شرکت نرم‌افزاری ایرانی پشت پرده ویروسی که رمز ارز استخراج می‌کند

احمد باطبی

شرکت امنیتی «سوفوزلَبز» (SophosLabs) در گزارشی اعلام کرد در بررسی و تحلیل ویروسی تازه به نام «مارب ماینر» (MrbMiner) که با حمله به سرورهای میزبان پایگاه داده وب‌سایت‌ها (SQL)، آن‌ها را برای استخراج رمز ارز به‌کار می‌گیرد، رد پایی از یک شرکت کوچک نرم‌افزاری در ایران به چشم می‌خورد.

ویروس رمزنگار مارب‌ماینر که به تازگی کشف شده و در دسته‌بندی بدافزارهای خطرناک قرار گرفته است، پایگاه داده وب‌سایت‌ها را برای «کریپتوجکرز»(Cryptojackers) و استخراج رمز ارز به بردگی می‌گیرد. سرورهای میزبان پایگاه داده به دلیل حساسیت خدمتی که ارایه می‌دهند، از سخت‌افزارهایی با کیفیت و ظرفیت بالا بهره‌ می‌برند. به همین دلیل از نظر فنی بهترین گزینه برای مهاجمانی هستند که هدف آن‌ها، استخراج ارز دیجیتال است. آن‌ها با آلوده‌سازی این سرورها، توان پردازشی آن‌ها را برای حل مساله‌های ریاضی منتهی به استخراج ارزهای دیجیتال در کنترل خود می‌گیرند.

ویروس مارب‌ماینر سال گذشته میلادی کشف و دوم سپتامبر همان سال، در یک گزارش تحلیلی از شرکت فناوری چینی «تن‌سنت» (Tencent)، از جمله غول‌های امنیت سایبری، به صنعت سایبری معرفی شد. این بدافزار ابتدا با حمله به سرورهای «Microsoft SQL» (MSSQL) و نصب «Crypto-miner» بر روی آن‌ها مورد توجه قرار گرفت.

تن‌سنت نام مارب‌ماینر را برای این بدافزار انتخاب و مجموعه‌ای از دامنه‌های اینترنتی که توسط این بدافزار مورد استفاده قرار می‌گرفت را به شکل عمومی منتشر کرد. این شرکت چینی گفته است مارب‌ماینر با یک ربات برای یافتن سرورهای نوع MSSQL به اسکن فضای مجازی می‌پردازند و با استفاده از ضعف‌های امنیتی، مانند ضعیف بودن رمزعبور، اقدام به نفوذ به آن می‌کنند. ابتدا بدافزار فایل اولیه‌ای به نام «assm.exe» را از طریق دامنه‌های مربوطه بارگیری و سپس اقدام به ایجاد یک حساب «backdoor» با نام کاربری و رمزعبور پیش‌فرض «fg125kjnhn987» و «(re)boot persistence mechanism» را نیز برای نفوذ‌های آینده تثبیت می‌کند.
در مرحله آخر هم از طریق اتصال نوع فرمان و کنترل، برنامه مخصوص استخراج «Monero» (XMR) را نصب و با استفاده از برق و پردازش‌گر سرور قربانی، اقدام به استخراج رمز ارز می‌کند.

شرکت تن‌سنت آدرس کیف پول دیجیتال این بدافزار را نیز کشف کرده که حدود ۶۳۰ دلار امریکا ارز دیجیتال در آن ذخیره شده بود. این شرکت نسخه‌ای از بدافزار مارب ماینر را نیز پیدا کرده است که برای سیستم‌های مبتنی بر «لینوکس» طراحی و در کیف پول دیجیتال آن نیز حدود ۳۰۰ دلار امریکا پول اینترنتی ذخیره شده بود.

کیف پول‌های دیجیتال نسخه‌های «ویندوز» و لینوکس این بدافزار به دامنه‌های «poolmrb.xyz»، «mrbpool.xyz» و «pool.supportxmr.com» متصل بودند.

تمام اطلاعات «WHOIS» دامنه «vihansoft.ir» و «mrb» با استفاده از سرویس «WhoisGuard» یک شرکت خصوصی که در کشور پاناما ثبت شده است، از دید عموم مخفی شده‌اند.

اما بررسی‌های تله‌متری (فناوری تخصصی برای اندازه‌گیری و انتقال اطلاعات) شرکت سوفزلبز نشان داد که این بدافزار فایل پی‌لودی به نام «sys.dll» را به همراه دارد که ظاهری مشابه فایل‌های «DLL» ویندوز دارد. اما این فایل در حقیقت یک فایل فشرده با فرمت «ZIP» است که در آن تنظیمات رمزنگاری و شبکه‌ای گسترده از آدرس‌های اینترنتی مورد استفاده بدافزار قرار گرفته است.

محموله MrbMiner cryptojacking شامل یک درایو دستگاه در سطح هسته سیستم به نام «WinRing0x64.sys» و یک ماینر اجرایی به نام «Windows Update Service.exe» است که وظیفه پنهان‌سازی بدافزار از دید نرم‌افزارهای امنیتی سیتم قربانی را برعهده دارد.

به گفته شرکت سوفزلبز، این بدافزار، نسخه اصلاح شده بدافزار استخراج کننده «XMRig» بوده که بعد از توسعه به این شکل درآمده است.

درایو WinRing0x64.sys یک درایو سطح هسته است که نمونه‌هایی از آن در مخزن وب‌سایت «گیت‌هاب» نیز وجود دارد. هکرها می‌توانند از طریق این درایو و برنامه‌‌هایی هم‌چون «userland»، در حد «ring0-level» به رجیستری «CPU» سیستم دسترسی یابند و حتی امکان نوشتن و خواندن حافظه دستگاه را داشته باشند.

یکی از دامنه‌هایی که در این بدافزار مورد استفاده قرار می‌گرفت، دامنه‌ای بود تحت عنوان «vihansoft.ir» که یک فایل sys.dll از سرورها بر روی سایت قربانی بارگیری می‌شد. هم‌چنین همین فایل در یک حساب کاربری در مخزن گیت‌هاب، به نام «فرزاد بهداد» قرار داشت که با سازوکاری مشابه، برای استقرار در سیستم هدف فراخوانی می‌شد.

علاوه بر این، دامنه «mrbfile.xyz» و سرور «اف‌تی‌پی» با آی‌پی «145.239.225.15» نیز ازجمله پیوندهای مورد استفاده در این بدافزار بودند.

لیست زیر مجموعه‌ای از فایل‌های مخربی است که در شاخه‌های مختلفی از این پیوندها بارگذاری شده‌اند و در این بدافزار مورد بهره‌برداری قرار می‌گرفتند.

• agentx.dll
• hostx.dll
• Windows Security Service.exe
• Windows Host Management.exe
• Install Windows Host.exe
• Installer Service.exe
• Microsoft Media Service.exe
• and (Linux) ELF
• linuxservice
• netvhost

شرکت سوفوزلبز گفته است در مواردی مشابه، هکرها همواره تلاش می‌کنند تا هویت‌شان از دید‌ها پنهان بماند. اما گردانندگان مارب‌ماینر برعکس عمل کرده و باعث شده‌اند منشاء این بدافزار که یک شرکت نرم‌افزاری کوچک در ایران است، شناسایی شود.

دامنه «vihansoft.ir» متعلق است به شرکت «وب طراحان ویهان» که در سال ۱۳۹۶ تاسیس شده و نشانی آن، تهران، «سهروردی شمالی»، خیابان «طاهری دوست»، کوچه ۲۵، کدپستی ۷۱۷۴۱۷۱۷۴۱، با مدیریت «فرزاد عسکری» است. این شرکت تا دو ماه پیش در زمینه برنامه‌نویسی و طراحی وب‌سایت، ارایه راه‌کارهای مبتنی بر فناوری اطلاعات و نیز ارایه خدمات آموزشی فعالیت می‌کرد. تمامی آدرس‌های مربوط به این شرکت در اینترنت و شبکه‌های اجتماعی یک جا غیرفعال و یا از دسترس خارج شده‌اند.

متخصصان شرکت سوفوزلبز از طریق وب‌سات «neshan.org» به جست‌وجو درباره صاحب دامنه vihansoft.ir پرداخته و نام مدیرعامل و شرکت صاحب این دامنه را یافته‌اند. اما یافته‌های آن‌ها از وب‌سایت neshan.org، مشخصات و آدرس متفاوتی را در شهر شیراز نشان می‌دهد.  

درماه نوامبر سال گذشته میلادی نیز اخباری از حمله باج‌افزاری هکرهای ایرانی به نقاط مختلفی از جهان منتشر شد. در آن دوره از حملات، چند شرکت اسرائیلی و ایتالیایی با باج‌افزار نوع «Pay2key» مورد حمله قرار گرفته بودند.

نهم نوامبر سال ۲۰۲۰، شرکت امریکایی-اسرائیلی «چک پوینت» (Checkpoint)، از جمله شرکت‌های مطرح فعال در حوزه امنیت سایبری در گزارشی تحلیلی به حملات باج‌افزاری pay2key به شرکت‌های اسرائیلی و شرکت «سواسکن» (Swascan) پرداخته و گفته بود باج‌گیران اینترنتی بین ۱۱۰ هزار تا ۱۴۰ هزار دلار «بیت کوین» یا پول اینترنتی از قربانیان درخواست کرده‌اند.

کارشناسان این شرکت برای کشف مسیر حرکت مبلغ پرداخت شده، از «والت اکسپلورر» ( WalletExplorer) بهره برده و ضمن تحلیل شناسه اجزای کیف اینترنتی دریافت‌کننده باج «00045af14c»، دریافتند که مقصد نهایی وجه دریافتی، وب‌سایت صرافی مجازی «اکسکوینو» در ایران است.

اگرچه بدافزار مارب‌ماینر باج‌افزار محسوب نمی‌شود اما در دسته‌بندی کلان بدافزارهای اینترنتی، عملکرد آن در دسته‌بندی کلاه‌برداری‌های مالی و در کنار باج‌افزارهای اینترنتی قرار می‌گیرد.

 

مطالب مرتبط:

بیت‌کوین چیست؟ به قطع برق چه ربطی دارد؟ چینی‌ها در ایران چه می‌کنند؟

مازوت، بیت‌کوین و بی‌برقی؛ دردسر‌های این روز‌های مردم ایران

ما از بیت‌کوین سهم نمی‌خواهیم، فقط برق‌مان را قطع نکنید؛ خسارت خاموشی‌ها به مشاغل

کشف ۲۲۱ دستگاه استخراج بیت کوین غیرمجاز در خوزستان

۵۰۰ دستگاه استخراج بیت‌کوین در شهرری کشف شد

قطع برق ۴ نهاد دولتی و ورود وزارت اطلاعات به استخراج بیت‌کوین