیک اینترنتی را دارند، هم در بخش خدمات خرده‌فروشی و هم در بخش‌های مرتبط با شرکت‌ها. علاوه بر این، بیشتر زیرساخت‌های مخابراتی از شبکه‌های مهمی تشکیل شده‌اند که برای برقراری اتصالات داخلی و خارجی اساسی هستند و به همین دلیل ارزش بسیاری برای گروه‌های حمایتی دولتی دارند.

کارشناسان توصیه می‌کنند کاربران حتما نرم افزارهای آنتی‌ویروس و ضد بدافزار را روی سیستم خود نصب داشته باشید. آنتی ویروس مناسب برای امنیت دستگاه خیلی مهم و ضروری است ولی کافی نیست و در کنار آن یک Anti Malware امن را هم برای شناسایی اپلیکیشن‌های مخرب روی سیستم تان نصب کنید. همچنین کاربران از نرم‌افزارهای متن‌باز یا Open Source که معمولاً رایگان هم هستند استفاده کنند، چون که کد این برنامه‌ها در دسترس عموم هست و عده‌ای متخصص آن‌ها را بررسی می‌کنند که آیا Back Door یا درپشتی یا کد مرجع آن‌ها وجود دارد یا خیر؛ پس Back Door یا درپشتی به سراغ اپلیکیشن‌هایی می‌رود که خیلی راحتر و مناسب‌تر برای هک هستند.