مایکروسافت 3 بدافزار جدید مورد استفاده در حمله سولارویندز را شناسایی کرد: آیا پس لرزهای این حمله همچنان ادامه دارد؟

مایکروسافت سه بدافزار جدید پیدا کرده که ظاهراً به حمله سایبری سولارویندز (SolarWinds) ارتباط دارند. این شرکت برای عوامل این حمله هم نام Nobelium را انتخاب کرده تا برای پیگیری اقدامات این گروه از این نام استفاده شود.

گزارش جدیدی که مایکروسافت امروز منتشر کرده، اطلاعات بیشتری درباره این حمله سایبری که چند سازمان دولتی آمریکایی را هدف گرفته بود، ایجاد می‌کند.

مایکروسافت چند بدافزار جدید را معرفی کرد

مایکروسافت در مطلبی که به تازگی در وبلاگ رسمی خودش منتشر کرده، سه بدافزار جدید به نام‌های GoldMax، Sibot و GoldFinder را معرفی کرده که ظاهراً به حمله‌های سولارویندز ارتباط دارند.

به گفته مایکروسافت، مهاجمان از این بدافزارها برای حضور دائم در شبکه‌ها و انجام اقداماتی خاص و هدفمند در مرحله پس از حمله و حتی بعد از تشخیص اولیه استفاده کرده اند.

از این بدافزارهای جدید در مراحل بعدی حمله سولارویندز استفاده شده و به گفته تیم امنیت سایبری شرکت مایکروسافت، مهاجمان بین ماه‌های آگوست تا سپتامبر سال 2020 از این بدافزارها استفاده کردند اما احتمالاً از ماه ژوئن روی سیستم‌های هک شده نصب شده بودند.

گفته شده که این بدافزارهای جدید فقط در این حمله استفاده شده و هر کدام برای شبکه‌هایی خاص طراحی شده بودند و قابلیت‌های خاصی دارند.

• GoldMax: GoldMax به زبان برنامه نویسی Go نوشته شده و مثل یک بک دور (یا در پشتی) عمل می‌کند که فعالیت‌های مخرب روی کامپیوتر قربانی را مخفی می‌کند. GoldMax که در حمله سولارویندز شناسایی شده، می‌تواند ترافیک جعلی در شبکه ایجاد کند تا ترافیک مخرب خودش را بین این ترافیک جعلی پنهان کرده و ظاهری شبیه به ترافیک معمولی به آن بدهد.
• Sibot: Sibot یک بدافزار دو منظوره به زبان VBScript است که می‌تواند در شبکه هدف به صورت پایدار و دائمی حضور پیدا کند و پی‌لودهای مخرب را دانلود و اجرا کند. به گفته مایکروسافت، سه مدل از بدافزار Sibot وجود دارد که هر کدامشان عملکرد و قابلیت‌های متفاوتی دارند.
• GoldFinder: این بدافزار هم به زبان Go نوشته شده و مایکروسافت معتقد است که از آن به عنوان یک ابزار ردیاب برای ثبت آدرس‌های سرور و سایر زیرساخت‌های درگیر در این حمله سایبری استفاده شده است.

منتظر خبرهای بیشتر از سولارویندز باشید

هر چند مایکروسافت معتقد است که فاز حمله سولارویندز به پایان رسیده اما خیلی از زیرساخت‌های درگیر در این حمله هنوز به طور کامل به حالت قبل برنگشتند.

با توجه به الگوی عملکرد هکرها از نظر استفاده از زیرساخت‌ها و ابزارهای خاص برای هر قربانی و با توجه به سودی که حضور دائم در شبکه‌های هک شده برای آنها دارد، ممکن است با ادامه تحقیقات ابعاد جدیدی از این حمله آشکار شود.

پیدا شدن بدافزارهای جدید و زیرساخت‌های آلوده جدید برای افرادی که این حمله را پیگیری می‌کنند، موضوع عجیبی نیست چون اخیراً مایکروسافت خبر از اجرای فاز دوم حمله سولارویندز داده و توضیح داد که مهاجمان شبکه‌های هدف را به طور کامل تحلیل و بررسی کرده و سعی می‌کنند در این شبکه‌ها حضوری دائم داشته باشند.