درباره بدافزاری که شرکت‌های مخابراتی خاورمیانه را هدف قرار می‌دهد

در پشتی یا Back Door، از راه‌های مختلف به هکرها امکان می‌دهد که به سیستم کاربران نفوذ کنند؛ در همین رابطه مرکز ماهر به تازگی اعلام کرده است سرویس‌دهندگان ارتباطات تلفنی در منطقه خاورمیانه هدف یک مجموعه حمله جدید به‌نام ShroudedSnooper هستند که از یک در پشتی پنهان به نام HTTPSnoop استفاده می‌کند.

به گزارش ایسنا، Back Door یا در پشتی یک نوع نرم افزار مخرب یا یک ضعف امنیتی است که دسترسی هکرها را به سیستم کاربران میسر می‌کند. در این روش هکرها با دور زدن مکانیزم‌های امنیتی به صورت غیرمجاز به سیستم کاربران دسترسی پیدا می‌کنند به نحوی که کاربران حتی متوجه نفوذ هکرها نمی‌شوند چون که آنها در پس‌زمینه سیستم کاربران فعالیت می‌کنند و شناسایی آنها برای کاربران عادی کار سختی است.

درحقیقت Back Door یا درپشتی، از راه‌های مختلف به هکرها این امکان را می‌دهد که به سیستم کاربران نفوذ کنند و اطلاعات آنها را دستکاری کنند. معمولاً هکرها برای کنترل سیستم کاربران از بدافزارها استفاده می‌کنند؛ آنها از راه دور می‌توانند اطلاعات شخصی کاربران را به سرقت ببرند یا دستکاری کنند؛ در همین رابطه به تازگی مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) از یک بدافزار در پشتی جدید که شرکت‌های مخابراتی خاورمیانه را هدف قرار می‌دهد خبر داده است. درباره جزییات این بدافزار می‌توان گفت سرویس‌دهندگان ارتباطات تلفنی در منطقه خاورمیانه هدف یک مجموعه حمله جدید به‌نام ShroudedSnooper هستند که از یک در پشتی پنهان به نام HTTPSnoop استفاده می‌کند، 

Cisco Talos در یک گزارش اعلام کرده است HTTPSnoop یک بک‌دور ساده ولی موثر است که از تکنیک‌های نوآورانه برای تعامل با درایورها و دستگاه‌های هسته است که از HTTP استفاده می‌کند تا درخواست‌های ورودی برای URLهای خاص( HTTP S) را گوش کند و محتوای مرتبط را در دستگاه آلوده اجرا کند.

بخشی از ابزارکار تهاجمی این گروه نیز با نام PipeSnoop نامگذاری شده است که می‌تواند شل‌کد خودساخته‌ای از طریق یک لوله نام‌گذاری شده دریافت کرده و آن را در دستگاه آلوده اجرا کند.ShroudedSnooper  از سرورهای قابل دسترسی اینترنتی استفاده می‌کند و HTTPSnoop را برای به دست آوردن دسترسی اولیه به محیط‌های هدف مستقر می‌کند. هر دو نوع ابزار مخرب به عنوان اجزایی از برنامه Cortex XDR شبکه‌های ( Palo Alto Networks (CyveraConsole.exe جلوه می‌کنند تا از تشخیص متخصصان امنیتی فرار کنند.

گفته شده تاکنون سه نسخه مختلف از HTTPSnoop شناسایی شده است. این در پشتی از API‌های ویندوز سطح پایینی برای گوش دادن به درخواست‌های ورودی با الگوهای URL تعریف شده استفاده می‌کند. این الگوها سپس برای استخراج شل‌کد جهت اجرا در میزبان استفاده می‌شوند. این URLهای HTTP به شبیه‌سازی URLهای مربوط به خدمات تبادل اطلاعات وب مایکروسافت، OfficeTrack و خدمات تخصیص مرتبط با یک شرکت ارتباطات شبیه‌سازی شده‌اند تا درخواست‌های مخرب به نظر درخواست‌های بی‌خطری بیایند.

تحقیقات می‌گویند URL‌های HTTP مورد استفاده توسط HTTPSnoop به همراه اتصال به وب سرور معمولی ویندوز نشان می‌دهد که احتمالاً برای کار روی سرورهای اینترنتی و وب و همچنین سرورهای خدمات تبادل اطلاعات (EWS) طراحی شده است اما PipeSnoop با توجه به نامش احتمالاً برای عمل در داخل یک شرکت مورد تخریب استفاده می‌شود و به‌نظر می‌رسد برای دستگاه‌های مخرب با اولویت‌ها یا ارزش‌های بالاتر طراحی شده باشد، PipeSnoop نمی‌تواند به عنوان یک ابزار مخرب مستقل کار کند و به یک جزو کمکی نیاز دارد که به عنوان یک سرور عمل کرده و شل‌کد را از طریق روش‌های دیگر دریافت کند و از طریق لوله نام‌گذاری شده آن را به درب پشتی منتقل کند.

حمله به بخش مخابرات، به‌ویژه در منطقه خاورمیانه، در سال‌های اخیر به یک الگو تبدیل شده است. در ژانویه ۲۰۲۱، ClearSky یک سری حملاتی را کشف کرد که توسط Lebanese Cedar اجرا شده بود و به اپراتورهای مخابراتی در ایالات متحده، انگلستان و منطقه خاورمیانه هدف می‌گرفت. تحقیق‌گران Talos می‌گویند سازمان‌های مخابراتی دید کاملی از ترافیک اینترنتی را دارند، هم در بخش خدمات خرده‌فروشی و هم در بخش‌های مرتبط با شرکت‌ها. علاوه بر این، بیشتر زیرساخت‌های مخابراتی از شبکه‌های مهمی تشکیل شده‌اند که برای برقراری اتصالات داخلی و خارجی اساسی هستند و به همین دلیل ارزش بسیاری برای گروه‌های حمایتی دولتی دارند.

   راه‌های مقابله با درپشتی چیست؟

کارشناسان در این زمینه توصیه می‌کنند کاربران حتما نرم افزارهای آنتی‌ویروس و ضد بدافزار را روی سیستم خود نصب داشته باشید. آنتی ویروس مناسب برای امنیت دستگاه خیلی مهم و ضروری است ولی کافی نیست و در کنار آن یک Anti Malware امن را هم برای شناسایی اپلیکیشن‌های مخرب روی سیستم تان نصب کنید. همچنین کاربران از نرم‌افزارهای متن باز یا Open Source که معمولاً رایگان هم هستند استفاده کنند، چون که کد این برنامه‌ها در دسترس عموم هست و عده‌ای متخصص آنها را بررسی می‌کنند که آیا  Back Door یا درپشتی یا کد مرجع آنها وجود دارد یا خیر؛ پس Back Door یا درپشتی به سراغ اپلیکیشن‌هایی می‌رود که خیلی راحت‌تر و مناسب‌تر برای هک هستند.