حمله بدافزار VPNFilter به کاربران و شبکه های کامپیوتری

حمله بدافزار VPNFilter به کاربران و شبکه های کامپیوتری

/0 دیدگاه /در /توسط

حمله بدافزار VPNFilter به کاربران و شبکه های کامپیوتری

VPNFilter یک بدافزار طراحی شده برای آلوده کردن روترها است. تا تاریخ 24 ماه مه 2018 چنین تخمین زده میشود که این بد افزار حدود 500000 تا 1000000 دستگاه روتر را آلوده کرده باشد. این بد افزار قابلیت سرقت اطلاعات را برای مجریان حمله فراهم کرده، و همچنین با داشتن قابلیت کلید مرگ یا (kill switch) این امکان را به شخص حمله کننده میدهد که دستگاه روتر را از کار انداخته و غیر قابل استفاده نماید. پلیس فدرال آمریکا این احتمال را میدهد که این بدافزار توسط گروه حملات سایبری (Fancy Bear (Pawn Storm ایجاد و گسترش داده شده باشد.

بررسی بدافزار VPNFilter نشان میدهد که قابلیت آلوده سازی روترهای صنعتی و همچنین روترهای خانگی و اداری تولید شده توسط شرکتهای Linksys، MikroTik، Netgear، و TP-Link را دارا میباشد.

حذف بدافزار VPNFilter

FBI به کاربران قربانی VPNFilter پیشنهاد کرد که برای حذف این بدافزار، روترهای خود را ری‌ست کنند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، در پی تحقیقات در مورد بدافزار VPNFILTER که صدها هزار روتر را در سراسر دنیا آلوده کرده‌است، FBI به همه‌ مشتریان و مدیران شرکت‌ها هشدار داد که روترهای خود را ری‌ست کنند تا این بدافزار حذف شود.

VPNFilter می‌تواند روترهای خانگی و شرکت‌های کوچک را به‌طور کامل از کار بیندازد. درضمن این بدافزار می‌تواند از طریق روتر اطلاعات کاربر را بدزدد. به بیان دیگر این بدافزار می‌تواند جاسوسی شما را بکند و یا به‌طور کامل روتر شما را خراب کند. هنوز معلوم نیست که هدف پشت VPNFilter چیست و یا چه کسی آن را ساخته اما FBI گفته که در حال تلاش برای نابودی آن است.

بدافزار VPNFilter

هنوز چیزهای بسیار زیادی درمورد بدافزار VPNFilter نمی‌دانیم. به گفته تیم امنیتی سیسکو، بیش از 500هزار روتر در 54 کشور دنیا آلوده شده‌اند که بیشتر آنها در اوکراین هستند.

دستگاه‌های آلوده‌ شناسایی شده به شرح زیر هستند:

• Linksys E1200
• Linksys E2500
• Linksys WRVS4400N
• Netgear DGN2200
• Netgear R6400
• Netgear R7000
• Netgear R8000
• Netgear WNR1000
• Netgear WNR2000
• QNAP TS251
• QNAP TS439 Pro
• TP-Link R600VPN

هنوز مشخص نیست که چقدر از این دستگاه‌ها دقیقاً در آمریکا، استرالیا، انگلیس، ایران، اکراین و یا هرجای دیگری هستند، اما FBI توصیه کرد که هرکسی که یک روتر در خانه دارد آن را ریبوت کند. البته این توصیه در هر شرایطی خوب و مهم است درنتیجه ارزش آن را دارد که چند دقیقه در یک روز را برای آن وقت بگذارید.

FBI همچنین توصیه کرد که روتر خود را آپدیت کرده و جدیدترین پچ‌های امنیتی سفت‌افزاری را دریافت کنید و رمز خود را نیز تغییر دهید. حتی اگر روتر شما آلوده نیست نیز این کار را انجام دهید.

منبع خبر: افتانا (پایگاه خبری امنیت فناوری اطلاعات)

iStock-843534370-620x349-min

آسیب‌پذیری پروتکل UPnP در برابر حملات DDOS

/0 دیدگاه /در /توسط

آسیب‌پذیری پروتکل UPnP در برابر حملات DDOS

آسیب‌پذیری پروتکل UPnP در برابر حملات DDOS :دانشمندان نوع جدیدی ازحملات اختلال سرویس توزیع شده راشناسایی کرده‌اند که شناسایی پورت‌های منبع راباچالش روبه‌رو می‌کند.

به گزارش پایگاه خبری امنیت فناوری اطلاعات،پژوهشگران نسبت به شیوه جدیدی ازحملات اختلال سرویس توزیع‌شده(DDOS)هشداردادندکه همه شرکت‌های دارای فعالیت‌های آنلاین را تهدیدمی‌کند.

در شیوه جدید یاد شده از آسیب‌پذیری موجود در پروتکل شبکه «UPnP» استفاده شده‌است.

درنتیجه مهاجمان می‌توانندروش‌های معمول شناسایی‌شدن رادوربزنند. حملات از طریق پورت‌های منبع نامنظم انجام می‌شوند، درنتیجه محافظت در مقابل حوادث آینده به‌وسیله شناسایی مبدا و تهیه فهرست سیاه از پورت‌ها سخت‌تر خواهدشد.

محققان شرکت امنیتی IMPERVA، این حمله را شناسایی کردند. تاکنون هکرهای ناشناس دو مرتبه از آن بهره گرفته‌اند.

ازپروتکلUPnPبرای شناسایی دستگاه‌های موجوددرشبکه استفاده می‌شود؛به‌ویژه ابزارهای اینترنت اشیا،ابزارهای اینترنت که ازآن برای یافتن یکدیگروارتباط برقرارکردن دریک شبکه محلی استفاده می‌کنند.

با وجود موارد شناخته‌شده در مورد تنظیمات پیش‌فرض ضعیف، عدم تایید هویت و اجرای از راه دور کدهای مخرب، این پروتکل همچنان مورد استفاده قرار می‌گیرد. همین مسئله باعث آسیب‌پذیر شدن ابزارها می‌شود.

اَویشی زاوزنیک (Avishay zawoznik)، رهبر گروه تحقیقات امنیتی IMPERVA، گفت:

درست مانند بسیاری از مباحث پیرامون ابزارهای اینترنت اشیایی که به‌سادگی از آن سوءاستفاده می‌شود.

بیشتر فروشندگان دستگاه‌های upnp ترجیح می‌دهند به جای امنیت، روی انطباق با پروتکل و تحویل آسان آن تمرکز کنند.

زاوزنیک ادامه داد:بسیاری ازفروشندگان به‌منظور انجام تنظیمات امنیتی بهتر،خودرابه دردسرنمی‌اندازند؛بلکه برای تنظیم مجددآنهاازسرورهای متن‌بازUPnPاستفاده می‌کنند.

با این حال محققان imperva ادعا می‌کنندکشف چگونگی استفاده ازحملات DDOS با بهره‌گیری ازپروتکل بالابه معنی ایجادمشکلات گسترده‌تر است.

وی افزود: ما یک شیوه جدید حمله اختلال سرویس توزیع شده کشف کردیم. در این روش از آسیب‌پذیری‌های شناخته‌شده، بهره گرفته‌می‌شود.

این مسئله همه شرکت‌هایی را که فعالیت آنلاین دارند با خطر مواجه می‌کند.

به گزارش پایگاه خبری امنیت فناوری اطلاعات

محققان در ماه آوریل، هنگام رخ دادن یک حمله به پروتکل «SSDP» متوجه مسئله‌ای جدید شدند.

آنها نوعی بات‌نت را شناسایی که کردند که آدرس آی‌پی ابزارهای قربانی را جعل می‌کند.

این کار به منظور پرس‌و‌جو از دستگاه‌های رایج متصل به اینترنت مانند مسیریاب‌ها ، چاپگرها و نقاط دسترسی صورت می‌گیرد.

در حالی که بیشتر حملات از پورت رایج ۱۹۹۰ SSDP بهره می‌گیرند، ۱۲ درصد آنها از منابع تصادفی انجام می‌شوند. کارشناسان Imperva متوجه شدند به‌منظور مخفی کردن اطلاعات پورت منبع می توان از حملات ادغام شده در UPnP استفاده کرد.

هکرها به‌راحتی می‌توانند ابزارهای مجهز به اینترنت اشیا موردنظر خود را با استفاده از موتور جست‌وجوی «Shodan» پیدا کنند.

پژوهشگران بیش از ۱.۳ میلیون ابزار آسیب‌پذیر را با کمک این موتور شناسایی کردند.

همچنین اگر فردی از اسکریپت‌ها برای شناسایی خودکار تجهیزات یاد شده بهره بگیرد، این عمل سریع‌تر خواهدشد.

رهبر گروه تحقیقات امنیتی IMPERVA توضیح داد: برای اینکه قربانی این موضوع نباشیم، کسب‌و‌کارها نباید به‌منظور محافظت از خود در برابر حملات اختلال سرویس توزیع شده، تنها روی پورت‌های منبع تمرکز کنند؛

بلکه باید شیوه‌ای بر پایه بسته‌های اطلاعاتی بارگذاری شده نیز ایجاد شود.

محققان خاطرنشان کردند برای محافظت از سیستم‌ها در برابر آسیب‌پذیری‌های UNPnP یک شیوه ساده وجود دارد.

تنها کافی است جلوی دسترسی ازراه دوربه دستگاه گرفته شود؛زیرااین ویژگی دربیشترمواردهیچ قابلیت مفیدی رابه کاربران ارائه نمی‌دهد.

منبع : افتنا

آیا اختلال تلگرام کار هکرهای روس است

آیا اختلال تلگرام کار هکرهای روس است

/2 دیدگاه /در /توسط

آیا اختلال تلگرام کار هکرهای روس است

آیا اختلال تلگرام کار هکرهای روس است ؟! اختلال در تلگرام حدس و گمان‌هایی درباره دخالت هکرهای دولتی روس در این ماجرا را مطرح کرده‌است.

به گزارش پایگاه خبری امنیت فناوری اطلاعات،برخی کاربران پس ازساعت‌هااختلال به تلگرام وصل شدند،اما قادربه ارسال پیام نیستند.

هنگام ارسال پیام درنسخه موبایل باپیامToo Many Requestsروبرو می‌شویم که این پیام ازسروربه معنای ترافیک غیرعادی وبیش‌ازحداست.

معمولاً این نوع ترافیک غیرعادی با حملات موسوم به DDOS روی سرور رخ می‌دهد و اگر اظهارنظر رسمی دوروف در مورد overheating سرور آمستردام را قبول کنیم، ارسال بیش‌ازحد درخواست به سرورها باعث شده‌است تا سی پی یو کلاسترها در بیراهه درگیر شده و داغ کنند.

بر این اساس ممکن است گیت‌هاب و سایر سرورهای هندل‌کننده نرم‌افزار با یک حمله تعریف‌شده از طریق بات‌های خودکار روبرو شده‌باشند که این قطعی پس از تهدیدهای کرملین و فیلترکردن تلگرام توسط رگلاتور روس، می‌تواند معنای حمله را تداعی کند.

هرچند مقامات روس دوروف را تهدید کرده‌اند، اما بستن ۲۰ میلیون آی‌پی آدرس و اختلال نیمی از ترافیک اینترنت در روسیه باعث نشده‌است که کاربران دست از تلگرام بردارند.

طبق آمار، دسترسی‌ فقط ۳ درصد از کاربران تلگرام در روسیه پس از فیلترشدن این پیام‌رسان، قطع ‌شده‌است.

منبع : افتنا

cisco-min

سیسکو درباره آسیب‌پذیری بحرانی در سیستم ها هشدار داد

/0 دیدگاه /در /توسط

سیسکو درباره آسیب‌پذیری بحرانی در سیستم ها هشدار داد

به گزارش پایگاه خبری امنیت فناوری اطلاعات ، آسیب‌پذیری بحرانی با کد ‫CVE_۲۰۱۸_۰۲۳۸ در خصوص سیستم Cisco_USC_Director  شناسایی شده‌است که مربوط به Role-based resource checking functionality در بخش مدیر سیستم USM است که طبق اطلاعات منتشر شده مهاجمان از راه‌دور می‌توانند اطلاعات غیرمجاز هر ماشین‌مجازی در بخش پورتال کاربران USM را مشاهده و هر عملیاتی دلخواه را در ماشین‌های مجازی هدف انجام دهند.

Cisco USC Director

یکی ازراه‌حل‌های شرکت سیسکو جهت مراکز داده مبتنی‌برسرویس‌های ابری است که از بخش‌ها و قابلیت‌های مختلفی تشکیل شده‌است.

این ابزار از طریق مدیریت متمرکز و یکپارچه شبکه و مرکز داده در لایه‌های مختلف پیاده‌سازی می‌شود، لذا به بخش‌های مختلفی در شبکه و مراکز داده متصل می‌شود که از اهمیت و حساسیت بالایی برای استفاده‌کنند‌گان برخوردار است.

آسیب‌پذیری فوق ناشی از عدم تایید هویت صحیح کاربران است. مهاجمان برای سوء‌استفاده از این آسیب‌پذیری می‌توانند با استفاده از نام‌کاربری تغییر یافته (متعلق به دیگر کاربران) و رمز عبور معتبر و در دسترس، وارد سیستم مدیریتی UCS شوند. لذا مهاجمان به تمامی پیکربندی‌ها و دیگر اطلاعات حساس دسترسی می‌یابند و می‌توانند هرگونه اقدامی علیه ماشین‌های مجازی انجام دهند.

این آسیب‌پذیری بر روی سیستم‌های UCS با نسخه ۶.۰ و ۶.۵ قبل از Patch ۳ که دارای پیکربندی پیش فرض هستند، تاثیر می‌گذارد. آسیب‌پذیری بیان شده از طریق رابط کاربری وب سیستم مورد سوء‌استفاده قرار می‌گیرد. (رابط کاربری Rest API آسیب‌پذیری و تحت تاثیر قرار نمی‌گیرد.)

لازم به ذکر است که هردونوع روش‌های احرازهویت به‌صورت محلی و ازطریق سرویس‌دهنده‌های LDAP می‌توانندموردسوء‌استفاده قرارگیرند.

این آسیب‌پذیری در نسخه Cisco UCS Director ۶.۵.۰.۳ وصله شده‌است که مدیران شبکه نیاز به به‌روز رسانی سیستم‌های خود دارند.

مسیر دریافت آخرین نسخه به‌روز رسانی شده، در سایت شرکت سازنده در مسیر زیر است:
Products > Servers – Unified Computing > UCS Director > UCS Director ۶.۵ > UCS Director Virtual Appliance Software-۶

دیگر اطلاعات در نشانی CISCO توسط شرکت سازنده در دسترس قرار دارد.

منبع : افتنا

کارکنان بخش امنیت خواهان تغییر شغل خود هستند

کارکنان بخش امنیت خواهان تغییر شغل خود هستند

/0 دیدگاه /در /توسط

کارکنان بخش امنیت خواهان تغییر شغل خود هستند

کارکنان بخش امنیت خواهان تغییر شغل خود هستند هشتادوچهاردرصدازکارکنان بخش امنیت سایبری درسال ۲۰۱۸،خواهان تغییر شغل خودهستند.

به گزارش پایگاه خبری امنیت فناوری اطلاعات:

گزارشی جدید از سوی مؤسسه ISC با عنوان «استخدام و نگهداری استعدادهای برتر در زمینه امنیت سایبری» نشان می‌دهد که شمار زیادی از افراد حرفه‌ای در حوزه امنیت سایبری در نظر دارند در سال جاری میلادی، شغل خود را تغییر دهند.

تحقیقات میدانی

این مؤسسه، یافته‌های خود را بر مبنای تحقیق میدانی بر روی ۲۵۰ خبره امنیت سایبری فعال در ایالات متحده آمریکا و کانادا منتشر کرده‌است. این گزارش نشان می‌دهد که تنها ۱۵ درصد از افراد مورد بررسی گفته‌اند که در سال ۲۰۱۸، هیچ برنامه‌ای برای تغییر شغل خود ندارند در حالی که ۱۴ درصد این افراد برای این کار برنامه‌ای در سر دارند و۷۰ درصد آنها در پی آزمودن فرصت‌های جدید هستند.

این داده‌ها نشان می‌دهند که عواملی همچون انتظارات برآورده‌نشده میان کسب‌وکارها و کارکنان آنها، تقاضای بالا برای مهارت‌های امنیتی و تماس‌های مداوم از سوی مؤسسات کاریابی می‌توانند نقش مهمی در تشویق خبرگان حوزه امنیت سایبری برای در نظر گرفتن فرصت‌های جدید داشته‌باشند.

 

کارکنان بخش امنیت خواهان تغییر شغل خود هستند

 

سایر اخبار مرتبط با دنیای شبکه را در RootLan دنبال کنید.

منبع : پایگاه خبری امنیت فناوری اطلاعات افتنا

انتشار بدافزار Mirai

انتشار بدافزار Mirai

/0 دیدگاه /در /توسط

انتشار بدافزار Mirai

انتشار بدافزار Mirai مرکزافتای ریاست جمهوری درباره انتشاربدافزار Mirai ونفوذآن به روترهای خانگی،تلویزیون‌‌ها ودوربین‌های مداربسته هشدارداد.

مرکزمدیریت راهبردی امنیت فضای تبادل اطلاعات ریاست جمهوری نسبت به انتشاربدافزارMirai هشداردادکه توان نفوذبه روترهای خانگی،تلویزیون‌‌ها ودوربین‌های مداربسته رادارد.

این نرم‌افزار مخرب،مرتبط با بات‌نت Reaper به روترهای خانگی،تلویزیون‌ها،DVR ها ودوربین‌های مداربسته نفوذمی‌کندوبه بدافزاراینترنت اشیامعروف است.

بدافزار Mirai

نمونه کشف‌شده ازبدافزار Mirai که ازاواخرژانویه۲۰۱۸به برخی ازسازمان‌های مالی حمله کردوبیش از۱۳هزاردستگاه اینترنت اشیارا به خطرانداخت،موجب حملهDDoSدر سازمان‌های مالی شد.

محصولات آسیب‌پذیری که مورد حمله بات‌نت Mirai قرار گرفته‌اند شامل AVTECH ،‌Dahua Technology Co ،‌GoAhead ،‌Linksys ،‌MikroTik ،‌Samsung ،Synology ،‌TP-Link و Ubiquity می‌شوند.

کارشناسان امنیتی به کاربران دستگاه‌های IoT پیشنهاد می‌کنند که برای کاهش خطرات ناشی از این بدافزار کلمات عبور پیش‌فرض تنظیم‌شده برای دستگاه را تغییر دهند، فریم‌ور دستگاه‌های خود را به‌روزرسانی کنید، برای دوربین‌های IP و سیستم‌های مشابه نیازمند دسترسی از راه دور VPN تهیه کنند، سرویس‌های غیرضروری (همانند Telnet و …) را غیرفعال کنند و پورت‌هایی غیرضروری برای دستگاه IoT را ببندند.

درحمله نمونه‌ای ازبدافزار Mirai به اینترنت اشیادرسال۹۵،بسیاری ازاین ابزارهاازرمزهای عبورساده یا حتی رمزهای انتخاب‌شده کارخانه استفاده می‌کرده‌اند.

گفته می‌شود در این حمله، حدود ۱۰۰ هزار تلاش برای ورود به دستگاه‌های آسیب‌پذیر از یک‌هزار و هشتصد IP مختلف در ۱۲ روز صورت گرفت. ۶۴ درصد این IPها به چین، ۱۳ درصد به کلمبیا، ۶ درصد به کره جنوبی و همچنین ۶ درصد به ویتنام تعلق داشته‌است.

بهمن‌ماه ۱۳۹۶محققان شرکت امنیت سایبری Dr.webموفق به کشف نوعی تروجان ویندوزی شدندکه تنهاباهدف کمک به هکرهادرانتشار بدافزار Mirai طراحی شده‌بود.

منبع : افتنا

حمله سایبری به وزارت امور خارجه آلمان

حمله سایبری به وزارت امور خارجه آلمان

/0 دیدگاه /در /توسط

حمله سایبری به وزارت امور خارجه آلمان

حمله سایبری به وزارت امور خارجه آلمان :هکرهایی که به گفته وزیر امور خارجه آلمان روس هستند در یک حمله سایبری، این وزارت‌خانه را به دردسر انداختند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، طی یک حمله سایبری به وزارت امور خارجه آلمان، مقامات این کشور با مشکلات جدی روبه رو شده‌اند.

Heiko Maas، وزیر امور خارجه آلمان، طی گزارشی خبر از حمله سایبری به این وزارت‌خانه داد و اظهار کرد: اطلاعاتی در اختیار دارند که نشان می‌دهد روسیه در پس این حملات قرار دارد.

در حمله سایبری اخیر شواهدی یافت شده‌‌است که نشانگر دست داشتن روسیه در این حملات است.

از این رو وزارت امور خارجه آلمان، فهرستی از اقدامات سایبری روسیه جمع‌آوری کرده‌است.

درچندسال اخیرااتهامات گسترده‌ای متوجه حوزه سایبری روسیه بوده‌است ازجمله این اتهامات می‌توان به هک حزب دموکرات آمریکا،هک انتخابات آمریکاو…اشاره کرد.

وزیرامورخارجه آلمان اشاره کردکه ما مورد حمله سایبری قرار گرفته‌ایم و هنوز هم ابعاد این حمله مشخص نشده‌است.

به عبارت دیگر این حملات درسطح یک وزارتخانه صورت گرفته‌است وهنوزمشخص نیست چه اطلاعاتی،سرقت یاچه میزان نفوذاتفاق افتاده‌است.

german

منبع : افتنا

گوگل و نسخه‌ای تازه از جی‌میل

گوگل و نسخه‌ای تازه از جی‌میل

/0 دیدگاه /در /توسط

گوگل و نسخه‌ای تازه از جی‌میل

گوگل و نسخه‌ای تازه از جی‌میل :گوگل در نسخه جدید جی‌میل به کاربران امکان ارسال نامه‌های قابل انقضا را می‌دهد.

google

به گزارش پایگاه خبری امنیت فناوری اطلاعات

برخی تصاویر منتشر شده دراینترنت نشان می‌دهد،گوگل درحال طراحی نسخه‌ای تازه ازجی‌میل است که ازطریق آن می‌توان ایمیل‌هایی باامنیت بالاوتاریخ انقضای مشخص فرستاد.

طراحی جدید ظاهری متفاوت و پاکیزه را برای جی‌میل به ارمغان می‌آورد.

ازجمله این تفاوتها می‌توان به افزوده شدن قابلیت ارسال ایمیل‌های دارای تاریخ انقضااشاره کردوازطریق بخشی بنام حالت محرمانه دردسترس هستند.

ازاین طریق می‌توان ایمیل‌هایی برای اشخاص خاص ارسال کردکه تنهاتوسط همان فردوبرای زمان محدودی که ازقبل مشخص شده،قابل خواندن هستند.

فردارسال‌کننده خواهد‌توانست مدت‌زمان قابل خواندن بودن ایمیل ارسالی اعم ازچندهفته،ماه یاسال رامشخص کندوبعدازآن دسترسی به آن ایمیل ومطالعه آن غیرممکن می‌شود.

این اقدام گوگل تقلیدی ازبرخی خدمات ارسال ایمیل مانندپروتون وهمین‌طورشبکه اجتماعی اسنپ‌چت محسوب می‌شودکه ارسال پیام‌هاوتصاویردارای تاریخ انقضاراممکن می‌کنند.

کپی، باز ارسال، چاپ کردن، بارگذاری و هرگونه استفاده جانبی از ایمیل‌های دارای تاریخ انقضا ناممکن است و فرستنده در صورت تمایل می‌تواند برای گیرنده یک کد فعال‌سازی هم ارسال کند تا وی تنها با ورود آن قادر به مشاهده ایمیل مذکور باشد.

منبع : افتنا

TeleRAT به استخراج اطلاعات کاربران تلگرام می‌پردازد

/0 دیدگاه /در /توسط

تروجان اندرویدی TeleRAT به استخراج اطلاعات کاربران تلگرام می‌پردازد.

به گزارش پایگاه خبری امنیت فناوری اطلاعات ، محققان امنیتی به تازگی درباره تروجان اندرویدی جدیدی هشدار داده‌اند که از واسط‌های برنامه‌نویسی بات تلگرام برای ارتباط با سرور دستور و کنترل و ارسال داده‌ها به این سرور بهره‌برداری می‌کند.

این بدافزار TeleRAT نام دارد و گویا ایران و کاربران ایرانی را هدف گرفته‌ است. این بدافزار مشابه بدافزار IRRAT است که قبلا مشاهده شده‌ بود و از واسط‌ های برنامه‌نویسی بات تلگرام بهره‌برداری می‌کرد.

بدافزار IRRAT هنوز هم به فعال است و خود را در قالب برنامه‌هایی که شماره‌ بازدیدکنندگان پروفایل تلگرام شما را نمایش می‌دهند، توزیع می‌کند. این برنامه پس از نصب، بدافزار را ایجاد کرده و فایل‌هایی را بر روی سیم‌کارت قربانی توزیع می‌کند که در ادامه می‌تواند اطلاعاتی را به سمت سرور دستور و کنترل ارسال کند.

فایل‌هایی که به سمت سرور دستور و کنترل ارسال می‌شود حاوی فهرست مخاطبان، فهرستی از حساب‌های گوگل که بر روی دستگاه ثبت شده‌اند، تاریخچه‌ پیامک‌ها و تصاویر ثبت‌شده با دوربین جلو و عقب گوشی هستند. بدافزار مخرب گزارش‌های خود را به بات تلگرام تحویل داده و از منوی گوشی محو می‌شود و در پس‌زمینه اجرا شده و منتظر دستورات می‌ماند.

از طرف دیگر بدافزار TeleRAT دو فایل بر روی دستگاه قربانی ایجاد می‌کند. یکی از این فایل‌ها حاوی اطلاعات زیادی در مورد دستگاه قربانی است و در دیگری نیز فهرست کانال‌های تلگرام و دستورات متعدد ذخیره شده‌است. این بدافزار پس از نصب بر روی دستگاه قربانی با ارسال تاریخ و زمان به بات تلگرام از طریق واسط‌های برنامه‌نویسی تلگرام به مهاجم این مسئله را اطلاع می‌دهد.

بدافزار در ادامه سرویسی را در پس‌زمینه راه‌اندازی می‌کند و به تغییراتی که در حافظه‌ دستگاه ایجاد می‌شود گوش می‌دهد. بدافزار هر ۴٫۶ ثانیه به‌روزرسانی‌ها را از بات تلگرام واکشی کرده و به دستورات گوش می‌دهد. بدافزار در ادامه براساس دستوراتی که دریافت می‌کند می‌توان فهرستی از مخاطبان ایجاد کند، فایل‌هایی را ایجاد کند، مخاطب‌های جدید اضافه کند، پیامک ارسال و دریافت کند، با شماره‌های مختلف تماس بگیرد، دستگاه را در حالت بی‌صدا یا صدادار قرار دهد، با دوربین گوشی عکس بگیرد یا عکس‌ها را از گالری دستگاه جمع‌آوری کند.

این بدافزار می‌تواند با استفاده از تابع sendDocument در واسط برنامه‌نویسی بات تلگرام، فایل‌هایی که از دستگاه قربانی جمع‌آوری کرده را به سمت سرور دستور و کنترل ارسال کند. این بدافزار تمامی ارتباطات خود را با استفاده از واسط برنامه‌نویسی بات تلگرام انجام داده و تشخیص‌های مبتنی بر شبکه را دور می‌زند. بدافزار با استفاده از این واسط‌های برنامه‌نویسی برای به‌روزرسانی از دو تابع getUpdates و یا Webhook استفاده می‌کند.

گفته می‌شود شناسه‌ توسعه‌دهنده‌ این بدافزار در کد آن موجود است که محققان را به سمت کانال تلگرامی با نام vahidmail۶۷ هدایت می‌کند. در این کانال سرویس‌هایی مانند لایک و دنبال‌کننده‌ اینستاگرام، سرویس‌های باج‌افزاری و هرگونه تروجان ناشناخته ارائه می‌شود. محققان همچنین متوجه شدند در انجمن‌های برنامه‌نویسی ایرانی یک کتابخانه با قابلیت کنترل توسط بات تلگرام برای فروش تبلیغ می‌شده که نمونه‌هایی از این کد در بدافزار TeleRAT مشاهده شده‌است. هرچند این انجمن ادعا می‌کند طبق قوانین کشور ایران کار می‌کند، ولی چنین عملیات مخربی نیز در آن مشاهده می‌شود.

به دلیل اینکه در بدافزار TeleRAT از کدهای توسعه‌دهندگان مختلف و کدهای متن‌باز استفاده شده‌است، به راحتی نمی‌توان آن را به گروه خاصی نسبت داد. با این حال گفته می‌شود توسعه‌دهندگان این تروجان چند نفر هستند که داخل ایران فعالیت می‌کنند.

این بدافزار در بازارهای شخص ثالث برنامه‌های کاربردی در قالب برنامه‌های قانونی و غیرقانونی و همچنین کانال‌های تلگرامی توزیع می‌شود. تقریبا ۲۲۹۳ کاربر تاکنون به این بدافزار آلوده شده‌اند که نزدیک به ۸۲ درصد از شماره‌ها مربوط به ایران هستند.

منبع : افتنا

Inte

اینتل، برنامه‌ Remote Keyboard را متوقف می‌کند

/0 دیدگاه /در /توسط

اینتل، برنامه‌ Remote Keyboard را متوقف می‌کند

به گزارش پایگاه خبری امنیت فناوری اطلاعات ، شرکت اینتل، آسیب‌پذیری‌های بحرانی موجود در برنامه‌ Remote Keyboard را وصله نخواهدکرد و به کاربران توصیه کرده‌است تا آن را حذف کنند.

برنامه‌ Remote Keyboard اینتل که در ژوئن سال ۲۰۱۵ میلادی برای سیستم‌عامل‌های اندروید و iOS معرفی شده‌است به کاربران اجازه می‌دهد تا به‌صورت بی‌سیم دستگاه‌های NUC و Compute Stick خود را از طریق یک تلفن‌همراه هوشمند یا تبلت کنترل کنند. این برنامه‌ اندرویدی بیش از ۵۰۰ هزار بار نصب شده‌است.

پژوهشگران اخیرا کشف کرده‌اند که تمام نسخه‌های برنامه‌ Remote Keyboard اینتل، تحت‌تاثیر سه آسیب‌پذیری جدی افزایش امتیاز قرار دارند.

جدی‌ترین این آسیب‌پذیری‌ها که با عنوان «بحرانی» رتبه‌بندی شده و با شناسه‌ CVE-۲۰۱۸-۳۶۴۱ ردیابی می‌شود به مهاجم اجازه می‌دهد تا به‌عنوان یک کاربر محلی، ضربه به کلیدها را تزریق کند. این آسیب‌پذیری توسط یک پژوهشگر انگلیسی که از نام کاربری برخط «trotmaster» استفاده می‌کند به اینتل گزارش شده‌است.

intel-remote-keyboard

 

یکی دیگر از آسیب‌پذیری‌ها که با شناسه‌ CVE-۲۰۱۸-۳۶۴۵ ردیابی شده و دارای «شدت بالا» است، توسط مارک بارنز پژوهشگر به اینتل گزارش شد. این پژوهشگر کشف کرده‌است که برنامه‌ Remote Keyboard اینتل توسط یک نقص افزایش امتیاز تحت‌تاثیر قرار گرفته و مهاجم را قادر می‌کند تا ضربه به کلیدها را به یک نشست صفحه‌ کلید دیگر تزریق کند.

سومین حفره‌ امنیتی که با شناسه‌ CVE-۲۰۱۸-۳۶۳۸ ردیابی می‌شود به مهاجم اجازه می‌دهد تا با افزایش امتیاز، کد دلخواه خود را اجرا کند. این آسیب‌پذیری توسط ماریوس گابریل میهای کشف شده‌است.

اینتل قصد ندارد تا وصله‌ای را برای این آسیب‌پذیری‌ها منتشر کند. این شرکت تصمیم گرفته‌است تا این محصول را متوقف کرده و به کاربران توصیه کرده‌است که آن را حذف کنند. برنامه‌ Remote Keyboard اینتل از هر دو فروشگاه برنامه‌های گوگل‌پلی و اپل حذف شده‌است.

همچنین اینتل در این هفته به‌منظور هشدار به مشتریان خود در مورد یک آسیب‌پذیری مهم منع سرویس (DoS) که مولفه‌ SPI Flash در چند پردازنده را تحت‌تاثیر قرار می‌دهد، یک توصیه‌نامه‌ امنیتی منتشر کرده‌است. این نقص توسط خود اینتل کشف‌شده و روش‌های مقابله با آن نیز در دسترس است.

همچنین این شرکت کاربران را از وجود یک آسیب‌پذیری افزایش امتیاز در مودم‌های ۲G، ازجمله XMM۷۱xx، XMM۷۲xx، XMM۷۳xx، XMM۷۴xx، Sofia ۳G، Sofia ۳G-R و Sofia ۳G-RW آگاه کرده‌است. این آسیب‌پذیری، دستگاه‌هایی را تحت‌تاثیر قرار می‌دهد که قابلیت سامانه‌ هشدار زلزله و سونامی (ETWS) را فعال کرده‌اند.

مهاجم می‌تواند این آسیب‌پذیری را برای اجرای کد دلخواه مورد بهره‌برداری قرار دهد. اینتل اعلام کرد که برای این آسیب‌پذیری، وصله‌هایی را توسعه داده‌است و گفت: «دستگاه‌های مجهز به مودم آسیب‌دیده، هنگام اتصال به یک ایستگاه ۲G جعلی که در آن نرم‌افزار غیرسازگار ۳GPP استفاده می‌شود در معرض خطر قرار دارند.

منبع : افتنا