هشدار مرکز افتا درباره آلوده شدن برخی ارگان‌های دولتی

هشدار مرکز افتا درباره آلوده شدن برخی ارگان‌های دولتی
تاریخ انتشار : ۰۱ اسفند ۱۴۰۰

بات‌نت (FritzFrog (P۲P، در دور جدید فعالیتش ۱۵۰۰ سرور متعلق به نهاد‌های بهداشتی، آموزشی و نیز بخش‌های دولتی را آلوده و به خطر انداخته است.

به گزارش گرداب و به نقل از مرکز مدیریت راهبردی افتا، بات نت Fritzfrog در پروسه آلوده ساختن سیستم‌های جدید و نیز اجرای فایل‌های مخرب، به قابلیت اشتراک‌گذاری فایل‌ها از طریق شبکه، متکی است.

این بات نت که برای توسعه آن از زبان Golang استفاده‌شده، پس از گذشت یک سال دوباره فعال شده و طی یک ماه موفق شده است که ۱۵۰۰ میزبان را آلوده کند. محققان شرکت Akamai در گزارشی اعلام کرده‌اند: بات‌ نت غیرمتمرکز هر سرور SSH اعم از موارد موجود در فضای ابری، سرورهای مرکز داده، روترها و غیره را هدف قرار می‌دهد و قابلیت اجرای هر بار مخربی را روی نودهای آلوده نیز خواهد داشت.

شرکت امنیت سایبری Akamai اعلام کرده که دستگاه‌های آلوده‌ای را در یک شبکه تلویزیونی اروپایی، یک شرکت روسی تولیدکننده تجهیزات مراقبت‌های بهداشتی و چندین دانشگاه در شرق آسیا شناسایی کرده است. موج جدید حملات این بات نت در اوایل دسامبر ۲۰۲۱ آغاز شد و در مدت یک ماه، افزایش ۱۰ برابری در نرخ آلودگی را به ثبت رسانده است و در ژانویه ۲۰۲۲ به ۵۰۰ حادثه در روز رسید.

ساختار (P2P) بات نت باعث انعطاف‌پذیری آن می‌شود، چراکه هر یک از دستگاه‌های آسیب‌دیده در شبکه می‌توانند به‌عنوان یک سرور فرمان و کنترل (C2) عمل کنند. علاوه بر این، ظهور مجدد بات نت با ویژگی‌های جدیدی به عملکرد آن، از جمله استفاده از شبکه پروکسی و هدف قرار دادن سرورهای WordPress همراه بوده است.

سایر ویژگی‌های جدید گنجانده‌شده در بدافزار شامل: استفاده از پروتکل کپی امن (SCP) برای کپی کردن خود به سرور راه دور، یک زنجیره پروکسی Tor به‌منظور پنهان کردن اتصالات SSH خروجی، زیرساختی برای ردیابی سرورهای WordPress برای حملات بعدی و یک مکانیسم لیست سیاه برای جلوگیری از آلوده کردن سیستم‌های ارزان‌قیمت است.

گنجاندن ویژگی SCP ممکن است اولین سرنخ را در مورد منشأ بدافزار ارائه دهد. Akamai در همین زمینه اشاره داشته است که این متن که در زبان برنامه‌نویسی Go نوشته‌شده است، توسط کاربری در شهر شانگهای چین در GitHub به اشتراک گذاشته‌شده است.

بخش دوم اطلاعاتی که این بدافزار را به چین مرتبط می‌کند از این واقعیت ناشی می‌شود که یکی از آدرس‌های کیف پول جدیدی که برای استخراج کریپتو استفاده می‌شود نیز به‌عنوان بخشی از کمپین بات‌نت Mozi استفاده شد که اپراتورهای آن در سپتامبر گذشته در چین دستگیر شدند.

بات نت FritzFrog اولین بار توسط guardicore در آگوست ۲۰۲۰ گزارش شد.