سیمانتک گزارش داد:

نقص جاوا به مجرمان میدان داد

تاریخ انتشار : ۱۵ شهريور ۱۳۹۱

گروهی از سارقان دارایی‌های معنوی از نقص اخیر جاوا سوء استفاده کرده و شرکت‌هایی را در حوزه صنایع حیاتی، مانند صنایع دفاعی و تولید مواد شیمیایی، هدف قرار داده اند.

به گزارش گرداب به نقل از سازمان فناوری اطلاعات ایران، همزمان با اقدام اوراکل برای برطرف کردن نقص جاوا از طریق به روزرسانی اضطراری این نرم افزار، سیمانتک هشدار می‌دهد که حلقه‌ای از سارقان دارایی‌های معنوی استفاده از نقص مذکور را برای ربودن اسرار صنایع حیاتی آغاز کرده‌اند.

مسئولان سیمانتک در تاریخ 30 اوت اعلام کردند که گروهی از سارقان دارایی‌های معنوی از نقص اخیر جاوا سوء استفاده کرده و شرکت‌هایی را در حوزه صنایع حیاتی، مانند صنایع دفاعی و تولید مواد شیمیایی، هدف قرار داده اند.

این گروه که سیمانتک نام آن را "نیترو گنگ" (Nitro Gang) گذاشته، در ماه های ژوئیه تا سپتامبر 2011 حدود 60 شرکت را مورد حمله قرار داد، اما پس از آن سرعت فعالیتش کاهش یافت. گروه مذکور احتمالا همان گروهی است که در صدد حمله به یکی از مشتریان شرکت امنیت فایرآی (FireEye) بود و همین موضوع منجر به کشف نقاط ضعف جاوا شد، اما سیمانتک مدرکی برای این ارتباط ندارد.

به گفته "لیام اومورکو"، مدیر عملیات واکنش امنیتی سیمانتک، این گروه معمولا به مدت یک ماه بر روی یک شرکت متمرکز می‌شود، سد امنیتی شرکت را می‌شکند و اطلاعات مهم را می‌رباید.

او می‌گوید: «به نظر نمی‌رسد که این گروه انگیزه مالی داشته باشد و ظاهرا به دارایی‌های معنوی توجه دارد.»

از یک هفته پیش از این حملات راجع به احتمال حمله از طریق چند نقطه ضعف پیش‌تر ناشناخته جاوا پیش‌بینی‌هایی صورت گرفته بود.

فایرآی در تاریخ 24 اوت، اولین حمله را ردگیری کرد. تا 27 اوت دو ابزار شناخته ­شده حملات‌ متاسپلویت (Metasploit) که متخصصان امنیت از آن استفاده می‌کنند و کیت‌های بلک‌هول (Blackhole) که مورد استفاده مجرمان است‌ امکان نفوذ از طریق ضعف‌های مذکور را به امکانات نرم‌افزاری خود اضافه کرده بودند.

در اواسط هفته، یکی از شرکت‌های امنیتی اعلام کرد که در مورد این مشکل امنیتی به اوراکل هشدار داده بود و در تاریخ 30 اوت شرکت برای به روزرسانی اضطراری اقدام کرد.

نیتروگنگ، با استفاده از ضعف جاوا که در مورد تمام نسخه‌های جاوا7 جز نسخه آخر آن میسر است، توانست به جای ارسال فایل‌های ضمیمه به قربانیان مورد نظر، لینکی را به فایل آرشیو جاوا (JAR) ارسال کند.

اگر قربانی بدون به­ روزرسانی جاوا بر روی لینک مذکور کلیک کند، نسخه‌ای از ابزار کنترل از راه دور پویزن آیوی (Poison Ivy) بر روی کامپیوترش نصب می­ شود و کنترل سیستم را در دست می­ گیرد. در 28 ماه اوت فایرآی کشف کرد که سرورهای متعددی میزبانی فعالیت مذکور را به عهده دارند.

"عاطف مشتاق"، یکی از محققان این شرکت چنین گفت: «امروز صبح اولین نشانه‌های حمله تمام‌عیار را دیدیم. تاکنون شاهد حملات فعالانه چندین دامنه به سیستم‌ها از طریق این نقص بوده‌ایم و این تعداد به سرعت رو به افزایش است. پس از مشاهده قدرت این حملات، دیگر شک ندارم که میزان تلفات ظرف چند ساعت به هزاران خواهد رسید.»

تعدادی از شرکت‌های امنیتی شامل سوفوس (Sophos) و اِسِت (ESET) توصیه کرده‌اند که کاربران افزونه مرورگر جاوا را غیرفعال کنند یا این نرم‌افزار را از روی سیستم پاک کنند تا جلوی خطر حمله گرفته شود. گروه آمادگی اضطراری کامپیوتری ایالات متحده که تحت مدیریت دولت آمریکاست، فهرستی از روش های پاکسازی یا غیرفعال کردن جاوا را به کاربران و مدیران اعلام کرده است.

حملات مذکور با استفاده از لینک‌هایی صورت می‌گیرد که سرور آن‌ها در چین واقع است، اما سیمانتک هشدار داد که این سند می‌تواند جعلی باشد.