بدافزار Mine کردن ارزهای دیجیتالی (Smominru) بیش از نیم میلیون سیستم را توسط بهره‌بردار NSA آلوده کرده است.

سال ۲۰۱۷ سال رخنه‌های اطلاعاتی و حملات باج‌گیر افزارها بود، اما از ابتدای سال جاری، تغییرات وسیعی در چشم‌انداز تهدیدات سایبری در حال شکل‌گیری است، زیرا بدافزارهای بر پایه ارزهای رمزنگاری‌شده به یک انتخاب محبوب و سودآور برای مجرمان اینترنتی تبدیل شده‌اند.

چندین شرکت امنیتی سایبری ویروس‌های جدید mine کردن ارزهای رمزنگاری را کشف کردند که با استفاده از EternalBlue گسترش می‌یابند[۱]. EternalBlue همان بهره‌بردار مربوط به NSA است که توسط گروه هکری Shadow Brokers منتشر شد[۲] و مسئول گسترش یافتن باج‌گیر افزار WannaCry است[۳].

محققان امنیتی از شرکت Proofpoint یک بات‌نت جهانی عظیم را به نام Smominru یا Ismo کشف کرده‌اند [۴] که از بهره‌بردار EternalBlue SMB یا CVE-2017-014 برای آلوده کردن رایانه‌های دارای سیستم‌عامل ویندوز استفاده کرده است تا به‌طور مخفیانه ارز دیجیتالی Monero را mine کنند که برای نویسندگان پشت پرده این بات‌نت میلیون‌ها دلار سود در بر داشته است.

بات‌نت Smominru که حداقل از ماه می۲۰۱۷ فعال بوده است در حال حاضر بیش از ۵۲۶٫۰۰۰ کامپیوتر دارای سیستم‌عامل ویندوز را آلوده کرده است که طبق گفته محققان بیشتر آن‌ها از نسخه‌های به‌روزرسانی نشده ویندوز استفاده می‌کردند.

محققان دراین‌باره می‌گویند: “بر اساس قدرت hash محاسبه شده که با آدرس پرداختMonero برای این عملیات مرتبط است، به نظر می‌رسد این بات‌نت احتمالاً دو برابر اندازه Adylkuzz باشد[۵].”

عملگرهای این بات‌نت تابه‌حال تقریباً ۸۹۰۰ Monero را باقیمت تقریبی ۳٫۶ میلیون دلار با نرخ تقریبی ۲۴ Monero در روز (۸۵۰۰ دلار) با دزدیدن منابع از کامپیوترهای بیش از میلیون‌ها کاربر، mine کرده‌اند.

محققان گفتند: بیشترین تعداد آلودگی‌های Smominru در روسیه، هند و تایوان دیده شده است.

زیرساخت فرماندهی و کنترل بات‌نت Smominru بر روی سرویس محافظت از DDoS شرکت SharkTech میزبانی می‌شود که از این سوء‌استفاده مطلع شده است، اما این شرکت اطلاعیه‌های سوء‌استفاده را نادیده گرفته است.

بر طبق گفته محققان Proofpoint مجرمان اینترنتی از حداقل ۲۵ ماشین برای اسکن کردن اینترنت و پیدا کردن کامپیوترهای دارای سیستم‌عامل ویندوز استفاده می‌کنند. همچنین این مجرمان از بهره‌بردار پروتکل RDP متعلق به NSA به نام EsteemAudit یا CVE-2017-0176 استفاده می‌کنند[۶] تا سیستم‌های آسیب‌پذیر را آلوده کنند.

محققان دراین‌باره نتیجه‌گیری کردند: “ازآنجاکه بیت کوین تنها توسط منابع اختصاصی قابل mine کردن است، علاقه به Monero به‌طور چشمگیری افزایش یافته است. درحالی‌که Monero دیگر نمی‌تواند به‌طور مؤثر بر روی کامپیوترهای رومیزی بهره‌برداری شود، یک بات‌نت که به‌طور گسترده پخش شود همان‌طور که در اینجا توضیح داده شد، می‌تواند برای سازندگان آن کاملاً سودآور باشد. سازندگان این بات‌نت بسیار فعال هستند و از تمام بهره‌بردارهای موجود برای گسترش دادن بات‌نت خود استفاده می‌کنند و چندین راه برای بازیابی پس از عملیات sinkhole نیز پیدا کرده‌اند. با توجه به سود قابل‌توجهی که در اختیار سازندگان این بات‌نت قرار گرفته است و قابلیت انعطاف‌پذیری این بات‌نت و زیرساخت‌های آن، ما انتظار داریم این فعالیت‌ها همچنان با تأثیرات بالقوه آن بر روی سیستم‌های آسیب‌پذیر، ادامه یابد.”

یکی دیگر از شرکت‌های امنیتی به نام CrowdStrike اخیراً یک پست را منتشر کرده است، که یکی دیگری از بدافزارهای مخربِ ارزهای رمزنگاری و بدون فایل به نام WannaMine را کشف کرده است[۷] که به‌طور گسترده پخش شده و با استفاده از بهره‌بردار EternalBlue رایانه‌ها را آلوده کرده و ارز دیجیتالی Monroe را Mine می‌کند.

ازآنجایی‌که این بدافزار هیچ برنامه‌ای را بر روی کامپیوتر آلوده دانلود نمی‌کند، آلودگی‌های ایجاد شده توسط WannaMine توسط برنامه‌های آنتی‌ویروس به‌سختی ردیابی می‌شوند.

علاوه بر آلوده کردن سیستم‌ها، مجرمان اینترنتی به‌طور گسترده‌ای از حملات رمزگشایی^(۱) استفاده می‌کنند [۸]، که در آن‌ها minerهای بر پایه جاوا اسکریپت در مرورگرها از قدرت CPUهای بازدیدکنندگان استفاده می‌کنند تا با استفاده از آن ارزهای دیجیتالی را mine کرده و از این طریق کسب درآمد کنند.

ازآنجایی‌که اخیراً مشاهده شده است که حملات بدافزارهای mine کردن ارزهای دیجیتالی، از EternalBlue استفاده می‌کند که توسط مایکروسافت و در سال گذشته وصله شده است، به کاربران شدیداً توصیه می‌شود تا سیستم‌ها و نرم‌افزارهای خود را به‌روز نگه دارند تا نسبت به این حملات در امان باشند.