نوشته‌ها

گروه تحلیل تهدیدات گوگل (TAG) یک فروشنده ایتالیایی نرم افزارهای جاسوسی را مشاهده کرد که از برخی از ISP ها برای آلوده کردن کاربران اندروید و iOS با ابزارهای نظارت تجاری کمک می گرفت. کاربران هدف از ایتالیا و قزاقستان بودند.

این حملات از دانلودهای درایو به منظور آلوده کردن قربانیانی استفاده می کردند که از آنها خواسته شد تا برنامه های مخربی را نصب کنند که به عنوان برنامه های حامل تلفن همراه قانونی استتار شده بودند تا پس از قطع اینترنت توسط ISP آنها دوباره آنلاین شوند.

پس از غیرفعال شدن، مهاجم یک پیوند مخرب از طریق پیامک ارسال می‌کند و از قربانیان می‌خواهد برنامه‌ای را نصب کنند که به عنوان یک برنامه حامل تلفن همراه ظاهر می‌شود تا اینترنت را دوباره فعال کند.

 روش حمله جایگزین

اگر یک ISP نمی تواند درگیر شود، مهاجمان برنامه های مخرب را به عنوان برنامه های پیام رسانی پنهان می کنند، که کاربران باید دانلود کنند.

مهاجمان صفحه ای به زبان ایتالیایی برای دانلود مسنجر، اینستاگرام یا واتس اپ ارائه کردند.

کارشناسان با بررسی کد صفحه، تنها لینک های دانلود واتس اپ را که منجر به بدافزار مهاجم برای کاربران اندروید و iOS می شود، مشاهده کردند. 

هدف قرار دادن کاربران iOS

برنامه های مخرب مستقر در دستگاه های قربانی در فروشگاه App یا Google Play در دسترس نیستند. با این حال، نسخه iOS برنامه از روش پیشنهادی اپل برای توزیع برنامه های داخلی اختصاصی در دستگاه های اپل پیروی کرد.

برنامه با یک گواهی معتبر امضا شده است که تمام الزامات امضای کد را در هر دستگاه iOS رعایت می کند.برنامه iOS با اکسپلویت‌های داخلی مختلفی برای افزایش امتیازات روی دستگاه آلوده و سرقت فایل‌ها عرضه شد..

این اکسپلویت ها مربوط به CVE-2018-4344، CVE-2019-8605، CVE-2020-3837، و CVE-2020-9907 هستند، همچنین شامل دو آسیب پذیری CVE-2021-30883 و CVE-2021-309  

هدف قرار دادن کاربران اندروید

مشاهده می شود که برنامه مخرب اندروید هیچ گونه سوء استفاده همراه ندارد، وانمود می کند که برنامه قانونی سامسونگ است. گمان می رود که این همان جاسوس افزار Hermit باشد که چند روز پیش شناسایی شد. 

نتیجه

مجرمان سایبری که با ارائه دهندگان ISP برای هدف قرار دادن کاربران کار می کنند باید به عنوان یک موضوع حساس تلقی شوند. به کاربران گوشی‌های هوشمند پیشنهاد می‌شود هنگام دریافت پیامک، برنامه‌هایی را که برای نصب ارائه می‌دهند، هوشیار بمانند. همچنین، قبل از نصب یک برنامه، باید قانونی بودن برنامه ها را بررسی کنید.

امنیت لینوکس از ویندوز بیشتر است. همه ما این را می دانیم. اما این بدان معنا نیست که امنیت کاملی دارد.

این برنامه ، سرورهای لینوکس را برای کتابخانه های از رده خارج ، روی دیسک و حافظه اسکن می کند. برخلاف سایر ابزارهای دیگر ، همچنین می تواند با گزارش در مورد کتابخانه های آسیب پذیر در حافظه که ممکن است توسط اسکنرهای دیگر از دست بروند ، نکات منفی کاذب را پیدا کند.

UChecker که مخفف عبارت “userspace checker” است ، نه فقط با خانواده RHEL بلکه با تمام توزیع های مدرن لینوکس تحت مجوز عمومی  GNU کار می کند. این اطلاعات عملیاتی دقیق در مورد اینکه کدام برنامه از کدام کتابخانه آسیب پذیر استفاده می کند را ارائه می دهد. این برنامه همچنین شناسه مربوط به فرآیند و نام فرآیند را به شما ارائه می دهد. با استفاده از این اطلاعات می توانید ببینید که کدام کتابخانه ها باید به روز شوند.

این برنامه را می توان با ابزارهایی مانند Nagios یا سایر ابزارهای نظارت ، ورود به سیستم و مدیریت ادغام کرد تا از سیستم امنیتی بهتری برای سرورهای شما برخوردار شود.

پس از اجرای UChecker از پوسته ، دو گزینه برای به روزرسانی کتابخانه های خود دارید. اول ، روش قدیمی وجود دارد. در این صورت ، شما کتابخانه های خود را با سیستم بسته بندی خود به روز می کنید و سرورها را دوباره راه اندازی می کنید. یا فقط می توانید تمام پردازش ها را مجدداً راه اندازی کنید زیرا حتی با UCherker نمی توانید مطمئن باشید که در کدام پروسه ها هنوز هم می توان از کتابخانه های قدیمی استفاده کرد.

یا می توانید از قابلیت Live patching سرویس TuxCare LibraryCare برای اعمال وصله های امنیتی در کتابخانه های OpenSSL و Glibc بدون نیاز به راه اندازی مجدد سرور استفاده کنید. خدمات TuxCare ، چترامنیتی و پشتیبانی CloudLinux هستند. این شامل Live patching برای کامپوننت های مهم  Linux از هسته تا کتابخانه های مشترک گسترده است. در هنگام راه اندازی مجدد سرورها یا سرویس ها برای نصب جدیدترین وصله های امنیتی ، دیگر نیازی به ایجاد اختلال در سرویس بطور طولانی مدت و پرهزینه نیست و نیازی به پنجره تعمیر و نگهداری disruptive ندارد.

CloudLinux همچنین قول داده است که خدمات پشتیبانی Linux TuxCare وصله ها و به روزرسانی های منظمی را برای تمام اجزای سیستم های لینوکس سازمانی و همچنین پشتیبانی از حوادث 24 ساعته و 7 ساعته فراهم کند ، حتی اگر سیستم ها ازEOL گذشته باشند. بنابراین ، اگر انواع توزیع های لینوکس را اجرا می کنید و برخی از آنها قدیمی هستند ، این سرویس ارزش بررسی را دارد.

 جیم جکسون ، رئیس CloudLinux ، اشاره کرد: «برخی از وصله ها به پیکربندی مجدد و راه اندازی مجدد سرورها نیاز دارند که به مدت بسیار طولانی به صورت آفلاین ، دشوار است. زمان بسیار حیاتی است ، زیرا هکرها به دنبال سوء استفاده از آسیب پذیری ها هستند .»

هم چنین گفت:

 «هر چیزی که به شما کمک کند کتابخانه های بالقوه ناامن را در سریع ترین زمان ممکن شناسایی و وصله کنید ، همیشه چیز خوبی است.»