چرا مهم است: هنگامی که مهاجمان حجم زیادی از دادهها را از شرکتهای بزرگی مانند گیگابایت یا انویدیا به بیرون درز میکنند، اثرات آن میتواند در یک دوره طولانی و به روشهای غیرمنتظره ظاهر شود. اقدامات اخیر یک باج افزار باج افزار نشان می دهد که چگونه حملات سایبری یک گروه می تواند راه را برای گروه های دیگر باز کند.
مایکروسافت و مقامات ایالات متحده اخیراً اعلامیههایی درباره یک باند باجافزار با استفاده از گواهیهای قانونی مایکروسافت برای امضای بدافزار خود منتشر کردند. این ترفند به نرم افزارهای مخرب دسترسی ممتاز به ویندوز می دهد و مبارزه با آن را سخت تر می کند.
امضاهای رمزنگاری به ویندوز میگویند که مایکروسافت به یک نرمافزار اعتماد دارد و به آن اجازه میدهد با یک سیستم نسبتاً بدون مانع تعامل داشته باشد. ساختن امضاهای تقلبی یا به دست آوردن متقلبانه امضاهای واقعی مدتهاست که تاکتیک رایج هکرها بوده است.
یک باج افزار باج افزار به نام کوبا – بدون ارتباط با جمهوری کوبا – از قطره چکانی استفاده می کند که یک درایور هسته می نویسد که نرم افزارهای امنیتی مانند برنامه های آنتی ویروس را غیرفعال می کند. درایور هسته با گواهینامه ای امضا شد که از حمله گروه Lapsus$ به انویدیا در اوایل سال جاری نشات می گرفت.
Lapsus$ در ماه فوریه Nvidia را با باج افزار هدف قرار داد. در حالی که این باج افزار تأثیر قابل توجهی بر عملیات انویدیا نداشت، هکرها بسیاری از داده های شرکت، از جمله کد منبع و ظاهراً گواهی های نرم افزار مایکروسافت را به بیرون درز کردند. پلیس بریتانیا بعداً دو نوجوان لندنی را در ارتباط با لاپسوس دلار دستگیر کرد.
اکتبر امسال، سه شرکت امنیتی به مایکروسافت اطلاع دادند که یک عامل مخرب چندین حساب توسعه دهندگان Microsoft Partner Center را به خطر انداخته و از آنها برای ارسال درایورهای مخرب برای گواهیهای مایکروسافت استفاده کرده است. تجزیه و تحلیل این شرکت نشان می دهد که از درایورها برای ارائه بدافزار استفاده شده است.
متعاقباً مایکروسافت حسابها را به حالت تعلیق درآورد، امنیت ویندوز را بهروزرسانی کرد تا گواهیها را باطل کند و شناساییهای جدیدی را برای Microsoft Defender نسخههای 1.377.987.0 و جدیدتر به کار گرفت. کاربران ویندوز باید نرم افزار آنتی ویروس را به روز نگه دارند تا با این تهدیدات و سایر تهدیدات مانند آسیب پذیری هایی که سه شنبه پچ این هفته به آن پرداخته شده، مبارزه کنند.
در همین حال، اوایل ماه جاری، FBI و آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) مشاوره ای در مورد اقدامات کوبا منتشر کردند. طی سال گذشته، این گروه تعداد حملات موفق خود را دو برابر کرده و درآمد خود را از باج افزایش داده است. بررسی ها نشان می دهد که کوبا علاوه بر باج افزار خود، از جاسوس صنعتی و تروجان دسترسی از راه دور RomCom (RAT) نیز استفاده می کند.
این تنها مورد اخیر نیست که مهاجمان از گواهیهای در معرض خطر برای امضای بدافزار استفاده میکنند. حادثه مشابهی در مورد گواهیهای پلتفرم اندروید در ماه نوامبر رخ داد. مانند مایکروسافت، گوگل نیز بیدرنگ این گواهیها را نامعتبر کرد.