کلیک/ به تازگی اسناد و ابزارهای محرمانهای از آژانس امنیت ملی آمریکا (NSA) توسط گروهی به نام Shadow Brokers (کارگزاران سایه) افشا شده است که خطر جدی را برای سیستمهای کامپیوتری ویندوز در پی داشت.
کمپانی مایکروسافت ممکن است که اسناد لو رفته از آژانس امنیت آمریکا توسط کارگزاران سایه (Shadow Brokers) را کم اهمیت جلوه دهد اما این اتفاق که هفتهی گذشته رخ داد خطر امنیتی بزرگی را در پی داشت. این اسناد حاوی اطلاعات و ابزار هکی بود که توسط آژانس امنیت ملی آمریکا استفاده میشد که بسیاری از آنها کامپیوترهای شخصی را مورد هدف قرار میدهند. کارشناسان امنیتی معتقدند که دهها هزار سیستم ویندوز ممکن است توسط بک دورهای فوق پیشرفتهی آژانس امنیت ملی آمریکا آلوده شوند که امنیت بسیاری از سیستمها را در معرض خطر جدی قرار میهند.
یکی از ابزارهای هکی که هفتهی پیش طی لو رفتن اسناد آژانس امنیت آمریکا در معرض هکرها قرار گرفت، Dubbed DoublePulsar نام دارد که توسط گروه هکری به نام Equation Group مورد استفاده قرار میگیرد این ابزار در حال حاضر در طول حملات LIVE کشف شده است. اسکریپت کیدیس و دیگر جنایتکاران آنلاین گزارش دادهاند که بهرهبرداری از این بک دور حساس (Dubbed DoublePulsar) را آغار کردهاند که نتیجهی آن این خواهد بود که دهها هزار کامپیوتر شخصی در معرض آسیب جدی و امنیتی قرار میگیرند
Shadow Brokers (کارگزاران سایه) از اسناد و ابزار محرمانهی آژانس امنیت آمریکا تعدای آیتم انحصاری و حساس از ابزارهای هک NSA (آژانس امنیت آمریکا) را در معرض استفادهی هکرها قرار دادند این ابزارها بیشتر سیستم عاملهای ویندوز XP، ویندوز سرور ۲۰۰۳، ویندوز ۷،۸ و ویندوز ۲۰۱۲ را تحت تاثیر خود قرار می دهد. پس از اعلام این خبر کمپانی مایکروسافت طی یک خبر فوری اعلام کرد که برای جلوگیری از بهرهبرداری بکدورهای امنیتی پچ و آپدیتی را برای کاربران ویندوز منتشر خواهد کرد که کاربران پس از نصب این پچها از خطر هک شدن مصون میمانند
گروه هکر اسکریپت کیدیس (Script kiddies) گزارش داد که در حال حاظر از بکدور Dubbed DoublePulsar استفاده میکند
گروههای مختلفی از محققان، عملکرد بکدور Dubbed DoublePulsar را مورد تست و ارزیابی قرار دادند و به این نتیجه رسیدند که از هفتهی پیش تا کنون تعداد قابل توجهی از کامپیوترهای شخصی آلوده شدند. DoublePulsar طرفیت ترابری اولیهای است که در SMB (سرور بلاک پیام) و RDP (پروتکل ریموت دسکتاپ) مورد استفاده قرار میگیرد. تجزیه و تحلیلهای استفاده از SMBv1/SMBv2 خارجی در برابر ویندوز سرور ۲۰۰۸ سرویس پک یک صورت گرفته است و به زودی نتیجهی آن مشخص خواهد شد.
بک دور DoublePulsar در واقع کانالی را در سیستم آلوده به این بک دور ایجاد میکند که از طریق آن کانال میتوان کدهای مخرب را در سیستم اجرا کرد. معماری چند وجهی بکدور SMB میتواند از هشدار آنتی ویروس یا هر نرمافزار امنیتی دیگر در صورتی که به کامپیوتر تزریق شود، جلوگیری کند. DoublePulsar همچنین تضمین میکند که دروازهی سیستمهای آلوده به خودش همچنان در آینده برای حملات هک باز است. بکدور با استفاده از یک اکسپلویت خارجی نصب میشود و در نهایت با هدف قرار دادن فایلهای SMB مورد اشتراک قرار گرفته شده در ویندوز XP و ویندوز سرور ۲۰۰۸ R2 و سایر سیستمها و دستگاههایی که آلوده شدهاند فعالیت خود را شروع میکند.
آقای دن تنتلر مدیر عامل گروه فوبوس میگوید حدود ۲۵ درصد از سیستمها و ماشینهای کامپیوتری آلوده شدهاند. او اعلام کرد که ۳۳۴۶۸ سیستم از ۱٫۱۷ میلیون سیستم اسکن شده آلوده به بکدور شناسایی شدهاند
تنتلر میگوید گروهی که این ابزار هک را در دست دارد تا آنجایی که میتوانند شروع به اکسپلویت هاستها بر روی اینترنت میکنند اگر هدف Shadow Brokers (کارگزاران سایه) و سایر گروههای هکری نابودن ساخت آژانس امنیت ملی آمریکا بود میتوانستند تاکنون این کار را انجام بدهند. DoublePulsar به معنای پایان NSA است.
محققان امنیتی از شرکت Errata Security تاکنون ۴۱هزار ماشین کامپیوتری آلوده را شناسایی کردهاند در حالی که محققان امنیتی شرکت Below0day بیش از ۳۰هزار سیستم کامپیوتری را شناسایی کردند که آلوده به بکدور شده اند. شرکت امنیتی دیگری به نام Binary Edge آمار نگرانکنندهای را منتشر کرده است بنا به گفتهی مسئولان این شرکت بیش از ۱۰۷هزار سیستم کامپیوتری در حال حاضر آلوده به بکدور DoublePulsar هستند و تعداد میزبانهای در معرض خطر در حال رشد هستند.
با این حال کمپانی مایکروسافت معتقد است که این گزارشهای دقیق نیستند یکی از مسئولان امنیتی مایکروسافت میگوید: “ما در صحت این گزارشها شک داریم و همچنان در حال بررسی موضوع هستیم” کمپانی مایکروسافت به کاربران خود پیشنهاد میکند که سیستم ویندوزی خود را در آخرین سطح به روزرسانی نگه دارند چرا که با یک بار آلوده شدن، سیستم حملات بیشتری را در آینده به خود میبیند.
