احمد باطبی
شرکت امنیتی «سوفوزلَبز» (SophosLabs) در گزارشی اعلام کرد در بررسی و تحلیل ویروسی تازه به نام «مارب ماینر» (MrbMiner) که با حمله به سرورهای میزبان پایگاه داده وبسایتها (SQL)، آنها را برای استخراج رمز ارز بهکار میگیرد، رد پایی از یک شرکت کوچک نرمافزاری در ایران به چشم میخورد.
ویروس رمزنگار ماربماینر که به تازگی کشف شده و در دستهبندی بدافزارهای خطرناک قرار گرفته است، پایگاه داده وبسایتها را برای «کریپتوجکرز»(Cryptojackers) و استخراج رمز ارز به بردگی میگیرد. سرورهای میزبان پایگاه داده به دلیل حساسیت خدمتی که ارایه میدهند، از سختافزارهایی با کیفیت و ظرفیت بالا بهره میبرند. به همین دلیل از نظر فنی بهترین گزینه برای مهاجمانی هستند که هدف آنها، استخراج ارز دیجیتال است. آنها با آلودهسازی این سرورها، توان پردازشی آنها را برای حل مسالههای ریاضی منتهی به استخراج ارزهای دیجیتال در کنترل خود میگیرند.
ویروس ماربماینر سال گذشته میلادی کشف و دوم سپتامبر همان سال، در یک گزارش تحلیلی از شرکت فناوری چینی «تنسنت» (Tencent)، از جمله غولهای امنیت سایبری، به صنعت سایبری معرفی شد. این بدافزار ابتدا با حمله به سرورهای «Microsoft SQL» (MSSQL) و نصب «Crypto-miner» بر روی آنها مورد توجه قرار گرفت.
تنسنت نام ماربماینر را برای این بدافزار انتخاب و مجموعهای از دامنههای اینترنتی که توسط این بدافزار مورد استفاده قرار میگرفت را به شکل عمومی منتشر کرد. این شرکت چینی گفته است ماربماینر با یک ربات برای یافتن سرورهای نوع MSSQL به اسکن فضای مجازی میپردازند و با استفاده از ضعفهای امنیتی، مانند ضعیف بودن رمزعبور، اقدام به نفوذ به آن میکنند. ابتدا بدافزار فایل اولیهای به نام «assm.exe» را از طریق دامنههای مربوطه بارگیری و سپس اقدام به ایجاد یک حساب «backdoor» با نام کاربری و رمزعبور پیشفرض «fg125kjnhn987» و «(re)boot persistence mechanism» را نیز برای نفوذهای آینده تثبیت میکند.
در مرحله آخر هم از طریق اتصال نوع فرمان و کنترل، برنامه مخصوص استخراج «Monero» (XMR) را نصب و با استفاده از برق و پردازشگر سرور قربانی، اقدام به استخراج رمز ارز میکند.
شرکت تنسنت آدرس کیف پول دیجیتال این بدافزار را نیز کشف کرده که حدود ۶۳۰ دلار امریکا ارز دیجیتال در آن ذخیره شده بود. این شرکت نسخهای از بدافزار مارب ماینر را نیز پیدا کرده است که برای سیستمهای مبتنی بر «لینوکس» طراحی و در کیف پول دیجیتال آن نیز حدود ۳۰۰ دلار امریکا پول اینترنتی ذخیره شده بود.
کیف پولهای دیجیتال نسخههای «ویندوز» و لینوکس این بدافزار به دامنههای «poolmrb.xyz»، «mrbpool.xyz» و «pool.supportxmr.com» متصل بودند.
تمام اطلاعات «WHOIS» دامنه «vihansoft.ir» و «mrb» با استفاده از سرویس «WhoisGuard» یک شرکت خصوصی که در کشور پاناما ثبت شده است، از دید عموم مخفی شدهاند.
اما بررسیهای تلهمتری (فناوری تخصصی برای اندازهگیری و انتقال اطلاعات) شرکت سوفزلبز نشان داد که این بدافزار فایل پیلودی به نام «sys.dll» را به همراه دارد که ظاهری مشابه فایلهای «DLL» ویندوز دارد. اما این فایل در حقیقت یک فایل فشرده با فرمت «ZIP» است که در آن تنظیمات رمزنگاری و شبکهای گسترده از آدرسهای اینترنتی مورد استفاده بدافزار قرار گرفته است.
محموله MrbMiner cryptojacking شامل یک درایو دستگاه در سطح هسته سیستم به نام «WinRing0x64.sys» و یک ماینر اجرایی به نام «Windows Update Service.exe» است که وظیفه پنهانسازی بدافزار از دید نرمافزارهای امنیتی سیتم قربانی را برعهده دارد.
به گفته شرکت سوفزلبز، این بدافزار، نسخه اصلاح شده بدافزار استخراج کننده «XMRig» بوده که بعد از توسعه به این شکل درآمده است.
درایو WinRing0x64.sys یک درایو سطح هسته است که نمونههایی از آن در مخزن وبسایت «گیتهاب» نیز وجود دارد. هکرها میتوانند از طریق این درایو و برنامههایی همچون «userland»، در حد «ring0-level» به رجیستری «CPU» سیستم دسترسی یابند و حتی امکان نوشتن و خواندن حافظه دستگاه را داشته باشند.
یکی از دامنههایی که در این بدافزار مورد استفاده قرار میگرفت، دامنهای بود تحت عنوان «vihansoft.ir» که یک فایل sys.dll از سرورها بر روی سایت قربانی بارگیری میشد. همچنین همین فایل در یک حساب کاربری در مخزن گیتهاب، به نام «فرزاد بهداد» قرار داشت که با سازوکاری مشابه، برای استقرار در سیستم هدف فراخوانی میشد.
علاوه بر این، دامنه «mrbfile.xyz» و سرور «افتیپی» با آیپی «145.239.225.15» نیز ازجمله پیوندهای مورد استفاده در این بدافزار بودند.
لیست زیر مجموعهای از فایلهای مخربی است که در شاخههای مختلفی از این پیوندها بارگذاری شدهاند و در این بدافزار مورد بهرهبرداری قرار میگرفتند.
- agentx.dll
- hostx.dll
- Windows Security Service.exe
- Windows Host Management.exe
- Install Windows Host.exe
- Installer Service.exe
- Microsoft Media Service.exe
- and (Linux) ELF
- linuxservice
- netvhost
شرکت سوفوزلبز گفته است در مواردی مشابه، هکرها همواره تلاش میکنند تا هویتشان از دیدها پنهان بماند. اما گردانندگان ماربماینر برعکس عمل کرده و باعث شدهاند منشاء این بدافزار که یک شرکت نرمافزاری کوچک در ایران است، شناسایی شود.
دامنه «vihansoft.ir» متعلق است به شرکت «وب طراحان ویهان» که در سال ۱۳۹۶ تاسیس شده و نشانی آن، تهران، «سهروردی شمالی»، خیابان «طاهری دوست»، کوچه ۲۵، کدپستی ۷۱۷۴۱۷۱۷۴۱، با مدیریت «فرزاد عسکری» است. این شرکت تا دو ماه پیش در زمینه برنامهنویسی و طراحی وبسایت، ارایه راهکارهای مبتنی بر فناوری اطلاعات و نیز ارایه خدمات آموزشی فعالیت میکرد. تمامی آدرسهای مربوط به این شرکت در اینترنت و شبکههای اجتماعی یک جا غیرفعال و یا از دسترس خارج شدهاند.
متخصصان شرکت سوفوزلبز از طریق وبسات «neshan.org» به جستوجو درباره صاحب دامنه vihansoft.ir پرداخته و نام مدیرعامل و شرکت صاحب این دامنه را یافتهاند. اما یافتههای آنها از وبسایت neshan.org، مشخصات و آدرس متفاوتی را در شهر شیراز نشان میدهد.
درماه نوامبر سال گذشته میلادی نیز اخباری از حمله باجافزاری هکرهای ایرانی به نقاط مختلفی از جهان منتشر شد. در آن دوره از حملات، چند شرکت اسرائیلی و ایتالیایی با باجافزار نوع «Pay2key» مورد حمله قرار گرفته بودند.
نهم نوامبر سال ۲۰۲۰، شرکت امریکایی-اسرائیلی «چک پوینت» (Checkpoint)، از جمله شرکتهای مطرح فعال در حوزه امنیت سایبری در گزارشی تحلیلی به حملات باجافزاری pay2key به شرکتهای اسرائیلی و شرکت «سواسکن» (Swascan) پرداخته و گفته بود باجگیران اینترنتی بین ۱۱۰ هزار تا ۱۴۰ هزار دلار «بیت کوین» یا پول اینترنتی از قربانیان درخواست کردهاند.
کارشناسان این شرکت برای کشف مسیر حرکت مبلغ پرداخت شده، از «والت اکسپلورر» ( WalletExplorer) بهره برده و ضمن تحلیل شناسه اجزای کیف اینترنتی دریافتکننده باج «00045af14c»، دریافتند که مقصد نهایی وجه دریافتی، وبسایت صرافی مجازی «اکسکوینو» در ایران است.
اگرچه بدافزار ماربماینر باجافزار محسوب نمیشود اما در دستهبندی کلان بدافزارهای اینترنتی، عملکرد آن در دستهبندی کلاهبرداریهای مالی و در کنار باجافزارهای اینترنتی قرار میگیرد.
مطالب مرتبط:
بیتکوین چیست؟ به قطع برق چه ربطی دارد؟ چینیها در ایران چه میکنند؟
مازوت، بیتکوین و بیبرقی؛ دردسرهای این روزهای مردم ایران
ما از بیتکوین سهم نمیخواهیم، فقط برقمان را قطع نکنید؛ خسارت خاموشیها به مشاغل
کشف ۲۲۱ دستگاه استخراج بیت کوین غیرمجاز در خوزستان
۵۰۰ دستگاه استخراج بیتکوین در شهرری کشف شد
قطع برق ۴ نهاد دولتی و ورود وزارت اطلاعات به استخراج بیتکوین
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر