انهدام بزرگ ترین شبکه آنلاین مجرمان سایبری جهان به دست مایکروسافت

مایکروسافت با همکاری شرکای امنیتی خود در ۳۵ کشور جهان توانسته است یکی از فعال‌ترین و بزرگ‌ترین بات‌نت‌های اینترنتی موسوم به Necrus را متوقف کند.

مایکروسافت و شرکای تجاری و امنیتی‌اش در ۳۵ کشور جهان در پروژه‌ای مشترک با ترکیبی از اقدام‌های قانونی و فنی توانستند یکی از بزرگ‌ترین بات‌نت‌های بدافزار جهان به‌نام Necrus را متوقف کنند. این بدافزار بیش از ۹ میلیون کامپیوتر شخصی را در سرتاسر جهان آلوده کرده بود. اقدام اخیر، حاصل هشت سال همکاری و تحقیق امنیتی سازمان‌های متعدد بود. اکنون با از بین رفتن بدافزار Necrus، مجرمان سایبری در شبکه‌ی پشتیبانی آن دیگر توانایی سوءاستفاده از عملکرد بدافزار را نخواهند داشت. آن‌ها با بهره‌گیری از نکروس، حملات سایبری ساختارمند را به کامپیوترهای متعدد طراحی می‌کردند.

بات‌نت به شبکه‌‌ای از کامپیوترها گفته می‌شود که یک مجرم سایبری، گروهی از آن‌ها را با بدافزار آلوده می‌کند. وقتی شبکه‌ی مذکور، آلوده شود، مجرمان کامپیوترهای موجود را تحت کنترل می‌گیرند و از آن‌ها برای اقدام‌های مجرمانه سوءاستفاده می‌کنند. زیرمجموعه‌ی مایکروسافت به‌نام Digital Crime Unit با همکاری شرکت امنیتی BitSight و تعدادی شرکت امنیتی دیگر، بات‌نت نکروس را در سال ۲۰۱۲ کشف کردند. از آن زمان بدافزارهای متعددی کشف شد که از این بات‌نت برای توزیع بهره می‌بردند. از میان مهم‌ترین بدافزارها می‌توان GameOver Zeus را نام برد که به‌‌صورت تروجان، به شبکه‌های بانکی حمله می‌کرد.

بات‌نت نکروس یکی از بزرگ‌ترین شبکه‌های جهانی محسوب می‌شود که کاربرد زیادی در ارسال ایمیل‌های اسپم دارد. قربانیان اسپم‌های این شبکه تقریبا در تمامی کشورهای جهان دیده می‌شوند. به‌عنوان مثال یک بررسی ۵۸ روزه روی بات‌نت نشان داد که تنها از یکی از کامپیوترهای آلوده‌ی شبکه، ۳/۸ میلیون ایمیل اسپم را به ۴۰/۶ میلیون کامپیوتر قربانی ارسال کرد.

محققان امنیتی ادعا می‌کنند که هکرهای روسی مدیریت و کنترل بات‌نت نکروس را در دست دارند. آن‌ها از شبکه‌ی مذکور انواع بهره‌برداری‌های مجرمانه را انجام می‌دهند. حمله به کامپیوترهای دیگر در اینترنت، دزدی اطلاعات آنلاین حساب کاربری و دزدی اطلاعات شخصی افراد، برخی از تهدیدهایی هستند که به‌کمک نکروس ممکن می‌شدند. در جریان تحقیقات مشخص شد که مدیران نکروس، حتی کامپیوترهای آلوده‌ی موجود در بات‌نت را برای مقاصد مجرمانه به دیگر مجرمان اجاره می‌داده‌اند. نکروس همچنین قابلیت‌های دیگری برای سوءاستفاده‌های بدافزاری و باج‌افزاری مالی دارد و همچنین برای معدن‌کاوی نیز استفاده می‌شده است. به‌علاوه، متخصصان قابلیت DDoS را نیز در شبکه‌ی مذکور شناسایی کردند که البته هنوز به‌کار گرفته نشده است.

حمله سایبری/ Cyber attack

دادگاه منطقه‌ی شرق نیویورک در تاریخ پنجم مارس رأیی صادر کرد که اجازه‌ی ورود و دخالت در سیستم زیرساختی نکروس را به مایکروسافت می‌داد. ردموندی‌ها با بهره‌مندی از این رأی و با همکاری شرکت‌ها و سازمان‌های امنیتی دیگر در سرتاسر جهان، درحال پیاده‌سازی راهکارهای پیشگیرانه هستند تا هرگونه بهره‌برداری بیشتر را از شبکه‌ی نکروس غیرممکن کند. یکی از سوءاستفاده‌ها ثبت دامین‌های جدید برای اجرای حمله در آینده بود.

متوقف کردن فعالیت‌های بات‌نت نکروس با تحلیل یکی از روش‌هایی شروع شد که شبکه برای ساختن سیستماتیک دامنه‌های جدید ازطریق یک الگوریتم به‌کار می‌گیرد. محققان با تحلیل ساختار توانستند بیش از ۶ میلیون دامین احتمالی را شناسایی کنند که در ۲۵ ماه آینده توسط الگوریتم ساخته می‌شد. مایکروسافت، دامین‌های مذکور را به شرکت‌های ثبت‌کننده اعلام کرد تا وب‌سایت‌های مرتبط مسدود شوند و قابل سوءاستفاده توسط مجرمان سایبری نباشند. با کنترل کردن وب‌سایت‌های مذکور و همچنین جلوگیری از ثبت دامین‌های جدید، بات‌نت نکروس تقریبا فلج شد.

مایکروسافت علاوه بر اقدام فوق، با ISPهای سرتاسر جهان و سازمان‌های مرتبط همکاری می‌کند تا کامپیوتر مشتریان خود را از بدافزارهای مرتبط با بات‌نت نکروس پاک کنند. راهکار ردموندی‌ها در سطح جهانی پیاده‌سازی شده و شامل همکاری‌های با سازمان‌های صنعتی، دولتی و قانون‌گذاری سرتاسر جهان می‌شود. مایکروسافت ازطریق برنامه‌ی Cyber Threat Intelligence Prorgram، همکاری‌ها را پایه‌ریزی کرد. مایکروسافت با بهره‌مندی از CTIP، اطلاعات شفافی را پیرامون شبکه‌های مجرمانه‌ی سایبری موجود در زیرساخت‌های حوزه‌ی استحفاظی، به مقام‌های قانون‌گذار، تیم‌های واکنش سریع دولتی به تهدیدهای سایبری (CERT)، شرکت‌های خدمات دهنده اینترنت (ISP) و آژانس‌های دولتی مسئول قوانین سایبری و حفاظت از زیرساخت، ارائه می‌کند. در همین ساختار، اطلاعاتی از کامپیوترهای قربانی و تحت تأثیر حمله‌های سایبری هم ارائه می‌شود.

بیشترین همکاری بین‌المللی مایکروسافت در مقابله با تهدید نکروس با آژانس‌های دولتی و خصوصی در مکزیک، کلمبیا، تایوان، هنو، ژاپن، فرانسه، اسپانیا، لهستان و رومانی انجام می‌شود. ردموندی‌ها برای کاربران عادی نیز ابزاری ارائه کرده‌اند تا کامپیوتر خود را از هرگونه تهدید سایبری مرتبط با نکروس تحلیل کنند. ابزار امنیتی مذکور از طریق این لینک پشتیبانی مایکروسافت در دسترس است.