محققان شرکت Cisco موفق شده اند عملکرد سرویس دهندگان بسته بهره جوی RIG را دچار اختلال کنند.
نفوذگران سالهاست که از بسته بهره جوی RIG برای توزیع بدافزارها و هرزنامه استفاده می کنند.
طی گزارش شرکت Trustwave ،نفوذگران با استفاده از بسته بهره جوی RIG بیش از ۱/۲ میلیون کامپیوتر را به بدافزار آلوده کرده اند.
بسته های بهره جو (Exploit Kits)، نرم افزارهایی حاوی کدهای بهره جو هستند که معمولاً بر روی سرورهای وب راه اندازی می شوند. نفوذگران با هدایت کاربران به سمت این سرورها اقدام به آلوده کردن دستگاه های با نرم افزارهای آسیب پذیر می کنند.
شرکت Heimdal گزارش داده که ۵۶% حملات صورت گرفته به دستگاه های با Windows 7 و مرورگر IE 9 با استفاده از بسته بهره جوی RIG موفقیت آمیز بوده است.
طی یک بررسی دو ماهه، محققان شرکت Cisco موفق به کشف ۴۴ نشانی IP سرورهای IRG می شوند. اکثر این نشانی ها متعلق به رساننده خدمات اینترنتی (ISP) روسی Webzilla است که تمامی آنها را به یک ISP کوچک تر با عنوان Eurobyte تخصیص داده است.
پس از تماس Cisco با Webzilla، این ISP اقدام به شناسایی مشتریان خاطی و مسدود کردن سرورهای آنها می کند.
بر طبق توضیحات Cisco تلاش ها این شرکت برای برقراری ارتباط با ناکام می ماند و همین موضوع سبب می شود تا نفوذگران اقدام به راه اندازی سرورهای جدید کنند.
با انجام تحقیقات بیشتر، مشخص می شود که Eurobyte هفت زیرشبکه (Subnet) کلاس C دارد. از این تعداد، ۵ زیرشبکه دارای شهرت (Reputation) بدی هستند.
در پی عدم پاسخدهی Eurobyte، شرکت Cisco تصمیم گرفته که این ۵ زیرشبکه را برای مدت ۳۰ روز در فهرست سیاه محصولات خود قرار دهد. قرار است پس از پایان این دوره یک ماهه مجدداً شهرت این زیرشبکه ها ارزیابی شود.
این نخستین بار نیست که Cisco فعالیت های یک بسته بهره جو را هدف قرار داده. در مهر ماه نیز این شرکت اعلام کرد که یکی از عملیات های بزرگ توزیع باج افزارها با استفاده از بسته بهره جوی Angler را دچار اختلال کرده است.
فسا-پسا
