مایکروسافت مجددا درباره حملات آسیبپذیری BlueKeep هشدار داد
گروه تحقیقات امنیت مایکروسافت موسوم به Microsoft Defender ATP Research بیانیهی جدیدی پیرامون حملههای وابسته با آسیب امنیتی BlueKeep منتشر کرد. مایکروسافت و NSA قبلا هشدارهایی را پیرامون آسیبپذیری مذکور منتشر و از احتمال سوءاستفاده از آن توسط مجرمان سایبری صحبت کرده بودند. اطلاعیهی جدید ادعا میکند که یک کمپین معدنکاوی رمزارز با استفاده از BlueKeep به راه افتاده است که از همان ساختارهای قبلی C2 برای سوءاستفاده از منابع پردازشی قربانیان استفاده میکند.
مجرمان سایبری با سوءاستفاده از آسیبپذیری BlueKeep، کدهایی را بدون نیاز به تأیید مالک سیستم از راه دور اجرا میکنند. آنها برای اجرای حملههای خود، سرویس Remore Desktop Service را در ویندوز ۷، ویندوز سرور ۲۰۰۸، ویندوز XP و ویندوز سرور ۲۰۰۸ R2 به کار میگیرند. آسیبپذیری مذکور در ماه مه سال جاری با یک پچ امنیتی از سوی مایکروسافت برطرف شد، اما هنوز سیستمهای متعددی تحت تأثیر آن قرار دارند. با استفاده از آسیبپذیری موجود در سرویس مایکروسافت، میتوان دسترسی کاملی به سیستم قربانی پیدا کرد و انواع عملیات از نصب برنامه تا تغییر یا پاک کردن فایلها را در آن انجام داد.
کارشناسان خطر اصلی BlueKeep را در خاصیت توزیع آن میدانند. درواقع استفاده از آسیبپذیری مذکور بدون نیاز به هیچ دخالتی از سوی مالک کامپیوتر انجام میشود. هکر میتواند با استفاده از یک بدافزار، ماشینهای ویندوزی آسیبپذیر موجود در اینترنت را شناسایی کرده و به آنها حمله کند. تخمینهای اخیر، احتمال آسیبپذیری ۷۰۰ هزار دستگاه ویندوزی موجود در اینترنت را بالا میدانند. به همین دلیل مایکروسافت مجددا تأکید میکند که کاربران، سیستمهای عامل خود را با آخرین پچ امنیتی بهروزرسانی کنند.
کوین بیمونت، محقق امنیتی مستقلی است که در توییتر به خطر مجدد آسیبپذیری BlueKeep اشاره کرد. او برای بررسی بهرهبرداری مجرمان سایبری، سیستمهایی مجازی با آسیبپذیری مذکور را به شبکهی اینترنت متصل کرد. در ماههای گذشته، فعالیت زیادی در سیستمهای آسیبپذیر مجازی دیده نشد، اما اخیرا حملههایی به آنها انجام شده است که برخی از سیستمها را از دسترس خارج کرد. همانطور که گفته شد، اکثر حملهها با هدف سوءاستفاده از سیستم قربانی برای معدنکاوی رمزارز انجام شدهاند.
بررسیهای اخیر نشان میدهد که هیچگونه نصب باجافزار یا بدافزار دیگر، بهجز معدنکاوهای رمزارز با آسیبپذیری BlueKeep رخ نداده است. با اینحال مایکروسافت هشدار میدهد که در آینده حملههای خطرناکتری از همین مسیر انجام خواهد شد. ردموندیها در توییت هشدارآمیزی نوشتند: «آسیبپذیری BlueKeep احتمالا برای کاربردهای اثرگذارتر و مخربتر از معدنکاوی رمزارز استفاده خواهد شد. درحال حاضر تنها معدنکاوهای رمزارز با استفاده از این آسیبپذیری نصب میشوند، اما ما نیز در ارتباط با خطرناک و بزرگ بودن BlueKeep با جامعهی محققان امنیتی همعقیده هستیم. هرچه سریعتر نسبت به نصب پچ امنیتی برای سرویس RDP اقدام کنید.»
گروه تحقیقات امنیتی مایکروسافت با انتشار بررسیهای خود روی آسیبپذیری BlueKeep نوشت:
محققان امنیتی مایکروسافت پس از بررسیهای متعدد روی سیگنالها به این نتیجه رسیدند که کمپین معدنکاوری رمزارزی که در ماه سپتامبر شناسایی شد، از همان ابزارهایی C2 استفاده میکند که در کمپین BlueKeep Metasploit ماه اکتبر مورد سوءاستفاده قرار گرفته بود. در این اقدامها، حملههایی که منجر به ازکارافتادن سیستمها نمیشدند نیز برای نصب معدنکاوهای بیتکوین صورت گرفته بودند.درنتیجهی یافتههای بالا، میتوان ادعا کرد که هکرهای مشترک، کمپبنهای معدنکاوی مذکور را راهاندازی کردهاند. آنها بهصورت مداوم اقدام به انجام حملههایی با هدف نصب معدنکاو رمزارز کرده و از آسیبپذیری BlueKeep برای اهداف خود استفاده کردند.
کوین بیمونت که بهعنوان محقق مستقل، بررسی آسیبپذیری BlueKeep را انجام میداد، تأیید کرد که تقریبا تمامی سیستمهای آزمایشی مجازیاش تحت حملهای با سوءاستفاده از BlueKeep بودهاند. او از محقق دیگری بهنام مارکوس هاچینز درخواست کرد تا گزارشهای ثبتشده در سیستمهای قربانی را برای تحلیل بیشتر مطالعه کند. هاچینز قبلا در شکست کمپینهای باجافزار واناکرای نقشی اساسی داشت. او نیز استفاده از سیستمهای قربانی برای دانلود و نصب معدنکاو رمزارز را تأیید کرد.
معدنکاوهایی که در حملههای امنیتی نصب میشوند، از قدرت پرداشی دستگاه قربانی برای تولید رمزارز استفاده میکنند. چنین فعالیتهایی سرعت کامپیوتر هدف را کاهش داده و مصرف برق آن را افزایش میدهند. البته هیچ توقف عملکردی در آنها گزارش نمیشود و اطلاعات و دادهها نیز دستنخورده باقی میمانند.
حملههای آتی میتواند بسیار خطرناکتر از معدنکاوی رمزارز باشد
بررسیهای هاچینز نشان میدهد که مجرم سایبری حملههای اخیر، اقدام به نصب کرم کامپیوتری با هدف آسیب زدن زنجیرهای به کامپیوترها نکرده است. درواقع او (یا آنها) از فهرستی از آدرسهای IP برای حملهی گسترده به کامپیوترهای متعدد استفاده کرده تا دستگاههای آسیبپذیر را بهصورت تصادفی شناسایی کند.
مجرم سایبری برای بهرهبرداری از کامپیوترهای پجنشده، از یک ابزار بررسی نفوذ امنیتی موسوم به Metasploit استفاده میکند. محققان امنیتی، ابزار مذکور را در ماه سپتامبر منتشر کردند تا سازمانها با استفاده از آن، نفوذ یا عدم نفوذ با سوءاستفاده از BlueKeep را شناسایی کنند. Metasploit مانند شمشیری دولبه عمل کرد و امروز هکرها از آن سوءاستفاده میکنند. خوشبختانه این ابزار ساختار شناسایی خودکار ندارد و کاربر باید بهصورت دستی اهداف مورد نظر را بررسی کند.
اخبار جدید ادعا میکنند که پس از انتشار تحلیل محققان امنیتی، حملهی مجرمان سایبری متوقف شد. درواقع بیمونت در توییتر نوشت که حمله به سیستمهای مجازیاش متوقف شده است. البته او در ادامه میگوید که حملههای جدیتر احتمالا در آیندهای نهچندان دور با سوءاستفاده از BlueKeep رخ خواهند داد:
مجرمان امروز دانش اجرای حمله به اهداف تصادفی را دارند و بهمرور از آن استفاده میکنند. فعالیت اخیر، نگرانی زیادی بههمراه ندارد، اما من حس میکنم که شرایط بدتر خواهد شد.