یک شرکت امنیتی اپراتورهای بدافزار را هک کرد و آنها را از سرورهای C&C خود قفل کرد


این لبخند بر لبان شما می نشاند: ما عاشق شنیدن داستان های بازیگران بدی هستیم که ظاهرشان را به دست می آورند. با این حال، این یکی عالی است، زیرا نه تنها به تعداد زیادی از هکرهای بدخواه (به معنای واقعی کلمه) خدمات داده شد، بلکه چندین نفر از آنها به دلیل پیکربندی نادرست تجهیزات خود، خود را به بدافزار آلوده کردند.

استارتاپ امنیت سایبری Buguard به سختی در حال هک کردن هکرها بوده است. با استفاده از اکسپلویتی که پیدا کرد، سرورهای بدافزار و باج افزار را مختل کرده و اپراتورهای آنها را قفل کرده است. TechCrunch اشاره می کند که این شرکت به طور موثر پنج سرور فرمان و کنترل (C&C) را آفلاین کرده است که چهار مورد از آنها کاملاً تاریک شده اند.

این ضدحملات پس از فاش شدن کد منبع بدافزاری به نام Mars Stealer امکان پذیر شد. Mars Stealer یک پلت فرم بدافزار به عنوان سرویس است که هکرها می توانند زمان سرور را برای انجام حملات اجاره کنند. هنگامی که کد منبع فاش شد، هکرها به جای پرداخت هزینه، شروع به راه اندازی سرورها به طور مستقل کردند.

حتی قبل از اینکه Buguard به کد دسترسی پیدا کند، هکرهای نابکار به دلیل دستورالعمل‌های نصب معیوب که با کد به بیرون درز کرده بود، کار شایسته‌ای را انجام می‌دادند و به تنهایی سرورهای خود را خسته می‌کردند.

سیاهههای مربوط به قربانیان و داده های دزدیده شده کاملاً در دسترس اینترنت بود. طبق گفته Morphisec، اپراتورهای بدافزاری که دستورالعمل‌های ناقص را دنبال می‌کنند، سرورهای C&C خود را پیکربندی کرده‌اند تا سهواً «دسترسی کامل (777)» را به جهان ارائه دهند. در برخی موارد، ناتوانی هکرهای احتمالی “دارایی های حیاتی” را در معرض دید قرار داده است.

سپس Buguard آمد و به کد منبع Mars Stealer نگاه کرد و یک آسیب پذیری پیدا کرد. محققان یک سوء استفاده برای این نقص ایجاد کردند که به آنها اجازه می داد به سرورهای C&C، از جمله سرورهایی که اپراتورها به درستی پیکربندی کرده بودند، نفوذ کنند و آنها را کنترل کنند.

زمانی که Buguard وارد سیستم شد، گزارش های قربانی و داده های دزدیده شده را حذف کرد و اتصال کامپیوترهای آلوده به سرور C&C را قطع کرد. برای افزایش آسیب، محققان رمزهای عبور داشبورد Mars Stealer را به هم زدند تا اپراتورها از سیستم خود قفل شوند. حملات متقابل عملاً پنج سرور را از کار انداخت، زیرا اپراتورها مجبور بودند به طور کامل از صفر شروع به پیکربندی مجدد سرورهای خود و آلوده کردن قربانیان خود کنند. از پنج سیستم C&C که Buguard حذف کرد، تنها یک سیستم آنلاین بازگشت.

در حالی که شنیدن در مورد هکرها که طعم داروهای خود را می چشند بسیار عالی است، کاری که Buguard انجام داد کاملا قانونی نبود و کلاه سفید خود را به خاکستری تغییر داد. از نظر فنی، نفوذ به هر سیستم رایانه ای، صرف نظر از کاربرد آن، غیرقانونی است، مگر اینکه در مجریان قانون باشید و حکم قضایی داشته باشید. قاعده کلی در تحقیقات امنیتی این است که نگاه کنید، مستند کنید و گزارش دهید، اما لمس نکنید.

با این حال، Buguard قصد دارد مقامات را درگیر کند و به آنها کمک کند تا سرورهای بیشتری را حذف کنند. در این میان، هیچ جزئیاتی از آسیب‌پذیری که در بدافزار مشابهی به نام «اربیوم» نیز وجود دارد، منتشر نمی‌کند، بنابراین کلاه سیاه‌ها نمی‌دانند چه چیزی را اصلاح کنند.



منبع