محققان حوزهی امنیت شرکت ESET هشدار دادند، بدافزار (Malware) مخرب KillDisk که پیش از این در حملات صورت گرفته به شرکتهای صنعتی نقش داشته است، به تازگی ماشینهای Linux را نیز آلوده مینماید.
طبق بررسیهای بعمل آمده، KillDisk با عامل BlackEnergy مرتبط است زیرا این بدافزار یکی از ابزارهای مورد استفاده توسط BlackEnergy، جهت هدف قرار دادن واحد انرژی اوکراین در اواخر سال 2015 میلادی بوده، گرچه در آن زمان به طور مستقیم در بروز قطعیهای آن بخش دخیل نبوده است.
KillDisk پیش از این نیز به دلیل اینکه میتواند کلیه اطلاعات روی هارد را پاک کند و سیستمها را از کار بیندازد، به عنوان تهدیدی مهم در نظر گرفته شده است. از طرفی طبق بررسیهای بعمل آمده، قابلیتهای رمزگذاری و عملکرد مانند یک باجافزار (Ransomware) نیز بدان اضافه شده است. به همین دلیل این بدافزار نیاز به دسترسیهای بیشتری داشته و باید خود را به عنوان یک سرویس Register نماید و سپس فرآیندهای مختلف را از بین ببرد و در عین حال از فرآیندهای ضروری اجتناب نماید.
طبق اظهارات ESET، این بدافزار با گروهی از تهدیدات به نام TeleBots مرتبط است که ظاهرا روند تکامل یافتهی گروه روسیِ BlackEnergy به نام Sandworm میباشد. به نظر میرسد بخش مالی کشور اوکراین با استفاده از ابزارهای مختلف، توسط این گروه مورد هدف قرار داده شده است که از آن جمله میتوان از نسخهی جدیدتر KillDisk نام برد که پس از مدت زمانی معین مجددا فعال شده و فایلهای دارای افزونههای خاص را بازنویسی میکند.
طبق گفته محققان در نوع لینوکسی این بدافزار یک پیغام به شیوهای نامعمول در GRUB Bootloader برای کاربر نمایش داده می شود. بدین معنا که ورودیهای Bootloader توسط بدافزار بازنویسی میشود تا متن مورد نظر باجافزار جهت درخواست مبلغ مربوطه، نمایش داده شود.
روند اصلی رمزگذاری به صورت تکراری از چندین پوشه در Directory Root، تا 17 زیرشاخه (Subdirectory) در آن عبور مینماید، در حالی که فایلهای آن با استفاده از Triple-DES به کار رفته برای فایل بلوکهای 4096 بایتی رمزگذاری میشوند. به هرحال محققان عنوان میکنند که تهدیدات از یک مجموعه متفاوت از کلیدهای رمزگذاری 64 بیتی برای هر یک از فایلهای رمزگذاری شده استفاده میکنند.
این موضوع ثابت شده است که KillDisk بسیار مخرب میباشد چرا که سیستمهای آلوده را پس Reboot کردن دیگر نمیتوان Boot نمود. علاوه بر آن، کلیدهای رمزگذاری ایجاد شده بر روی Host آسیبدیده به سرور C&C ارسال نشده و به صورت Local نیز ذخیره نمیشوند، بدین ترتیب هیچ راهی برای بازیابی فایلها وجود نخواهد داشت و طبق هشدار شرکت ESET، پرداخت مبلغ درخواستی به هکرها، هدر دادن پول و زمان است.
محققان امنیتی تاکید کردهاند که علیرغم وجود قربانیانی که حاضر به پرداخت مبالغ درخواستی بسیار زیاد از سوی این باجافزار میباشند، مجرمان سایبری در پشت پردهیِ این نوع KillDisk، قادر به تهیهی کلیدهای رمزگشایی برای بازیابی فایلها نیستند.
ESET اعلام نمود: با این همه، نقطه ضعفی که در رمزگذاری مربوط به نسخهی لینوکسی این باجافزار وجود دارد، بازیابی فایلها را هرچند دشوار، ممکن میسازد. ضمن اینکه این موضوع در مورد نوع ویندوزی این باجافزار صدق نمیکند.
گروههای مهاجم فعال در حوزه اینگونه عملیات به پلتفرمهای مختلفی توجه نشان میدهند که ممکن است PCهای ویندوزی که سیستمهای SCADA/ICS را تحت کنترل دارند و یا Workstationها باشند. بنابراین مهاجمان میتوانند فایلهای موجود بر روی سیستمهای لینوکسی را از بین ببرند. با این وجود ESET اعلام کرده است که هرگونه ارتباط میان ایجادکنندگان این حملات نامشخص و بسته به موقعیت میباشد.
با توجه به اینکه حملات قبلی از نوع عملیات سایبریِ جاسوسی و خرابکاری بوده است، موضوع غیرمعمول در مورد KillDisk، افزوده شدن قابلیتهای شبه باجافزار به آن میباشد. در واقع به گفته محققان حوزهی امنیت، احتمالا افزودن چنین عملکردی بیش از آنکه قصد ارائه ویژگیهای واقعی باجافزار را داشته باشد، با هدف افزایش قابلیت مخرب بودن در بدافزار صورت گرفته است.
در پایان به کاربران توصیه میشود در هنگام مواجهه با باجافزارها، از پرداخت مبالغ درخواستی اکیدا خودداری نمایند چرا که ضمانتی برای بازپسگیری اطلاعات وجود ندارد. به نقل از محققان ESET، پیشگیری امنترین روش مواجهه با باجافزارها میباشد که از طریق آموزش، بهروز نگه داشتن و Patch کردن کامل سیستمها با استفاده از یک راهکار امنیتی قابل اطمینان، انجام پشتیبانگیری و تست نمودن قابلیت بازیابی اطلاعات، حاصل میگردد.
