آشوب: یک بدافزار قدرتمند که چندین سیستم و معماری را آلوده می کند

TL;DR: بدافزار قدرتمندی که قادر است چندین سیستم و معماری CPU را آلوده کند، در اروپا و جاهای دیگر گام های بلندی برداشته است. تهدید آشوب از طریق ویندوز و لینوکس گسترش می یابد و برای اجرای دستورات از راه دور توسط مجرمان سایبری طراحی شده است.

نمونه‌های تجزیه‌وتحلیل‌شده توسط Black Lotus حاوی نقص‌هایی بودند که فایروال‌های شخصی Huawei (CVE-2017-17215) و Zyxel (CVE-2022-30525) و سایر CVE‌های معروف را تحت تأثیر قرار می‌دادند. پس از آلوده کردن یک ماشین، Chaos می‌تواند از قابلیت‌های مختلف خود مانند شمارش تمام دستگاه‌های متصل به شبکه، اجرای پوسته‌های راه دور برای اجرای دستورات مخرب و بارگیری ماژول‌های اضافی استفاده کند. به گفته محققان، پیچیدگی این بدافزار دلیلی بر این است که Chaos توسط یک «بازیگر مجرم سایبری که در حال پرورش شبکه‌ای از دستگاه‌های آلوده برای استفاده از دسترسی اولیه، حملات DDoS و استخراج رمزارز است» ساخته شده است.

بلک لوتوس می‌گوید Chaos احتمالاً از فرزندان Kaiji است، یک بات‌نت که قبلاً شناسایی شده بود و سرورهای لینوکس (i386) را برای انجام حملات DDoS هدف قرار می‌دهد. این بدافزار در حال حاضر با توجه به ویژگی‌های قدرتمند جدید و قابلیت اجرا بر روی دستگاه‌های Windows و FreeBSD علاوه بر لینوکس، بسیار تکامل یافته است. IP های در معرض خطر شناسایی شده توسط این شرکت امنیتی بیشتر در اروپا قرار دارند و نقاط عفونت کوچکتر در آمریکای شمالی و جنوبی و در منطقه آسیا و اقیانوسیه وجود دارد.

محققان Black Lotus بدافزار جدید را “Chaos” نامیدند زیرا این کلمه بارها در کد نام توابع، گواهی ها و نام فایل ها استفاده شده است. به گفته محققان، آشوب در ماه آوریل شروع شد و اکنون بیش از 111 IP منحصر به فرد متعلق به دستگاه های آلوده وجود دارد. آشوب یک تهدید بسیار انعطاف پذیر است، زیرا دستگاه های ذکر شده شامل واحدهای رایانه شخصی استاندارد، روترهای اداری کوچک و جعبه های سازمانی بزرگ هستند.

Chaos در واقع برای اجرا بر روی چندین معماری محاسباتی، از جمله پردازنده‌های PC سنتی (i386)، ARM، MIPS و پردازنده‌های PowerPC طراحی شده است. از نظر نرم افزار، Chaos می تواند روی ویندوز، لینوکس و FreeBSD نیز اجرا شود. برخلاف تهدیدهای باج‌افزار و بات‌نت‌هایی که از کمپین‌های هرزنامه برای گسترش عفونت استفاده می‌کنند، Chaos می‌تواند با بهره‌برداری از آسیب‌پذیری‌های شناخته شده CVE و کلیدهای SSH در معرض خطر گسترش یابد.

محققان در پایان تجزیه و تحلیل خود، چند روش برتر را برای جلوگیری از آلوده شدن به یک تهدید پیچیده و خطرناک مانند آشوب پیشنهاد می کنند. نویسندگان می گویند که مدیریت وصله برای آسیب پذیری های تازه کشف شده باید “موثر” باشد، در حالی که روترهای SOHO به چرخه های راه اندازی مجدد منظم (غیر از نصب آخرین ارتقاء سیستم عامل) نیاز دارند زیرا اکثر بدافزارهای روتر نمی توانند پس از راه اندازی مجدد دوام بیاورند. علاوه بر این، کارگران راه دور باید رمزهای عبور پیش فرض را تغییر دهند و دسترسی ریشه از راه دور را در ماشین هایی که به آن نیاز ندارند غیرفعال کنند.