حمله سایبری به نرم‌افزار محبوب ساخت ایمیج دیسک؛ کاربران Daemon Tools مراقب باشند

پژوهشگران امنیتی شرکت کسپرسکی (Kaspersky) از کشف یک «درِ پشتی» (Backdoor)¹ مخرب در نرم‌افزار محبوب «دیمن تولز» (Daemon Tools) خبر داده‌اند؛ برنامه‌ای که بسیاری از کاربران برای ساخت درایو مجازی و اجرای فایل‌های ایمیج از آن استفاده می‌کنند.

داده‌های جمع‌آوری‌شده از آنتی‌ویروس‌های کسپرسکی نشان می‌دهد که هزاران سیستم ویندوزی در سراسر جهان در معرض این حمله گسترده قرار گرفته‌اند؛ همچنین کسپرسکی می‌گوید در بدافزارهای استفاده‌شده نشانه‌هایی از زبان چینی دیده شده، اما این کمپین هنوز به یک گروه هکری شناخته‌شده نسبت داده نشده است.

وقتی ابزارهای کاربردی به تروجان تبدیل می‌شوند

به گفته متخصصان کسپرسکی، مهاجمان توانسته‌اند نسخه‌های آلوده‌ی فایل نصب دیمن تولز را از مسیر رسمی دانلود این نرم‌افزار در اختیار کاربران قرار دهند. داده‌های تله‌متری² کسپرسکی از هزاران تلاش برای نصب payload³های مخرب از طریق نسخه آلوده نرم‌افزار دیمن تولز در بیش از ۱۰۰ کشور و منطقه خبر می‌دهد؛ اما payloadهای پیشرفته‌تر فقط روی تعداد محدودی از سیستم‌ها، عمدتاً در سازمان‌های منتخب، مشاهده شده‌اند.

آن‌ها پس از دسترسی به هزاران کامپیوتر، با هوشمندی کامل تنها شبکه‌های خاصی را در بخش‌های علمی، تولیدی، خرده‌فروشی و نهادهای دولتی انتخاب کرده‌اند. هکرها سپس بدافزارهای سازمانی و مخرب‌تری را صرفاً روی این اهداف ویژه در کشورهایی نظیر روسیه، بلاروس و تایلند نصب کرده‌اند تا فرایند سرقت اطلاعات را تکمیل کنند.

ابعاد خطر و وضعیت فعلی

طبق گزارش اولیه کسپرسکی، فایل نصبی نسخه ویندوزی برنامه دیمن تولز در سایت رسمی توسعه‌دهنده، آلوده بود و رسانه تِک‌کرانچ (TechCrunch) هم در بررسی مستقل خود وجود درِ پشتی را در فایل دانلودی تأیید کرد. با این حال، پس از افشای موضوع، شرکت سازنده نسخه‌ی جدید 12.6.0.2445 را منتشر کرده که بنا بر به‌روزرسانی کسپرسکی، دیگر رفتار مخرب گزارش‌شده را نشان نمی‌دهد.

روند رو به رشد حملات زنجیره تأمین

این تازه‌ترین نمونه از حملات «زنجیره تأمین» (Supply Chain)⁴ است که در ماه‌های اخیر به شدت افزایش یافته‌اند. در این روش پیچیده هکرها به جای حمله مستقیم به کاربران، سیستم توسعه‌دهندگان نرم‌افزار را هک می‌کنند. در نتیجه کدهای مخرب در قالب یک آپدیت رسمی یا فایلِ نصبی کاملاً معتبر به سیستم کاربران منتقل می‌شود.

پیش‌تر نیز نرم‌افزارهای پرکاربردی مانند ++Notepad و ابزارهای مانیتورینگ سیستمِ CPUID هدف حملات مشابهی قرار گرفته بودند. هکرها طی چنین حملاتی در سکوت کامل به شبکه‌های حساس دولتی، زیرساخت‌های تجاری و حتی سیستم‌های خانگی دسترسی کامل و دائمی پیدا می‌کنند.

پرسش‌های تکمیلی

1. درِ پشتی (Backdoor) راهی مخفی برای ورود به یک سیستم، برنامه یا دستگاه است که معمولاً بدون اطلاع کاربر ایجاد می‌شود. هکرها یا سازندگان بدافزار می‌توانند از این مسیر، کنترل سیستم را به‌دست بگیرند یا اطلاعات را سرقت کنند. به زبان ساده، مثل کلید یدکی پنهانی است که صاحب‌خانه از وجودش خبر ندارد. ↩︎
2. داده‌های تله‌متری (Telemetry Data) اطلاعاتی هستند که یک نرم‌افزار یا دستگاه درباره وضعیت، عملکرد و خطاهای خود جمع‌آوری و ارسال می‌کند. این داده‌ها معمولاً برای عیب‌یابی و بهبود محصول استفاده می‌شوند. ↩︎
3. محموله مخرب (Payload) همان بخش اصلی بدافزار است؛ یعنی کاری که بدافزار برای انجامش طراحی شده. این کار می‌تواند سرقت رمزها، نصب درِ پشتی، رمزگذاری فایل‌ها یا ارسال اطلاعات به مهاجم باشد. به زبان ساده، بدافزار مثل موشک است و Payload محموله خطرناک داخل آن. ↩︎
4. حملات زنجیره تأمین (Supply Chain Attacks) یعنی مهاجم به‌جای هدف گرفتن مستقیم کاربر، یکی از ابزارها، شرکت‌ها یا نرم‌افزارهای مورد اعتماد او را آلوده می‌کند. مثلاً یک به‌روزرسانی نرم‌افزاری یا افزونه ظاهراً معتبر می‌تواند حامل بدافزار باشد. خطر این حملات بالاست، چون قربانی معمولاً به منبع آلوده‌شده اعتماد دارد. ↩︎