در چند روز گذشته دنیای امنیت و به ویژه فضای سایبری تحت تاثیر یکی از خطرناکترین باجافزارهای ممکن قرار گرفت. باجافزاری که ضمن قفل کردن فایلهای کاربران این پتانسیل را داشت تا همانند یک کرم اینترنتی رفتار کرده و خود را تکثیر کند. اما اسنادی که به تازگی منتشر شدهاند حکایت از این موضوع دارند که در آینده نزدیک ممکن است با گونههای دیگری از بدافزارها روبرو شویم.
در حالی که سوییچ مرگ موفق شد، در یک بازه زمانی کوتاه مانع آلوده شدن کاربران شود، اما این پتانسیل را نداشت تا از گسترش این باجافزار ممانعت به عمل آورده و مهمتر از آن موفق نشد دامنه فعالیتهای مخرب این باجافزار را بهطور کامل متوقف کند. هکرها با یک تغییر نام ساده دامنه موفق شدند یکبار دیگر فعالیت خود را از سر گرفته و بر پایه جدیدترین گزارش نزدیک به 200 هزار سامانه کامپیوتری را در 150 کشور جهان آلوده سازند. حال تصور کنید از این تعداد سامانه آلوده تنها یک سوم از آنها حاضر شوند باج مربوطه را پرداخت کنند. سود به دست آمده انگیزه لازم را در اختیار هکرها قرار میدهد تا به شکل جدیتری به کار خود ادامه دهند.
اما به تازگی جزییات مربوط به دو ابزار نفوذ قدرتمند از سوی یک مرکز افشاکننده اسناد بهطور عمومی منتشر شده است. ابزارهایی که آژانسهای دولتی ایالات متحده برای نفوذ به سامانههای کامپیوتری ویندوزی از آنها استفاده میکردند. این دو ابزار به نامهای پس از نیمه شب (Aftermidnight) و قاتل (Assassin) به منظور نفوذ به سیستمعامل ویندوز مورد استفاده قرار میگرفتند. ابزار اول AfterMidnight به شکل یک فایل Dll مورد استفاده قرار میگیرد و همانند یکی از سرویسهای سیستمعامل ویندوز روی سامانه قربانی اجرا میشود. این سرویس مجهز به بار دادهای موسوم به Gremlins است که قادر است به شکل پنهانی دادهها را از سیستم قربانی استخراج کرده، قابلیتهای سرویس موردنظر را غیرفعال کرده و سرویسهای داخلی دیگری را برای بارداده Gremlins پیکربندی کند. هکرها از طریق بارداده دیگری موسوم به AlphaGremlin این توانایی را دارند تا برای سرویس Aftermidnight یک زمانبندی را تعیین کرده تا در زمان مشخصی فعالیتهای موردنظر را روی سامانه قربانی اجرا کند.
ابزار دوم موسوم به Assassin از رویکرد مشابهی استفاده میکند و به هکرها اجازه میدهد روی سامانه قربانی وظایف مختلفی را اجرا کنند. از جمله این وظایف مخرب میتوان به دانلود و اجرای فایلهای اجرایی، جمعآوری گزارشی از فعالیتهای انجام شده و حذف فایلهای اجرایی اشاره کرد. هر دو ابزار فوق دستورات مورد نظر خود را از سرورهای کنترل و فرماندهی دریافت میکنند. اما جزییات منتشر شده محدود به دو ابزار فوق نمیشود. اکنون هکرها به جزییاتی در ارتباط با حمله مرد میانی در سطح شبکههای LAN، نفوذ به تلویزیونهای هوشمند، تکنیکهایی که مانع از شناسایی دقیق محل هکرها شده و ابزارهایی که برای تولید بدافزارهای خاص مورد استفاده قرار میگیرند دسترسی دارند.
در حالی که در اسناد منتشر شده جزییات کاملا دقیق و ریز به تصویر کشیده نشدهاند، با این وجود باجافزار WannaCry نشان داد که هکرها با کوچکترین اشارهای قادر هستند از این ابزارها استفاده کنند. ابزارهایی که عمدتا بر پایه آسیبپذیریهای موجود در سیستمعامل ویندوز مورد استفاده قرار میگیرند. اگر جزییات مربوط به رخنههایی که از سوی آژانسهای دولتی مورد استفاده قرار میگیرند، به صورت آنلاین منتشر شوند، آنگاه پیامدهای مخرب سنگینی بر جای خواهند گذاشت که باجافزار گریه نمونهای از این موارد است.
سیسکو نیز یک آسیبپذیری بحرانی را در سوییچهای خود وصله کرد
در همین ارتباط شرکت سیسکو نیز موفق شد یک آسیبپذیری بحرانی را در سوییچهای خود ترمیم کند. این آسیبپذیری نیز از سوی آژانسهای دولتی مورد استفاده قرار میگرفت. در حالی که نزدیک به دو ماه پیش (مارس) شرکت سیسکو در ارتباط با این آسیبپذیری به مشتریان خود هشدار داده بود، اما این شرکت به تازگی آسیبپذیری فوق را ترمیم کرده است. آسیبپذیری موجود روی سوییچهای سیسکو به هکرها اجازه میداد از راه دور به شبکهها نفود کنند. هکرها از طریق یک ارتباط Telnet قادر بودند با دستگاه آسیبپذیر ارتباط برقرار کرده و در ادامه دستور مبتنی بر پروتکل مدیریت خوشه (CMP) را روی آن اجرا کنند. این آسیبپذیری به هکرها اجازه میداد کنترل دستگاه را به دست آورده و آنرا راهاندازی مجدد کنند. شرکت سیسکو در بیانیهای گفته است که به این آسیبپذیری از یک تا ده نمره 9.8 را میدهد. شرکت سیسکو به مدیران شبکهها توصیه کرده است سرویس Telnet را غیر فعال کنند.
