info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

سرقت اطلاعات به دور از چشم فایروال!

خلاصه: مایکروسافت با بررسی کار‌های یک گروه هکری به نام Platinum که هدف آن بیشتر اهداف مشخص برای جاسوسی از سازمان‌های حساس است دریافته است که این گروه لااقل از سال ۲۰۰۹ با استفاده از قابلیت مدیریت برد اصلی سیستم‌ها از راه دور به نام AMT توانسته فایر‌وال‌ها و مکانیزم‌های امنیتی بر پایه هاست را دور بزند و شناسایی نشود.

 

امروزه برای یک گروه هکری که از پشتیبانی مالی خوبی برخوردار بوده و از طرف یک کشور و یا سیستم‌های اطلاعاتی آن پشتیبانی شوند سخت نیست که به یک شبکه نفوذ کنند و سیستم‌ها را آلوده به بدافزار نمایند. اما مساله چالش برانگیز حفظ درب پشتی ایجاد شده روی سیستم‌ها و عدم تشخیص توسط فایروال‌ها و برنامه‌های امنیتی نظارت بر شبکه است.

با این حال، یک گروه هکری که با نام Platinum شناخته می‌شود و اهداف آن معمولا سازمان‌های دولتی، صنایع نظامی و شرکت‌های مخابراتی است از سال ۲۰۰۹ راهی را یافته که با استفاده از آن توانسته فعالیت‌های خرابکارانه خود را از دید مکانیزم‌های امنیتی بر پایه هاست پنهان کند.

مایکروسافت به تازگی پی برده که این گروه جاسوسی سایبری از تکنولوژی مدیریت فعال اینتل یا AMT و کانال سریال بر پایه شبکه محلی (SOL) به عوان ابزار انتقال فایل برای دزدی فایل از کامپیوتر‌های هدف استفاده کرده و شناسایی نشده است.

پردازنده‌های بر پایه اینتل یا یک سیستم تعبیه شده عرضه می‌شوند که به آن AMT گفته می‌شود. این فناوری به این منظور طراحی شده که مدیران آی‌تی سازمان‌ها این امکان را داشته باشند که از راه دور نسبت یه عیب‌یابی و تعمیر کامپیوتر‌ها و سرور‌های سازمان اقدام کنند. سیستم AMT مستقل از سیستم عامل فعالیت می‌کند و حتی زمانی که سیستم خاموش است نیز کار می‌کند به شرطی که سیستم به کابل برق و کابل شبکه متصل باشد. این بدین معنی است که زمانی که AMT فعال است هر بسته‌ای که به سمت کامپیوتر روی پورت شبکه ارسال می‌شود می‌تواند به سمت موتور مدیریت و AMT تغییر مسیر داده و بنابراین سیستم‌عامل و مکانیزم‌های امنیتی هیچ اطلاعی از آن پیدا نکنند. در شکل زیر نحوه عبور ترافیک معمولی و ترافیک SOL با استفاده از AMT نشان داده شده است.

ممکن است این شبهه ایجاد شود که این گروه از آسیب‌پذیری بحرانی که ماه پیش روی سرویس AMT کشف شد و دسترسی کامل به کامپیوتر قربانی بدون نیاز به کلمه عبور می‌داد استفاده می‌کنند؛ اما این گروه از هیچ ضعف امنیتی روی AMT استفاده نمی‌کنند و از ویژگی‌های آن بهره می‌برند و تنها چیزی که نیاز دارند این است که این سرویس روی کامپیوتر قربانی فعال باشد.

مایکروسافت خاطرنشان کرده که جلسه SOL نیاز به نام کاربری و کلمه عبور دارد و هکر‌ها این اطلاعات را قبل از نفوذ از دیگر اطلاعات سرقت شده و یا راه‌های دیگر به دست می‌آورند.

گروه Platinum با استفاده از اکسپلویت‌های روز صفر و تکنیک‌های سطح بالا سعی در نفوذ به سیستم‌ها و شبکه‌های کشور‌های جنوب آسیا دارد؛ اما این اولین بار است که کسی با استفاده از ابزار‌های سالم مدیریت از تشخیص پنهان می‌شود.

مایکروسافت اعلام نموده که روی آنتی‌ویروس خود که روی ویندوز نصب است این هشدار را به مدیر شبکه می‌دهد که از AMT SOL سوء استفاده می‌شود. اما این تنها برای سیستم‌های بر پایه سیستم‌عامل ویندوز امکان پذیر است و دیگر سیستم‌ها هنوز خطر نفوذ از این راه را دارند.

تحت نظارت وف ایرانی