هکرها برای گسترش نرم‌افزارهای مخرب از وردپرس و دراپ‌باکس استفاده می‌کنند

نوشته مرضیه فلاح 24 تير 1392

جاسوس‌های اینترنتی چین به دنبال کمپین جاسوسی کاملا علنی بر علیه نیویورک‌تایمز، سرویس دراپ باکس و وردپرس را هم به جمع حقه‌های جاسوسی‌شان اضافه کردند. Rich Barger افسر ارشد اطلاعاتی Cyber Squared اظهار کرد:  “این گروه که در جمع‌های امنیتی به گروه DNSCalc معروفند تقریبا در ۱۲ ماه گذاشته از سرویس به اشتراک‌گذاری دراپ باکس به عنوان مکانیسمی برای گسترش نرم‌افزارهای مخرب استفاده می‌کردند.” با اینکه این روش، منحصر‌ به فرد نیست اما تحت رادار بیشتر شرکت‌ها قرار گرفته است.

cybersecurity_cybercrime_danger-100034560-large.jpg

بارگر ادامه داد: “نمی‌گویم این اتفاق جدیدی است، اما این مسئله چیزی است که مردم  توجهی به آن ندارند و آن را نمی‌بینند. “

این باند بین ۲۰ گروه چینی شناسایی شده توسط شرکت امنیتی Mandiant قرار دارند که حملات سایبری خود را جهت دزدی اطلاعات علیه هدف‌های ویژه شروع می‌کنند. در این مورد، باند DNSCalc به دنبال جاسوسی درباره افراد و یا دولت‌های متصل به انجمن ملل آسیای جنوب شرقی بودند. ASEAN یک گروه غیردولتی است که نماینده منافع اقتصادی ده کشور آسیای جنوب شرقی است.

محاجمان از هیچ‌گونه ضعفی در وردپرس یا دراپ باکس استفاده نکرده‌اند. در عوض، آن‌ها حساب‌هایی ساخته و از سرویس‌های این حساب‌ها به عنوان زیرساخت استفاده نموده‌اند.

این باند یک فایل .ZIP را به عنوان فایلی مربوط به شورای کسب‌و‌کار ASEAN ایالات متحده روی دراپ باکس آپلود کرده و سپس برای افراد و آژانس‌های علاقمند به پیش‌نویس سیاست شورا پیام‌هایی ارسال کرد. Barger می‌گوید:  “پیش‌نویس موجود در این فایل، قانونی و معتبر بود”.

وقتی دریافت‌کنندگان فایل آن را از حالت ZIP خارج می‌کردند فایل دیگری با عنوان بیانیه شورای کسب‌و‌کار 2013 US-ASEAN درباره الویت‌های US-ASEAN در روابط بازرگانی و با فرمت scr. می‌دیدند. کلیک روی فایل، یک سند PDF را باز می‌کرد و در اینجا نرم‌افزار‌های مخرب از یک در پشتی، کامپیوتر میزبان را مورد حمله قرار می‌دادند.

به محض باز شدن فایل، نرم‌افزارهای مخرب خود را به بلاگی که توسط محاجمان در وردپرس ساخته شده بود می‌رساندند. این بلاگ حاوی آدرس آی‌پی و شماره پورت یک کامند است و سروری را که نرم‌افزار مخرب برای دانلود نرم‌افزارهای دیگر به آن وصل می‌شود را کنترل می‌کند.

دراپ باکس یک پروژه هاستینگ اوپن سورس مطلوب برای محاجمان است زیرا کارمندان بسیاری از شرکت‌ها از این سرویس استفاده می‌کنند. بارگر می‌گوید: “مردم به دراپ باکس اطمینان دارند”.

برای شرکت‌هایی که دراپ‌باکس را در لیست سرویس‌های مورد اطمینان‌شان دارند، ورورد نرم‌افزارهای مخرب از این سرویس توسط سیستم‌های پیشگیری از نفوذ قابل تشخیص نیست. به علاوه، ارتباط با یک بلاگ در وردپرس هم احتمالا تشخیص داده نخواهد شد، زیرا غیرعادی نیست کارمندی که به اینترنت دسترسی دارد به بلاگی در وردپرس سر بزند.

به طور کلی، هیچ نوع فناوری‌ای نمی‌تواند از چنین حمله‌ای جلوگیری کند. به گفته بارگر: “هیچ‌گونه دفاعی نمی‌توان کرد.”

وی معتقد است بهترین راه جلوگیری از چنین حملاتی این است که کارشناسان امنیتی وقتی شرکت‌هایشان مورد هدف قرار گرفتند، به اشتراک‌گذاری اطلاعات بپردازند تا دیگران بتوانند از خود دفاع کنند.

در حمله به نیویورک‌تایمز، هکرها در ماه سپتامبر سال ۲۰۱۲ میلادی به سسیستم روزنامه نفوذ کرده و چهار ماه به صورت مخفیانه و بدون ابنکه شناسایی شوند مشغول فعالیت بودند.

این حمله با انتشار یک مقاله پژوهشی درباره معاملات تجاری که چندین میلیارد دلار برای بستگان ون جیابائو، نخست وزیر چین به همراه داشته است، همراه بوده است.