متخصصین کسپرسکی طی بررسی‌شان روی بدافزار  WinDealer توسط گروه APT به نام LuoYu دریافتند که مهاجمین ظاهراً از روش حمله «شخص کناری[1]» استفاده کرده و از قضا موفق شده‌اند هم آن را برای ارسال بدافزار استفاده کنند و هم برای کنترل کامپیوترهای از قبل آلوده‌شده. با ما همراه بمانید.

حمله شخص کناری چیست و چطور عاملین WinDealer از آن استفاده می‌کنند؟

حمله شخص کناری بدان معناست که مهاجم یک‌جورهایی کنترل کانال ارتباطی را که به او اجازه می‌دهد ترافیک را خوانده و پیام‌های دلخواه را به تبادل عادی داده تزریق کند. بگذارید مثالی بزنیم: مهاجمین ممکن است از نرم‌افزاری کاملاً قانونی درخواست آپدیت را رهگیری کنند و فایل آپدیت را با نرم‌افزار مسلح جایگزین. ظاهراً  WinDealer اینگونه توزیع شده است. ترفند مشابه توسط عاملین شرور برای صدور فرمان‌ها به بدافزار روی کامپیوتر آلوده نیز به کار گرفته می‌شود. برای اینکه محققین سخت‌تر بتوانند سرور C&C را پیدا کنند، بدافزار آدرس دقیق خود را نمی‌گذارد. در عوض سعی دارد از دامنه‌ای مشخص به آدرس آی‌پی رندومی دسترسی پیدا کند.مهاجمین سپس درخواست را رهگیری کرده و بدان پاسخ می‌دهند. در برخی موارد دیده شده است که WinDealer تلاش داشته به آدرسی دست پیدا کند که اصلاً نمی‌توانسته وجود داشته باشد اما به لطف متود شخص کناری هنوز پاسخ دریافت می‌کند. به نقل از متخصصین ما، مهاجمین برای استفاده موفقیت‌آمیزِ این ترفند باید دسترسی دائم به روترهای کل زیرمجموعه داشته باشند؛ یا به یک سری ابزارهای پیشرفته در سطح ارائه‌دهنده سرویس.

هدف‌های WinDealer کدامند؟

اکثریت قریب به اتفاق آن‌ها در چین هستند: سازمان‌های سیاسی خارجی، اعضای جامعه دانشگاهی یا شرکت‌هایی فعال در حوزه مخابرات، امور دفاعی یا لاجیستیک. با این حال برخی‌اوقات گروه  LuoYu APT نیز تارگت‌های سایر کشورها را نیز آلوده می‌کند: آلمان، ارتیش، آمریکا، جمهوری چک و هند. در همین ماه‌های اخیر همچنین به سایر کشورهای آسیای شرقی و شاخه‌های چینی آن‌ها نیز علاقه نشان داده‌اند

 WinDealer قادر به انجام چه کارهایی است؟

تحلیل فنی مشروحِ هم خود بدافزار و هم مکانیزم ارسال آن در بلاگ سکیورلیست موجود است. اما در اینجا بسنده می‌کنیم به قابلیت‌های اجمالی این جاسوس‌افزار مدرن. WinDealer قادر است:

• فایل‌ها و فایل سیستم را دستکاری کند (فایل‌ها را باز کرده، نوشته یا حذف کند، در مورد دایرکتوری‌ها و دیسک داده جمع کند)
• در مورد سخت‌افزار ، تنظیمات شبکه، فرآیندها، طراحی کیبورد، اپ‌های نصب‌شده اطلاعات جمع‌آوری کند.
• فایل‌های دلخواه را دانلود و آپلود کند.
• فرمان‌های دلخواه اجرا کند.
• فایل‌های متنی و داکیومنت‌های مایکروسافت آفیس را بگردد.
• اسکرین‌شات بگیرد.
• شبکه لوکال را اسکن کند.
• عملکرد بک‌در را پشتیبانی دهد.
• داده‌های مربوط به شبکه‌های وای‌فای قابل‌دسترس را (دست کم در یکی از انواع متغیر بدافزار یافت‌شده توسط متخصصین ما) جمع‌آوری کند.

راهکارهای امنیتی

متأسفانه مقابله با حمله شخص کناری در سطح شبکه‌ای کار بسیار سختی است. به لحاظ تئوری یک کانکشن وی‌پی‌ان دائم شاید کارساز باشد اما همیشه هم چنین کانکشنی موجود نیست. بنابراین برای جلوگیری از آلودگی جاسوس‌افزار لازم است هر دستگاه متصل به اینترنت به یک راهکار امنیتی مطمئن نیز تجهیز شود. افزون بر این راهکارهای کلاس EDR نیز می‌توانند در شناسایی ناهنجاری‌ها کمک‌کننده باشند و حمله را در مرحله اول متوقف سازند.

[1] man-on-the-side، حمله شخص کناری گونه‌ای حمله سایبری فعالانه، همانند حمله مرد میانی است. در حمله مرد میانی، گره (شبکه) به طور کامل کنترل می‌شود. اما در حمله شخص کناری، حمله‌کننده، تنها به طور منظم به کانال مخابراتی، دسترسی دارد که به او اجازه می‌دهد ترافیک شبکه را بخواند و پیام‌های تازه‌ای وارد شبکه کند اما نمی‌تواند پیام‌های دیگران را تغییر دهد یا پاک کند.