ترس، عامل آلودگی سیستم‌های کامپیوتری به ویروس کرونا

احمد باطبی

در دنیای حقیقی، نداشتن‌ هراس و بی‌توجهی به «کرونا» باعث جهان‌گیر شدن این ویروس شده است اما برعکس، ترس و دست‌پاچگی مردم در قبال کرونا، عامل گسترش نسخه‌های مجازی آن در فضای اینترنت.
ترس قدرت تمرکز را از انسان می‌گیرد و او را بی‌دقت و تا حدی سادلوح می‌کند. این یعنی فرصتی طلایی برای هکرها تا با استفاده از ترس و دست‌‌پاچگی جهانی در قبال کرونا، حملات خود را به کاربران فضای مجازی طراحی و اجرا کنند.

گزارش‌های امنیتی نشان می‌دهند که دامنه حمله‌های سایبری زیر نام کرونا، از کمپین‌های فیشینگ گرفته تا استفاده از بدافزارها را شامل می‌شوند. هکرها به اسم اطلاع‌رسانی درباره این ویروس و یا دادن هشدار در باره آن، هزاران ایمیل آلوده را به زبان‌های انگلیسی، فرانسوی، ایتالیایی، ژاپنی و ترکی ارسال کرده و بسیاری از کاربران را در سراسر جهان هدف حمله‌های خود قرار داده‌اند.

اولین مورد استفاده از نام کرونا و ترس ناشی از آن برای حملات نوع فیشینگ، در ماه فوریه توسط محققان شرکت امنیتی «Proofpoint» کشف و گزارش شد. محققان این شرکت در ابتدا ایمیلی مشکوک را کشف کردند که از سوی پزشکی مرموز به یکی از مشتری‌ها ارسال شده و ادعا کرده بود که با حمایت بریتانیا و چین، واکسنی برای ویروس کرونا کشف شده است.
کلیک بر روی لینک موجود در این ایمیل، قربانی را به وبسایتی جعلی هدایت می‌کرد که قادر بود با استفاده از امکانت قربانی، تا ۲۰۰هزار ایمیل دیگر به شکل هم‌زمان برای باقی کاربران ارسال کند؛ ایمیل‌هایی که به گفته محققان این شرکت، روزانه سه تا چهار بار از سوی هکرها تغییر یافته و به‌روز رسانی می‌شدند.

 

تصویر از شرکت امنیتی «Proofpoint»

 

شرکت امنیتی «Mimecast» چند روز پس از فراگیر شدن ویروس کرونا، با نمونه دیگری از این دست ایمیل‌ها مواجه شدند که به موضوع بازپرداخت مالیات ویروس کرونا پرداخته و به شکلی گسترده برای کاربران ارسال شده بود. در بخشی از این ایمیل جعلی، قسمتی بود به نام «دسترسی فوری به دارایی‌های شما» که کلیک روی آن، کاربر را به صفحه‌ای جعلی منتقل می‌کرد تا اطلاعات محرمانه آن‌ها را دریافت کند.

 

تصویر از شرکت امنیتی «Mimecast»

 

کمپین فیشینگ «2019-nCOV»، یکی از برجسته‌ترین حملات هفته گذشته بود که ابتدا کاربران امریکایی و بریتانیایی، سپس کاربران نقاط دیگری از جهان را هدف قرار داد؛ ایمیلی به ظاهر ارسال شده از مرکز کنترل و پیش‌گیری بیماری‌ها در امریکا، حاوی این جمله که اطلاعات موجود در فایل ضمیمه ممکن است جان شما را در مقابل ویروس کرونا نجات دهد.
ترس مردم از کرونا و اعتماد ناشی از دیدن نام این مرکز بهداشتی مهم در متن باعث جلب اعتماد و گشودن ایمیل می‌شد تا بدافزار « AgentTesla Keylogger» روی سیستم کاربر بارگذاری و عملیات نفوذ و سرقت اطلاعات آغاز شود.

تصویر از شرکت امنیتی «Proofpoint»

انتشار ویروس کرونا در هوا، موضوع ایمیل جعلی دیگری بود که به ظاهر از سوی مرکز کنترل و تشخیص بیماری‌های ایالات متحده فرستاده شده بود. این ایمیل توسط آدرسی مشابه آدرس واقعی این مرکز ارسال می‌شد و پس از انتقال قربانی به یک صفحه جعلی ماکروسافت و گرفتن نام کاربری و رمزعبور، آن‌ها را به وبسایت واقعی این مرکز می‌فرستاد تا کسی به اتفاق روی‌ داده مشکوک نشود.
شرکت امنیتی «Cofense» که این تله سایبری هکرها را کشف کرده، شیوه عملکرد هکرها را در این حمله، «جعلی قوی» توصیف کرده است.

 

عکس از شرکت امنیتی «Cofense»

مورد دیگری نیز منتسب به مرکز کنترل و تشخیص بیماری‌های ایالات متحده ثبت شده است که از کاربران خواسته بود برای مبارزه با ویروس کرونا، از طریق پول اینترنتی «بیت کوین»، به این مرکز کمک مالی کنند. شرکت امنیتی «Kaspersky» که این ایمیل جعلی را کشف کرده، می‌گوید تا کنون بیش از ۵۱۳ مورد مشابه با موضوع کرونا یافته است و انتظار دارد که این تعداد باز هم افزایش پیدا کند.

علاوه براین، بدافزار «Emotet» نیز وارد میدان شده است. هکرها ایمیل‌هایی را با موضوع اخبار گسترش ویروس کرونا در بخش‌هایی از ژاپن تهیه کرده و به صورت هرزنامه، برای کاربران ارسال کردند. ایمیل‌ها حاوی پی‌لودهای این بدافزار بودند که حریم خصوصی کاربران را هدف قرار می‌دادند.  

تیم تحقیق شرکت «yoroi» که موضوع بدافزار Emotet را مورد بررسی قرار داده است، می‌گوید بهره‌برداری تازه هکرها از این بدافزار چیز تازه‌ای نیست اما این بار آن‌ها با قدری تغییر در نسخه‌های قبلی Emotet، آن را برای بهره‌برداری، زیر نام کرونا آماده کرده‌اند. به گفته این محققان، در خلال بررسی‌ها، موردی به نام «CoronaVirusSafetyMeasures_pdf» آن‌ها را به تحقیقات عمیق‌تر درباره عملکرد بدافزار Emotet تشویق کرده است؛ فایلی که توسط این تروجان، به قربانی ارسال می‌شد و ادعا می‌کرد که اطلاعات مهمی در باره ویروس کرونا را در خود جای داده است. شرکت yoroi تصویر زیر را برای تشریح عملکرد بدافزار Emotet ارایه کرده است.

عکس از وبسایت شرکت «yoroi»

 

Proofpoint یک شرکت امنیتی دیگری است که بدافزار Emotet را تعقیب می‌کند. این شرکت اعلام کرد که حملات گروه هکری «TA542»، پشت این حمله‌ها قرار داشته و قربانیان متعددی را از کشورهای مختلف، از جمله استرالیا، اتریش، باربادوس، آلمان، هنگ‌کنگ، ژاپن، مالزی، سنگاپور، اسپانیا، سوییس، امارات متحده عربی و ایالات متحده گرفته است.
این گروه‌ هکری توصیه‌های معقول پزشکی را برای فریب کاربر ارایه و مانند اغلب حملات انجام شده توسط بدافزار Emotet، یک فایل ضمیمه با فرمت «Word» یا «PDFz» ارسال می‌کند تا کدهای مخرب ماکرو در آن راه خود را در کامپیوتر قربانی باز و دسترسی هکرها به اطلاعات موجود در آن را باز کنند؛ مشابه حملاتی که در سال ۲۰۱۹  زیر عنوان «تیشرت»، «لیوان» و دیگر اجناس مجانی برای کاربران ارسال شده بود.

گروه هکری «TA542»، یکی از تواناترین گروه‌های هکری است که در سال ۲۰۱۴، هم‌زمان با کشف بدافزار Emotet، شناسایی و گزارش شد. در آن زمان بانک‌های اتریشی و آلمانی در ابتدای لیست حملات این گروه قرار داشتند. سال‌های بعد TA542 حملات خود را از بانک‌ها به حساب‌های بانکی افراد منتقل و روی ارسال هرزنامه‌های آلوده تمرکز کرد. نحوه عملکرد گروه هکری TA542 و روند تکامل بدافزار Emotet در تصویر زیر نمایش داده شده است.

 

عکس از وبسایت شرکت امنیتی «Proofpoint»

«جان اولووت»، سخن‌گوی شورای امنیت ملی امریکا در بیانیه‌ای گفته است: «ما از یک حادثه سایبری مربوط به شبکه‌های رایانه‌ای بهداشت و خدمات انسانی آگاه هستیم و دولت فدرال در حال بررسی کامل این واقعه است.»

اما این حمله‌های خراب‌کارانه، محدود به سوء استفاده از نکات بهداشتی و آموزشی در خصوص ویروس کرونا نبودند؛ به عنوان نمونه، حمل‌ونقل جهانی از جمله اصنافی بود که مورد حمله‌های سایبری قرار گرفت. در این حمله‌ها، از بدافزار « AZORult» استفاده شد که پیش‌تر، در سال ۲۰۱۶ شناسایی شده بود و تاریخچه، کوکی‌ها و اطلاعات محرمانه نظیر نام کاربری و رمز عبور را از مرورگر به سرقت می‌برد.
بدافزار  AZORult از ضعف امنیتی (CVE-2017-11882) در نرم‌افزار ماکروسافت بهره‌ می‌برد که بیش از دو سال پیش کشف و گزارش شده بود. هرچند که نام بدافزار  AZORult به گروه هکری «APT» پیوند خورده است اما در ابتدا گمان می‌شد که هکرها در جایی مانند روسیه و اروپای شرقی مستقر باشند. ولی بررسی‌های تیم امنیتی «RedDrip» نشان داد که احتمالا گروه هکری APT که به نام‌های «APT36»، «Transparent Tribe»، «ProjectM»، «Mythic Leopard» و «TEMP.Lapis» نیز شناخته می‌شود، احتملا نقشی کلیدی در این حمله‌ها دارد. APT36، گروهی است زیر حمایت دولت پاکستان که ابتدا در سال ۲۰۱۶ در حملاتی به دولت هند شناسایی شد. به گفته تیم RedDrip، این گروه هکری با استفاده از ضعف امنیتی (CVE-2017-0199) در نرم‌افزار «ماکروسافت ورد‌پد»، به دو شکل، یکی فایل‌های «اکسل» حاوی ماکروهای مخرب و دیگری اسناد «آر تی اف»، حملات خود را به روش فیشینگ سازمان داده بودند. آن‌ها نیز مانند موارد پیشین، توصیه‌های پزشکی در خصوص بیماری کرونا را دست‌آویز قرار داده بودند تا دولتمردان هند را هدف قرار دهند. گشودن فایل‌های مخرب باعث می‌شد که یک نسخه ۳۲ بیتی یا ۶۴ بیتی پی‌لود «Crimson RAT» در کامپیوتر قربانی اجرا شود و زمینه را برای سرقت اطلاعات فراهم کند.

گروه هکری APT36 تنها گروه هکری تحت حمایت حکومت‌ها نیست که از ترس مردم از کرونا برای اهداف خراب‌کارانه خود بهره برده است. گروه‌های هکری «Chinese APTs (Mustang Panda and Vicious Panda)»، «North Korean APTs (Kimsuky)»، «Russian APTs (Hades and TA542)» و چند گروه دیگر که وابستگی آن‌ها به دولت‌ها به طور صددرصد ثابت نشده است نیز از این جمله‌اند.

در این میان، برخی خراب‌کاران اینترنتی، نظیر مدیران باج‌افزارهای «Maze»، «DoppelPaymer»، «Ryuk»، «Sodinokibi/REvil»، «PwndLocker» و «Ako» شیوه‌ای اخلاقی را در پیش گرفته و گفته‌اند که در خلال درگیری جهان با ویروس خطرناک کرونا، مراکز بهداشت و سلامت و خدمات درمانی را مورد حمله قرار نخواهند داد.

باج‌افزار DoppelPaymer در بیانه خود با اشاره به صرف باج‌های اخذ شده در امور خیریه، نظیر ساخت مسکن و حمایت از حیوانات، گفت که هیچ‌گاه بیمارستان‌ها و مراکز نگه‌داری سالمندان را مورد حمله قرار نداده است و اگر هم به اشتباه این کار را کرده باشد، بلافاصله آن را رمزگشایی کرده و باج‌گیری متوقف شده است. باج‌افزار Maze نیز گفته است تا اتمام بحران کرونا، حمله به مراکز پزشکی را متوقف خواهد کرد. با این وجود، هستند مراکز بهداشت و سلامت و حتی بیمارستان‌هایی که در این روزهای حساس مورد حمله‌های سایبری و یا باج‌افزارها قرار گرفته‌اند.

بیمارستانی در جمهوری چک که به طور مستقیم با بیماران کرونایی و آزمایش‌های مربوط به آن‌ها درگیر است، یک‌باره با اخلال در کارکرد کامپیوترها مواجه شد. بررسی‌های تیم امنیتی «domaintools» مشخص کرد که اشکال از یک برنامه اندرویدی ناشی می‌شد که باج‌افزار «CovidLock» درخود جای داده بود. بررسی‌های این تیم نشان داده‌اند که این باج‌افزار از کشور مراکش هدایت شده و مبلغ ۱۰۰ دلار بیت‌کوین برای گشودن قفل تقاضا کرده بود. اما تیم امنیتی domaintools با مهندسی معکوس، کلید رمز این باج‌افزار را یافته و در اختیار عموم قربانیان قرار داده است.

 

در مقابل آلودگی‌های مجازی ویروس کرونا چه باید کرد؟

به اعتقاد بسیاری از محققان، محتمل‌ترین حالت ممکن برای موفقیت یک حمله فیشینگ، اجرای آن از طریق ایمیل است. بنابراین آشنایی با مقوله امنیت ایمیل و دانش عمومی درباره شیوه‌های فریب و مهندسی اجتماعی، کلید عبور از این بحران است.

• بهترین راه برای اجتناب از آلودگی مجازی به ویروس کرونا و پرهیز از گرفتار شدن در دام هکرها، این است که هیچ پیوند و یا فایل ضمیمه‌ای را با موضوع کرونا باز نکنید و اطلاعات مربوط به این ویروس را تنها با مراجعه مستقیم به وبسایت‌ها و منابع رسمی مربوط به این موضوع پی‌گیری کنید.
• هیچ چیز در این عالم مفت نیست و هیچ‌کس دلش به حال ما نسوخته است که خدمت یا محصولی را به صورت مجانی به ما ارایه کند. اگر در حال حاضر سرویس و یا نرم‌افزاری را به صورت مجانی استفاده می‌کنید، خود را یک کالای فروخته شده بدانید. اطلاعات شما به شیوه‌های مختلف در دسترس ارایه کنندگان این  خدمات قرار داشته و آن‌ها طبق توافق‌نامه‌ای که پیش از نصب نرم‌افزار و یا دریافت خدمات قبول کرده‌اید، اجازه دارند به هر مشتری که تمایل به خرید آن داشته باشد، بفروشند. بنابراین، اگر ایمیلی و یا پیام آنلاینی دریافت کرده‌اید که ارایه کننده محصول و یا امکانی مجانی ‌است، باید به صورت پیش‌فرض، به آن به عنوان یک عملیات مهندسی اجتماعی برای اجرای حمله فیشینگ نگاه کنید و تا حد امکان از پذیرش آن بپرهیزید.
• توسعه‌دهندگان در سراسر جهان، افزونه‌های متعددی را با موضوع شناسایی صفحات جعلی اینترنتی و حملات فیشینگ ساخته و برای مرورگرهای مختلف آماده کرده‌اند. با جست‌وجویی ساده و مطالعه توضیحات این افزونه‌ها، سازگارترین آن را با فعالیت‌های روزانه خود انتخاب و روی مرورگرتان نصب کنید. این افزونه‌ها قادرند اصالت بسیاری از صفحات را بررسی کنند و در صورت وجود مشکل، به شما پیام هشدار بدهند.
• افزونه «HTTPS Everywhere» که قابلیت نصب بر روی تمامی مرورگرهای شناخته شده را دارد را نصب کنید. در بسیاری از موارد، صفحات جعلی از پروتکل امنیتی «HTTPS» پشتیبانی نمی‌کنند. این افزونه هرگونه نقص در عملکرد و یا رفتار «SSL» (امنیت لایه انتقال) را شناسایی و شما را از خطرات موجود مطلع می‌کند.
• ایمیل فرستنده را بررسی کنید. پیش از گشودن ایمیل، آدرس آن را کپی و دومین آن را (از کارکتر @ به بعد) در مرورگری دیگر باز و یا از طریق وبسایت‌های آنلاین بررسی مشخصات دومین، واقعی بودن آن را بررسی کنید. هم‌چنین می‌توانید خود ایمیل را در میان دو علامت «“”» قرار داده و در گوگل جست‌وجو کنید تا ببینید چه سابقه‌ای از این ایمیل در فضای مجازی وجود دارد.
• گاهی هکرها برای واقعی نشان دادن صفحات جعلی، از سرویس‌های مجانی وبسایت‌هایی نظیر گوگل استفاده می‌کنند تا هم از دامنه و آی‌پی سایت اصلی استفاده کنند و هم شما را فریب بدهند. اما با کمی دقت در آدرس خواهید دید که آدرس آن با آدرس‌های معمولی قدری متفاوت است. اگر با موردی این‌چنینی برخوردید، از ادامه ‌کار پرهیز کنید.
• بهترین راه جلوگیری از هک شدن ایمیل، استفاده از کلید سخت افزاری است. اگر از سرویسی استفاده می‌کنید که چنین امکانی را ارایه می‌کند و شما نیز امکان تهیه آن را دارید، بدون درنگ آن‌ را تهیه کنید. در غیر این صورت، ویژگی « 2-Step Verification» یا تایید دو مرحله‌ای رمز عبور را فعال و آن را روی اپلیکیشن قابل نصب روی تلفن‌های همراه تنظیم کنید. بنا به دلایل مختلف، تنظیم این ویژگی روی اپلیکیشن بسیار امن‌تر از تنظیم با شماره تلفن همراه و دریافت پیامک است.
• درنهایت، در صورت امکان، از سرویس‌های ایمیلی استفاده کنید که خدمات «Login Protect» و « Web Application Firewall (WAF)» را به کاربران‌ خود ارایه می‌کنند.

از همین بلاگ بخوانید

احتمال جاسوسی حکومت ایران از کاربران و حذف برنامه شناسایی کرونا از فروشگاه گوگل

در مقابل حمله نوع «روز صفر» به اینترنت اکسپلورر در ویندوز چه باید کرد؟