آلودگی نیم میلیون سیستم توسط بات نتی که 5 سال ناشناخته باقی مانده بود

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

کارشناسان امنیتی ایست به تازگی از بات نتی خبر دادند که به مدت 5 سال به صورت پنهان باقی مانده بود و توانسته نیم میلیون سیستم را آلوده و به دستگاه آن ها تسلط کامل پیدا کند. این بات نت که Stantinko  نام گرفته است توسط یک کمپین تبلیغاتی وسیع از سال 2012 فعال شده است. این بات نت کشورهای متعددی را مورد حمله ی خود قرار داده است که اوکراین و روسیه بیشترین تعداد آلودگی را توسط آن داشته اند.

علت پنهان ماندن این بات نت تا به امروز استفاده از روش هایی همچون رمزنگاری برو روی کد هایش بوده است که نرم افزارهای
امنیتی را دور زده و باعث شده است این نرم افزار سال ها به صورت مخفی به فعالیت خود ادامه دهد. در ابتدای جاسوسی این بات نت از ابزاری به نام FileTour به‌عنوان بردار

اولیه‌ی آلودگی استفاده می‌ کند. FileTour قادر است برنامه های مختلفی را بر روی سیستم اجرا کند و توسط آن ها به آلودگی دستگاه بپردازد. یکی از این برنامه های مخرب بدافزار Stantinko بوده است که در بک گراند سیستم قابل اجرا است.

اقدام این بات نت به طور کاملا گسترده ای برای نصب افزونه بر روی مرورگرها و در ادامه به تزریق تبلیغات و فریب برای کلیک و سودجویی در این باره می باشد. از این طریق برخی از سرویس های ویندوزی ایجاد می شود که قادر است عملیات وسیع تری را انجام دهد که این عملیات شامل فعالیت های بک دور یا همان درب پشتی، جستجو در گوگل و اجرای حمله‌ ی جستجوی فراگیر بر روی پنل ‌های
مدیریتی وردپرس و جوملا می باشد.

پس از اینکه سامانه آلوده شد، Stantinko  دو سرویس ویندوزی مخرب را راه اندازی می کند که هر کدام از آن ها می توانند در صورت حذف دیگری دو مرتبه آن را ایجاد و راه اندازی کند. پس برای رفع این آلودگی از سیستم می بایستی همه ی این سرویس ها را به صورت همزمان از روی سیستم حذف کرد. در صورتی که چنین نباشد نسخه‌ی جدیدی از سرویسی که حذف شده، توسط کارگزار دستور و کنترل ارائه خواهد شد.

نام افزونه هایی که توسط این بات نت بر روی مرورگر نصب می شوند "The Safe Surfing" و "TeddyProtection"  است که هر دوی این افزونه ها در فروشگاه کروم توزیع و اینطور که بنظر می رسند برنامهه ایی کاملا قانونی هستند که آدرس‌های URL ناخواسته را مسدود می ‌کنند.
با وجود تمام تفاسیر در زمانی که این افزونه ها توسط بات نت نصب شوند، پیکربندی هایی را دریافت می کنند که توسط آن می توانند کلیک ربایی کنند و به نمایش تبلیغات ناخواسته بپردازند.

اما Stantinko دارای یک ویژگی درب پشتی است که می تواند هرگونه پرونده‌های اجرایی ویندوز را لود و به ‌طور مستقیم در حافظه ‌ی سیستم قربانی اجرا کند. اینطور که بنظر می رسد نویسندگان این نرم افزار مخرب مالکان محصولات تبلیغاتی هستند زیراکه پس از آلودگی، کاربران مستقیم به وب سایت هایی هدایت می‌شوند که در آن‌ها محصولاتی تبلیغ می‌شود. افرادی که پشت این حمله هستند حساب های مدیریتی همچون جوملا و وردپرس را نادیده نگرفته اند و با سرقت گواهینامه های حساب ها و فروش آن ها در بازارهای زیرزمینی آن ها را مورد هدف قرار داده اند.