احمد باطبی
از روزهای آغازین سال ۲۰۲۰ میلادی به این سو، بدافزاری ترکیبی که (ESET) نام «گلسمیوم» (Gelsemium) را برای آن انتخاب کرده، در کارزاری فراگیر بسیاری از مراکز دولتی، مذهبی، دانشگاهها و شرکتهای فعال در حوزه فناوری را در ایران، چین، ژاپن، مغولستان، تایوان، کره شمالی و کره جنوبی و چند کشور دیگر در خاورمیانه و شرق آسیا هدف قرار داده است.
بنا بر گزارش شرکت امنیتی سایبری «از فناوری ایمن لذت ببرید» ((ESET) Enjoy Safer Technology)، مستقر در کشور اسلواکی و تولیدکننده آنتی ویروس شناخته شده «نود۳۲» (Nod32)، رد پای بدافزار گلسمیوم به سال ۲۰۱۴ میلادی باز میگردد. اما به احتمال زیاد، پشت پرده کارزار تازه این بدافزار در خاورمیانه و آسیای شرقی، همان عواملی هستند که پیش از این حملات زنجیرهای موسوم به «نایتاسکات» (NightScout) را با استفاده از ضعف امنیتی محصولات «بیگنوکس» (BigNox) ترتیب داده بودند.
نایتاسکات، مجموعه حملههایی بود که در سراسر سال گذشته میلادی، از طریق محصولات شرکت بیگنوکس، با بیش از ۱۵۰ میلیون کاربر در ۱۵۰ کشور جهان صورت گرفت. در این حملهها، مهاجمان بدون انگیزه مالی و تنها به منظور رصد و گردآوری اطلاعات، از محصول «نوکسپلی» (NoxPlayer) یا شبیهساز اندروید که امکان بازیهای اندرویدی را برای کاربران سیستمعامل «مک» (Mac) فراهم میکند، بهره برده و به بانکها، وبسایتها و مراکز دولتی کره جنوبی، مغولستان و ویتنام حمله کردند.
در ماه سپتامبر سال ۲۰۲۰ مشخص شد که حملات نایتاسکات در حقیقت از طریق مکانیزم (API) محصولات بیگنوکس، و با استفاده از سه بدافزار صورت گرفته است. بدافزار اول برای ایجاد ارتباط با سرورهای فرمان و کنترل (C&C)، بدافزار دوم بدافزاری از نوع «کیلاگر» (keylogger) بنام «گوست رت» (Gh0st RAT) و بدافزاری سوم از خانواده (PoisonIvy RAT) که وظیفه تحویل اطلاعات سرقت شده را به مهاجمان برعهده دارد.
به گفته محققان (ESET)، قربانیانی که در نایتاسکات مورد حمله قرارگرفته بودند، اینبار نیز ازجمله قربانیان بدافزار گلسمیوم هستند. این شرکت در مقاله دیگری به نام «عملیات نایتاسکات، زنجیرهحملههایی به کاربران بازیهای آنلاین در آسیا» به شباهتهای این دو حمله و بدافزارهای به کارگرفته شده در آنها پرداخته است.
گلسمیوم از بخشهایی تشکیل شده که (ESET) نامهای (Gelsenicine)، (Gelsemine)، (Gelsevirine) را به آنها دادهاند؛ اما حالا محققان این شرکت امنیتی میگویند که در کارزار خاورمیانه و شرق آسیا، نسخه پیشرفتهتری از گلسمیوم کشف کردهاند که عمل جاسوسی و گردآوری اطلاعات را بسیار پیچیدهتر از نسخ قبلی انجام میدهد.
در نگاه اول، اجزای گلسمیوم ساده به نظر میرسد، اما این بدافزار دارای پیکربندی جامعی است که به صورت مرحله به مرحله پیادهسازی شده و به شکل نامفهوم و گیجکنندهای، تنظیمات لازم را برای به سرقت اطلاعات قربانی را فراهم میکند.
عملکرد این بدافزار در مرحله اول مانند یک قطرهچکان بزرگ است که در حالت معمول میتوانند قطرههایی از آلودگی را با حجم ۴۰۰ تا ۷۰۰ کیلوبایت را روی سیستم قربانی سرازیر کند. ساختار این قطرهچکان به زبان « سی پلاس پلاس» (C++) و با استفاده از کتابخانه (Microsoft Foundation Class library (MFC)) نوشته شده است. توسعهدهندگان گلسمیوم همچنین از کتابخانه (zlib) بهره بردهاند تا بتوانند درحد امکان، اندازههای کلان بخشهای مختلف این بدافزار ترکیبی را کوچکتر کنند. این ساختار بزرگ، علاوه بر پیچیدگی، بسیار انعطافپذیر است. به طوری که میتوانند عملیاتهای حساس روی هدف، ازجمله (bitness) ۳۲ و ۶۴ بیتی و یا (standard user vs. administrator) را به سادگی انجام دهد. تقریبا تمامی مراحل عملکرد این بدافزار فشردهسازی و به مرحله (Portable Executable (PE)) منتقل شده و در فضای آدرس حافظه، اجرایی میشود.
در بین سه بخش اصلی تشکیلدهنده گلسمیوم، (Gelsenicine) یک مهیاکننده یا (loader) محسوب میشود که وظیفهاش بارگیری (Gelsevirine) است. از این نوع فایل مهیاکننده، دو نسخه د ردیگر نسخ بدافزار گلسمیوم مشاهده شده که هردوی آنها در فایل DLL مشترک هستند. اما نحوه اجرای آنها با یکدیگر متفاوت است. در خصوص کاربرانی که دسترسی آنها به سیستم در حد مدیر کل است، (Gelsenicine) فایل (Gelsevirine) را در مسیر (C:\Windows\System32\spool\prtprocs\x64\winprint.dll) ویندوز رها میکند تا از طریق سرویس (spoolsv) مرحله بارگیری آغاز شده و امکان ویرایش و یا نگارش فایل در مسیر (%WINDIR%/system32) فراهم شود.
درخصوص کاربرانی که حد دسترسی آنها به کامپیوتر دسترسی استاندارد هست نیز، (Gelsemine) فایل (Gelsenicine) در مسیر (CommonAppData/Google/Chrome/Application/Library/chrome_elf.dll) رها میکند که نیازی به دسترسی مدیرکل ندارد.
(Gelsevirine) در حقیقت مرحله آخر این زنجیره نفوذ و آلودهسازی است که در اصلاح به آن (MainPlugin) گفته میشود. در نسخههای قدیمیتر این بدافزار، فایل اجرایی به جای فرمت (DLL) با فرمت (pdb) در مسیر (Z:\z_code\Q1\Client\Win32\Release\MainPlugin.pdb) پیادهسازی میشد. تا این مرحله، اگر مکانیزم دفاعی کامپیوتر و یا مدیران امنیتی شبکه متوجه نفوذ شده باشند، عملا عملیات آلودهسازی سیستم شکست خورده و خطری قربانی را تهدید نمیکند. چرا که عمل آلودهسازی نیازمند تنظیماتی است که پس از این مرحله توسط (Gelsenicine) انجام میشود. این تنظیمات شامل یک مرحله پیکربندی است، متشکل از رشتههایی به نام (controller_version) که به اعتقاد محققان (ESET)، از آن در نسخ قدیمی گلسمیوم نیز برای آلودهسازی سیستم قربانی استفاده شده است.
نتیجه به دست آمده از آزمایش بر روی ماژولهای گلسمیوم نیز نشان میدهد که از نظر ساختار و عملکرد شباهت فراوانی به ماژول ۳۲ و ۶۴ بیتی (OwlProxy) دارد. همچنین (Chrommme) نیز یکی از انواع شناسایی شده (درب پشتی) یا گرفتن دسترسی از سیستم قربانی، برای نفوذهای آینده است که در اکوسیستم بدافزار گلسمیوم دیده شده است.
پیش از این نیز درخصوص حملات گلسمیوم هشدارهایی داده میشد که از آن جمله میتوان به گزارش شرکت چینی (BeijingVenus Information SecurityTech., Inc.) در سال ۲۰۱۸ اشاره کرد. اما با فراگیر شدن تهدیدها در سال گذشته و امسال و اینکه هدف حملههای گلسمیوم، نه انگیزه مادی، بلکه جاسوسی و گردآوری اطلاعات است، بسیاری از محققان و صاحبنظران حوزه امنیت سایبری، گلسمیوم را فراتر از یک مجموعه بدافزار پیچیده، بلکه ازجمله گروههای موسوم به «ای پی تی» یا «تهدید پیشرفته مدام» میدانند که با جعبه ابزاری پیشرفته و خطرناک، نیاز دولتها را از بابت جاسوسی سایبری تامین میکنند. گروههای موسوم به (APT) یا (Advanced Persistent Threat) به تهدیدهای سایبری مستمری گفته میشود که معمولا از سوی هکرهای وابسته به حکومتها سازمان طراحی و اجرا میشود. این گروهها با علامت اختصاری «ای پی تی» و ارقام منتسب به آنها شناخته میشوند. بهعنوان مثال گروه «APT34» از جمله گروههای (APT) است که تحت حمایت رژیم حاکم بر ایران قرار داشته و اقدام به فعالیتهای مجرمانه میکند.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر