باتنتهایی مانند Mirai که قابلیت آلوده کردن دستگاههای اینترنت اشیاء دارای سیستمعامل لینوکس را دارند [۱] بهطور مستمر در حال افزایش بوده و بهگونهای طراحی شدهاند که حملات DDoS را پیادهسازی کنند، اما محققان بهتازگی کشف کردند که مجرمان سایبری از این باتنتها بهمنظور انتشار هرزنامهها استفاده میکنند.
یک تحقیق جدید که توسط شرکت امنیتی روسی Doctor Web انجام شده است[۲] آشکار کرده است که یک تروجان تحت لینوکس که Linux.ProxyM نامگذاری شده است توسط مجرمان سایبری و بهمنظور بهروزرسانی سیستم آنلاین عدم شناسایی برای افزودن قابلیتهای ارسال هرزنامه مورداستفاده قرار میگیرد[۳].
تروجان Linux.ProxyM در ابتدا توسط این شرکت امنیتی و در ماه فوریه ۲۰۱۷ کشف شد که یک سرور پروکسی SOCKS بر روی دستگاه اینترنت اشیاء موردنظر اجرا میکرد و این قابلیت را داشت که هانیپاتها را شناسایی کرده و از دید محققان بدافزارها مخفی بماند.
تروجان Linux.ProxyM بر روی تمامی دستگاههای دارای سیستمعامل لینوکس قابلاجرا بوده که شامل روترها، ستاپباکسها و دیگر تجهیزاتی که دارای معماریهای x86، MIPS، PowerPC، MIPSEL، ARM، Motorola 68000، Superh و SPARC هستند نیز میشود.
این تروجان تحت لینوکس چگونه کار میکند؟
هنگامیکه یک دستگاه توسط تروجان Linux.ProxyM آلوده میشود، دستگاه آلودهشده به یک سرور C&C متصل میشود و آدرسهای دو node را بر روی اینترنت بارگیری میکند:
- اولی شامل لیست نامهای کاربری و کلمات عبور است.
- دومی موردنیاز برای سرور پروکسی SOCKS هست تا اجرایی شود.
سرور C&C همچنین یک دستور ارسال میکند که شامل یک آدرس سرور SMTP، اطلاعات موردنیاز برای دسترسی به آن، لیست آدرسهای پستهای الکترونیک و یک الگوی پیام میشود که شامل یک متن تبلیغاتی است.
یک پست الکترونیک معمولی که با استفاده از دستگاههای آلودهشده توسط این تروجان ارسال میشود شامل یک پیام تبلیغاتی است و بهطور میانگین هر دستگاه آلوده در هر روز ۴۰۰ عدد از این نوع پستهای الکترونیک را ارسال میکند.
اگرچه تعداد کل دستگاههای آلودهشده توسط این تروجان ناشناخته است، اما تحلیلگران Doctor Web معتقدند که این تعداد در ماههای مختلف تغییر کرده است.
با توجه به حملات Linux.ProxyM طی ۳۰ روز گذشته، اکثر دستگاههای آلودهشده در برزیل و ایالاتمتحده قرار دارند و به دنبال آن روسیه، هند، مکزیک، ایتالیا، ترکیه، لهستان، فرانسه و آرژانتین هستند.
محققان Doctor Web دراینباره میگویند: “ما میتوانیم فرض کنیم که طیف وسیعی از توابع اجرا شده توسط تروجانهای لینوکس در آینده گسترش خواهد یافت. دستگاههای اینترنت اشیا، به یک کانال ارتباطی برای مجرمان اینترنتی تبدیل شدهاند. توزیع گسترده برنامههای مخرب لینوکس که قادر به آلوده کردن دستگاههایی با معماریهای مختلف سختافزاری هستند، بهعنوان اثبات این ادعا عمل میکنند.”
بهمنظور محافظت از دستگاههای هوشمند خود و جلوگیری از موردحمله واقع شدن، شما میتوانید به این مقاله مراجعه کنید[۴].
منابع
[۱] http://thehackernews.com/2016/11/mirai-router-offline.html
[۲] http://thehackernews.com/2017/01/linux-proxy-malware.html
[۳] https://news.drweb.com/show/?i=11467
[۴] https://apa.aut.ac.ir/?p=1902
[۵] http://thehackernews.com/2017/09/linux-malware-iot-hacking.html
ثبت ديدگاه