هشدار مایکروسافت در مورد آسیب پذیری سیستم عامل های قدیمی شرکت آراپل

مایکروسافت بار دیگر هشداری جدی درباره‌ی حملات BlueKeep به سیستم‌های عامل‌ قدیمی منتشر کرد و کاربران را به نصب هرچه سریع‌تر پچ امنیتی فراخواند.

گروه تحقیقات امنیت مایکروسافت موسوم به Microsoft Defender ATP Research بیانیه‌ی جدیدی پیرامون حمله‌های وابسته با آسیب امنیتی BlueKeep منتشر کرد. مایکروسافت و NSA قبلا هشدارهایی را پیرامون آسیب‌پذیری مذکور منتشر و از احتمال سوءاستفاده از آن توسط مجرمان سایبری صحبت کرده بودند. اطلاعیه‌ی جدید ادعا می‌کند که یک کمپین معدن‌کاوی رمزارز با استفاده از BlueKeep به راه افتاده است که از همان ساختارهای قبلی C2 برای سوءاستفاده از منابع پردازشی قربانیان استفاده می‌کند.

مجرمان سایبری با سوءاستفاده از آسیب‌پذیری BlueKeep، کدهایی را بدون نیاز به تأیید مالک سیستم از راه دور اجرا می‌کنند. آن‌ها برای اجرای حمله‌های خود، سرویس Remore Desktop Service را در ویندوز ۷، ویندوز سرور ۲۰۰۸، ویندوز XP و ویندوز سرور ۲۰۰۸ R2 به کار می‌گیرند. آسیب‌پذیری مذکور در ماه مه سال جاری با یک پچ امنیتی از سوی مایکروسافت برطرف شد، اما هنوز سیستم‌‌های متعددی تحت تأثیر آن قرار دارند. با استفاده از آسیب‌پذیری موجود در سرویس مایکروسافت، می‌توان دسترسی کاملی به سیستم قربانی پیدا کرد و انواع عملیات از نصب برنامه تا تغییر یا پاک کردن فایل‌ها را در آن انجام داد.

کارشناسان خطر اصلی BlueKeep را در خاصیت توزیع آن می‌دانند. درواقع استفاده از آسیب‌پذیری مذکور بدون نیاز به هیچ دخالتی از سوی مالک کامپیوتر انجام می‌شود. هکر می‌تواند با استفاده از یک بدافزار، ماشین‌های ویندوزی آسیب‌پذیر موجود در اینترنت را شناسایی کرده و به آن‌ها حمله کند. تخمین‌های اخیر، احتمال آسیب‌پذیری ۷۰۰ هزار دستگاه ویندوزی موجود در اینترنت را بالا می‌دانند. به همین دلیل مایکروسافت مجددا تأکید می‌کند که کاربران، سیستم‌های عامل‌ خود را با آخرین پچ امنیتی به‌روزرسانی کنند.

کوین بیمونت، محقق امنیتی مستقلی است که در توییتر به خطر مجدد آسیب‌پذیری BlueKeep اشاره کرد. او برای بررسی بهره‌برداری مجرمان سایبری، سیستم‌‌هایی مجازی با آسیب‌پذیری مذکور را به شبکه‌ی اینترنت متصل کرد. در ماه‌های گذشته، فعالیت زیادی در سیستم‌های آسیب‌پذیر مجازی دیده نشد، اما اخیرا حمله‌هایی به آن‌ها انجام شده است که برخی از سیستم‌ها را از دسترس خارج کرد. همان‌طور که گفته شد، اکثر حمله‌ها با هدف سوءاستفاده از سیستم قربانی برای معدن‌کاوی رمزارز انجام شده‌اند.

بررسی‌های اخیر نشان می‌دهد که هیچ‌گونه نصب باج‌افزار یا بدافزار دیگر، به‌جز معدن‌کاوهای رمزارز با آسیب‌پذیری BlueKeep رخ نداده است. با این‌حال مایکروسافت هشدار می‌دهد که در آینده حمله‌های خطرناک‌تری از همین مسیر انجام خواهد شد. ردموندی‌ها در توییت هشدارآمیزی نوشتند: «آسیب‌پذیری BlueKeep احتمالا برای کاربردهای اثرگذارتر و مخرب‌تر از معدن‌کاوی رمزارز استفاده خواهد شد. درحال حاضر تنها معدن‌کاوهای رمزارز با استفاده از این آسیب‌پذیری نصب می‌شوند، اما ما نیز در ارتباط با خطرناک و بزرگ بودن BlueKeep با جامعه‌ی محققان امنیتی هم‌عقیده هستیم. هرچه سریع‌تر نسبت به نصب پچ امنیتی برای سرویس RDP اقدام کنید.»

گروه تحقیقات امنیتی مایکروسافت با انتشار بررسی‌های خود روی آسیب‌پذیری BlueKeep نوشت:

محققان امنیتی مایکروسافت پس از بررسی‌های متعدد روی سیگنال‌ها به این نتیجه رسیدند که کمپین معدن‌کاوری رمزارزی که در ماه سپتامبر شناسایی شد، از همان ابزارهایی C2 استفاده می‌کند که در کمپین BlueKeep Metasploit ماه اکتبر مورد سوءاستفاده قرار گرفته بود. در این اقدام‌ها، حمله‌هایی که منجر به ازکارافتادن سیستم‌ها نمی‌شدند نیز برای نصب معدن‌کاوهای بیت‌کوین صورت گرفته بودند.

درنتیجه‌ی یافته‌های بالا، می‌توان ادعا کرد که هکرهای مشترک، کمپبن‌های معدن‌کاوی مذکور را راه‌اندازی کرده‌اند. آن‌ها به‌صورت مداوم اقدام به انجام حمله‌هایی با هدف نصب معدن‌کاو رمزارز کرده و از آسیب‌پذیری BlueKeep برای اهداف خود استفاده کردند.

کوین بیمونت که به‌عنوان محقق مستقل، بررسی آسیب‌پذیری BlueKeep را انجام می‌داد،‌ تأیید کرد که تقریبا تمامی سیستم‌های آزمایشی مجازی‌اش تحت حمله‌ای با سوءاستفاده از BlueKeep بوده‌اند. او از محقق دیگری به‌نام مارکوس هاچینز درخواست کرد تا گزارش‌های ثبت‌شده در سیستم‌های قربانی را برای تحلیل بیشتر مطالعه کند. هاچینز قبلا در شکست کمپین‌های باج‌افزار واناکرای نقشی اساسی داشت. او نیز استفاده از سیستم‌های قربانی برای دانلود و نصب معدن‌کاو رمزارز را تأیید کرد.

معدن‌کاوهایی که در حمله‌های امنیتی نصب می‌شوند، از قدرت پرداشی دستگاه قربانی برای تولید رمزارز استفاده می‌کنند. چنین فعالیت‌هایی سرعت کامپیوتر هدف را کاهش داده و مصرف برق آن را افزایش می‌دهند. البته هیچ توقف عملکردی در آن‌ها گزارش نمی‌شود و اطلاعات و داده‌ها نیز دست‌نخورده باقی می‌مانند.

بررسی‌های هاچینز نشان می‌دهد که مجرم سایبری حمله‌های اخیر، اقدام به نصب کرم کامپیوتری با هدف آسیب زدن زنجیره‌ای به کامپیوترها نکرده است. درواقع او (یا آن‌ها) از فهرستی از آدرس‌های IP برای حمله‌ی گسترده به کامپیوترهای متعدد استفاده کرده تا دستگاه‌های آسیب‌پذیر را به‌صورت تصادفی شناسایی کند.

مجرم سایبری برای بهره‌برداری از کامپیوترهای پج‌نشده، از یک ابزار بررسی نفوذ امنیتی موسوم به Metasploit استفاده می‌کند. محققان امنیتی، ابزار مذکور را در ماه سپتامبر منتشر کردند تا سازمان‌ها با استفاده از آن، نفوذ یا عدم نفوذ با سوءاستفاده از BlueKeep را شناسایی کنند. Metasploit مانند شمشیری دولبه عمل کرد و امروز هکرها از آن سوءاستفاده می‌کنند. خوشبختانه این ابزار ساختار شناسایی خودکار ندارد و کاربر باید به‌صورت دستی اهداف مورد نظر را بررسی کند.

اخبار جدید ادعا می‌کنند که پس از انتشار تحلیل محققان امنیتی، حمله‌ی مجرمان سایبری متوقف شد. درواقع بیمونت در توییتر نوشت که حمله به سیستم‌‌های مجازی‌اش متوقف شده است. البته او در ادامه می‌گوید که حمله‌های جدی‌تر احتمالا در آینده‌ای نه‌چندان دور با سوءاستفاده از BlueKeep رخ خواهند داد:

مجرمان امروز دانش اجرای حمله به اهداف تصادفی را دارند و به‌مرور از آن استفاده می‌کنند. فعالیت اخیر، نگرانی زیادی به‌همراه ندارد، اما من حس می‌کنم که شرایط بدتر خواهد شد.