بدافزار پتیا چیست و چگونه وارد سیستم‌های رایانه‌ای شد؟

دسته: دریچه فناوری
بدون دیدگاه
پنجشنبه - ۸ تیر ۱۳۹۶
بدافزار پتیا چیست و چگونه وارد سیستم‌های رایانه‌ای شد؟

بدافزار موسوم به پتیا که از اوکراین شروع شد و به سیستم‌های رایانه‌ای سراسر جهان راه یافت اثراتی مخرب‌تر از موارد مشابه در سال‌های گذشته دارد.

به گزارش خبرنگار حوزه فناوری گروه فضای مجازی باشگاه خبرنگاران جوان؛ زمانی که بدافزار Wanncry در ماه مه سراسر اروپا را فراگرفت، استدلال محکمی وجود داشت مبنی بر اینکه میزان خسارات وارده آن بسیار بالا باشد. حملات بدافزارها چیز جدیدی نیست اما این مورد تا اندازهای متفاوت بود دلیل آن نیز استفاده از سلاحی مخفی به نام EternalBlue بود که گروه موسوم به Shadow Brokers آن را در ماه آوریل منتشر کرده و اعتقاد بر این بود که آژانس ملی امنیت آمریکا آن را ایجاد کرده است. این بدافزار نوعی سلاح در سطح دولت مردمی بود که بیشتر اهداف غیرنظامی همچون سرقت از بانک‌ها در شهرهای کوچک را هدف قرار می‌داد.

حالا پس از گذشت یک ماه از این جریان، نوع جدیدی از بدافزارها با همان میزان خسارت و تقریبا بدون هیچ قدرت آتشی منتشر شده است. نوعی ویروس از خانواده بدافزارهای پتیا که هزاران سیستم را در سراسر جهان آلوده کرده است از جمله شرکت‌هایی مانند Maersk, Rosneft وMerck با این تفاوت که در این حمله بدافزاری، مواد خام بسیار کمتری به کار گرفته شده است.

هم اکنون پتیا نیز از همان سلاح EternalBlue بهره می‌برد.اما تا کنون بسیاری از سازمان‌های هدف از آن مصون مانده‌اند و میزان اکسپلویت (کدهای مخرب) در آن نسبت به گستردگی بدافزار بسیار کم بوده است.در مقابل، اکسپلویت‌هایی که بدافزار پتیا از آن بهره می‌برد گرچه ممکن است به اندازه بدافزار NSA معروف نباشند اما قدرت تخریب‌کنندگی بالایی دارند و می‌توانند سازمان‌ها را در وضعیت دشوارتری قرار دهند.

Wanncry بیشتر روی سیستم‌های پچ‌شده متمرکز بود در حالی که به نظر می‌رسد پتیا بیشتر شبکه‌های به هم متصل را هدف قرار داده باشد که در این صورت قاعدتاً خسارات وارده بیشتر خواهد بود. وقتی یک سیستم رایانه آلوده شد پتیا از طریق سیستم شبکه‌سازی ویندوز  از جملهWindows Management Instrumentation (WMI) و  PsExecc تمام شبکه‌های دیگر را نیز آلوده می‌کند. دو ابزاری که نام برده شد معمولا برای دسترسی ادمین‌ها از راده دور کاربرد دارند. یک کارشناس امنیت سیستم نیز همین نظر را دارد. وی معتقد است هکرها زمانی از پتیا استفاده می‌کنند که بخواهند بدافزاری را درون یک شبکه هماهنگ‎شده وارد کنند. WMII یکی از این ابزار است که به طور معمول نمی‌توان آن را با ترفندهای امنیتی قفل کرد و یا PsExec که گرچه نسبت به WMII  آسیب‌پذیرتر است اما همچنان راه نفوذ قدرتمند و مؤثری به شمار می‌رود.

اما طبق تحقیقاتی که موسسه Talos Intelligence انجام داده بدافزار پتیا ممکن است از طریق یک بدافزار به‌روزرسانی جعلی در سیستم حسابداری اوکراین با عنوان MeDoc منتشر شده باشد. گرچه MeDocc این اتهامات را نپذیرفت اما گروه‌های دیگر با یافته‌های این موسسه موافقند و استدلال‌شان نیز نوعی امضای دیجیتال است. اما عده دیگری معتقدند اگر این امضا در انتشار این بدافزار نقش داشت در آن صورت هکرها راه راحت و مشخصی برای نفوذ به تمام سیستم‌های حاوی این امضا داشتند.

اولین بار نیست که هکرها سیستم‌های اتوآپدیت را برای قرار دادن بدافزارها انتخاب کرده‌اند. جمهوری اسلامی ایران در سال ۲۰۱۲ از طریق بدافزار Flame تجربه کرده است. در این سال هکرها فرآیند به‌روزرسانی سیستم‌های ویندوز را هدف قرار دادند که گفته می‌شود دولت آمریکا در آن نقش داشت. در حال حاضر گفته می‌شود بدافزار پتیا که از کشور اوکراین آغاز شد به سیستم‌های رایانه‌ای سراسر جهان راه یافته است.


نوشته شده توسط:سجاد خیاط مشهدی - 1186 مطلب
پرینت اشتراک گذاری در فیسبوک اشتراک گذاری در توییتر اشتراک گذاری در گوگل پلاس
بازدید: 260
برچسب ها:
دیدگاه ها