مایکروسافت سه بدافزار جدید پیدا کرده که ظاهراً به حمله سایبری سولارویندز (SolarWinds) ارتباط دارند. این شرکت برای عوامل این حمله هم نام Nobelium را انتخاب کرده تا برای پیگیری اقدامات این گروه از این نام استفاده شود.
گزارش جدیدی که مایکروسافت امروز منتشر کرده، اطلاعات بیشتری درباره این حمله سایبری که چند سازمان دولتی آمریکایی را هدف گرفته بود، ایجاد میکند.
مایکروسافت چند بدافزار جدید را معرفی کرد
مایکروسافت در مطلبی که به تازگی در وبلاگ رسمی خودش منتشر کرده، سه بدافزار جدید به نامهای GoldMax، Sibot و GoldFinder را معرفی کرده که ظاهراً به حملههای سولارویندز ارتباط دارند.
به گفته مایکروسافت، مهاجمان از این بدافزارها برای حضور دائم در شبکهها و انجام اقداماتی خاص و هدفمند در مرحله پس از حمله و حتی بعد از تشخیص اولیه استفاده کرده اند.
از این بدافزارهای جدید در مراحل بعدی حمله سولارویندز استفاده شده و به گفته تیم امنیت سایبری شرکت مایکروسافت، مهاجمان بین ماههای آگوست تا سپتامبر سال 2020 از این بدافزارها استفاده کردند اما احتمالاً از ماه ژوئن روی سیستمهای هک شده نصب شده بودند.
گفته شده که این بدافزارهای جدید فقط در این حمله استفاده شده و هر کدام برای شبکههایی خاص طراحی شده بودند و قابلیتهای خاصی دارند.
- GoldMax: GoldMax به زبان برنامه نویسی Go نوشته شده و مثل یک بک دور (یا در پشتی) عمل میکند که فعالیتهای مخرب روی کامپیوتر قربانی را مخفی میکند. GoldMax که در حمله سولارویندز شناسایی شده، میتواند ترافیک جعلی در شبکه ایجاد کند تا ترافیک مخرب خودش را بین این ترافیک جعلی پنهان کرده و ظاهری شبیه به ترافیک معمولی به آن بدهد.
- Sibot: Sibot یک بدافزار دو منظوره به زبان VBScript است که میتواند در شبکه هدف به صورت پایدار و دائمی حضور پیدا کند و پیلودهای مخرب را دانلود و اجرا کند. به گفته مایکروسافت، سه مدل از بدافزار Sibot وجود دارد که هر کدامشان عملکرد و قابلیتهای متفاوتی دارند.
- GoldFinder: این بدافزار هم به زبان Go نوشته شده و مایکروسافت معتقد است که از آن به عنوان یک ابزار ردیاب برای ثبت آدرسهای سرور و سایر زیرساختهای درگیر در این حمله سایبری استفاده شده است.
منتظر خبرهای بیشتر از سولارویندز باشید
هر چند مایکروسافت معتقد است که فاز حمله سولارویندز به پایان رسیده اما خیلی از زیرساختهای درگیر در این حمله هنوز به طور کامل به حالت قبل برنگشتند.
با توجه به الگوی عملکرد هکرها از نظر استفاده از زیرساختها و ابزارهای خاص برای هر قربانی و با توجه به سودی که حضور دائم در شبکههای هک شده برای آنها دارد، ممکن است با ادامه تحقیقات ابعاد جدیدی از این حمله آشکار شود.
پیدا شدن بدافزارهای جدید و زیرساختهای آلوده جدید برای افرادی که این حمله را پیگیری میکنند، موضوع عجیبی نیست چون اخیراً مایکروسافت خبر از اجرای فاز دوم حمله سولارویندز داده و توضیح داد که مهاجمان شبکههای هدف را به طور کامل تحلیل و بررسی کرده و سعی میکنند در این شبکهها حضوری دائم داشته باشند.