چه اتفاقی افتاده؟ دفتر دادستانی ایالات متحده، ناحیه مرکزی کالیفرنیا، اخیراً از توقیف دامنه وب WorldWiredLabs و زیرساخت های پشتیبانی خبر داد. این عملیات که در چندین کشور و سازمان های مجری قانون هماهنگ شده بود، توزیع تروجان دسترسی از راه دور NetWire (RAT) را متوقف کرد. این بدافزار به عنوان یک ابزار مدیریت قانونی که توسط عوامل مخرب برای دستیابی به دسترسی غیرمجاز به سیستم های هدف استفاده می شد، پنهان شده و به بازار عرضه شد.
تلاش موفقیت آمیز برای گوشه گیری RAT به دنبال چندین سال تحقیق، مشاهده و برنامه ریزی توسط سازمان های مجری قانون در سراسر جهان است. مقامات فدرال در لس آنجلس حکمی را برای توقیف دامنه وب worldwiredlabs.com که برای فروش و توزیع بدافزار NetWire استفاده میشد، اعمال کردند. علاوه بر این توقیف، مقامات یک تبعه کرواسی را که به عنوان مدیر سایت معرفی شده بود، دستگیر کردند. وب سایتی که اکنون توقیف شده نشان دهنده تلاش هماهنگ بین ایالات متحده، کرواسی، سوئیس، استرالیا و سایر مقامات وابسته به یوروپل است.
متلاشی شد! هماهنگ شده #اجرای قانون اقدامی که باعث از بین رفتن #شبکه زیرساخت تروجان دسترسی از راه دور.
مظنون اصلی دستگیر شد.#شبکه یک RAT کالای دارای مجوز است که در انجمن های زیرزمینی به کاربران غیر فنی ارائه می شود تا فعالیت های مجرمانه خود را انجام دهند.
— EC3 (@EC3Europol) 10 مارس 2023
تحقیقات اولیه FBI در سال 2020 آغاز شد، زمانی که بازرسان یک نسخه از بدافزار مشکوک را خریداری کردند و آن را برای تجزیه و تحلیل بیشتر تحویل دادند. طبق خلاصه حکم علت احتمالی، بازرسان FBI توانستند با موفقیت به سایت دسترسی پیدا کنند، هزینه یک طرح اشتراک را پرداخت کنند و بسته NetWire RAT را برای استفاده دانلود کنند. پس از به دست آوردن، یک دانشمند کامپیوتر FBI از ابزار سازنده NetWire برای پیکربندی نمونه ای برای آزمایش قابلیت های بدافزار در برابر یک ماشین آزمایشی مشخص استفاده کرد. NetWire در هیچ نقطهای تلاش نکرد تا تأیید کند که کسانی که نرمافزار را تجزیه و تحلیل میکنند واقعاً به ماشین مورد نظر دسترسی دارند.
پس از پیکربندی، دانشمند کامپیوتر FBI تأیید کرد که این نرم افزار به کاربران NetWire اجازه می دهد تا به فایل ها دسترسی داشته باشند، برنامه ها را ببندند، اطلاعات احراز هویت را بازیابی کنند، ضربه های کلید را ردیابی کنند، دستورات را اجرا کنند و از صفحه نمایش عکس بگیرند، همه اینها بدون هشدار به کاربر مورد نظر. این قابلیتها، رفتارها و عدم اطلاعرسانی، که همگی کارتهای تماس حمله RAT سنتی هستند، همگی برای جذب عوامل مخرب با هدف سوء استفاده از سایر کاربران ناآگاه طراحی شدهاند.
راههایی وجود دارد که سازمانها و کاربران میتوانند از قربانی شدن خود در برابر RAT و سایر حملات مهندسی اجتماعی جلوگیری کنند. مقاله قبلی از INFOSEC به طور مفصل نحوه عملکرد NetWire را شرح می دهد و نکاتی را برای کاربران و سازمان ها ارائه می دهد تا از خود در برابر این نوع حملات دفاع کنند. این شامل:
- آموزش کاربران برای آگاهی از طرحواره های احتمالی فیشینگ و نحوه رسیدگی به آنها
- آگاه شدن از ایمیل های فرستنده یا منابع ناآشنا و دارای پیوست های مشکوک
- قبل از باز کردن یا دانلود محتوا، منابع را از طریق ابزارهای جایگزین تأیید کنید
- استفاده از ضد بدافزار، آنتی ویروس یا سایر نرم افزارهای محافظت از نقطه پایانی
- به روز نگه داشتن تمامی نرم افزارها و فایل های سیستم عامل
دونالد آلوی، دستیار مدیر مسئول دفتر فیلد لس آنجلس FBI، بر اهمیت حذف بدافزار NetWire تاکید کرد. با حذف NetWire RAT، FBI بر اکوسیستم سایبری جنایی تأثیر گذاشته است. بیانیه های Alway همچنین بر این واقعیت تأکید می کند که “… مشارکت جهانی که منجر به دستگیری در کرواسی شد، ابزار محبوبی را که برای ربودن رایانه ها به منظور تداوم تقلب جهانی، نقض داده ها و نفوذ به شبکه توسط گروه های تهدید و مجرمان سایبری استفاده می شد، حذف کرد.”