سواستفاده مجرمان سایبری از خدمات اشتراک گذاری اینترنت جهت کسب درآمد با کمپین های بدافزاری
اخبار داغ فناوری اطلاعات و امنیت شبکه
عاملان تهدید از محبوبیت روزافزون پلتفرم های پروکسی مانند Honeygain و Nanowire برای کسب درآمد با کمپین های مخرب خود سواستفاده می کنند. این مسئله بار دیگر نشان می دهد که چگونه مهاجمان به سرعت در جهت استفاده مکرر و تجهیز پلتفرم های قانونی با تهدیدات سایبریشان، از آن پلتفرم ها به نفع خود استفاده می کنند.
محققان سیسکو تالوس در تحلیلی که در روز سه شنبه منتشر شد، گفتند: "بدافزارها در حال حاضر از این بسترها برای کسب درآمد از پهنای باند قربانیان استفاده می کنند. این کار شبیه به نحوه استخراج های خرابکارانه رمزارزها برای کسب درآمد از طریق چرخه پردازنده سیستم های آلوده است. در بسیاری از موارد، این برنامه ها در حملات بدافزار چند مرحله ای و مولتی payload ارائه می شوند که به طبع، چندین روش کسب درآمد را برای مهاجمان فراهم می نمایند".
پلتفرم Proxyware که به عنوان برنامه های اشتراک گذاری اینترنتی نیز شناخته می شود، شامل خدمات قانونی است که به کاربران امکان می دهد درصدی از پهنای باند اینترنت خود را با دستگاه های دیگر و اغلب در ازای پرداخت هزینه، از طریق یک برنامه سرویس گیرنده ارائه شده توسط ارائه دهنده، به اشتراک بگذارند، که این کار سایر مشتریان را قادر سازد با استفاده از اتصالات اینترنتی ارائه شده توسط نودهای موجود در شبکه، به اینترنت دسترسی داشته باشند. محققات افزودند که چنین خدماتی برای مصرف کنندگان "به عنوان ابزاری برای دور زدن امکان تشخیص و بررسی موقعیت جغرافیایی در پلتفرم های استریمینگ و بازی و درعین حال ایجاد درآمد برای کاربر با ارائه پهنای باند، ارائه می شود".
اما از سویی نیز استفاده غیرقانونی از نرم افزار پروکسی خطرات زیادی را وارد می کند، زیرا آنها می توانند به عاملان تهدید اجازه دهند منبع حملات خود را پنهان کرده و مبهم نمایند. در نتیجه نه تنها به آنها این امکان را می دهند تا با انجام این کار اینگونه نشان دهند که به ظاهر این حملات از منازل مسکونی شخصی یا شبکه های سازمانی نشات گرفته اند. اما از دیگر سو، ساختارهای دفاعی متداول شبکه ای موثر را که متکی به بلاک لیست های مبتنی بر IP هستند را بی اثر می نمایند.
محققان خاطرنشان کردند: "همان مکانیسم هایی که در حال حاضر برای نظارت و ردیابی نود های خروجی Tor، پروکسی های"ناشناس" و سایر تکنیک های معمول مبهم سازی ترافیک استفاده میشود، برای ردیابی نودها در این شبکه های پراکسی وجود ندارند".
اما این همه ماجرا نیست. محققان چندین تکنیک را که توسط عاملان خرابکار استفاده می شود را شناسایی کرده اند. از جمله آنها نصب کننده های پروکسی نرم افزار آلوده به تروجان که اجازه می دهد بدون اطلاع قربانیان، اطلاعات مخفیانه و تروجان های دسترسی از راه دور (RAT) به شکل مخفیانه در سیستم قربانی توزیع شوند. در یکی از موارد مشاهده شده توسط سیسکو تالوس، مهاجمان با استفاده از برنامه های پروکسی افزار از پهنای باند شبکه قربانیان برای کسب درآمد و همچنین سواستفاده از منابع CPU این دستگاه ها برای استخراج رمزارز استفاده میکردند.
مورد دیگر شامل یک کمپین بدافزار چند مرحله ای بود که با استقرار یک سرقت کننده اطلاعات، یک payload استخراج رمزارز و همچنین نرم افزارهای پروکسی، به تأکید بر "رویکردهای متنوع در دسترس دشمنان" پرداخت و نشان داد که اکنون می توانند فراتر از سرقت رمزارز رفته و در کنار غارت کردن، به سرقت اطلاعات ارزشمند و کسب درآمد از آلودگی های موفق از طرق دیگر دست بزنند.
در موردی نگران کننده تر، محققان بدافزاری را شناسایی کردند که برای نصب بی صدا و پنهانی Honeygain در سیستم های آلوده استفاده می شده و کاربر را با حساب Honeygain مهاجم ثبت می کردند تا از پهنای باند اینترنت قربانی بهره برداری کنند. این کار به این معنی است که مهاجم می تواند در چندین حساب Honeygain ثبت نام کند تا عملیاتش را بر اساس تعداد سیستم های آلوده تحت کنترل خود افزایش دهد.
محققان همچنین اضافه کردند: "برای سازمانها، این پلتفرم ها دو مشکل اساسی ایجاد می کنند، اول سواستفاده از منابع آنها و دوم اینکه به دلیل فعالیتهایی که آنها حتی تحت کنترل ندارند، در فهرست بلاک قرار می گیرند و این مسئله سطح حملات سازمان ها را افزایش می دهد و به طور بالقوه یک مسیر حمله اولیه مستقیم به اندپوینت را ایجاد می کند. با توجه به ریسک ها و خطرات مختلف مرتبط به این پلتفرم ها، توصیه می شود که سازمان ها استفاده از این برنامه ها را در محدوده دارایی های شرکت به طور کامل منع و محدود نمایند".
برچسب ها: Internet-Sharing, اشتراک گذاری اینترنتی, استخراج رمزارز, پروکسی, پلتفرم, Proxyware, Nanowire, Honeygain, کمپین, Cybercriminal, Payload, Tor, cybersecurity, رمزارز, RAT, malware, cryptocurrency, Cisco Talos, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری