خب بچهها، بیاید یه داستان امنیتی خفن رو با هم مرور کنیم! یه کمپین بدافزار (malware) تازه به اسم DetourDog کلی سر و صدا راه انداخته و کارش واقعاً جالب (البته خطرناک!) بوده. این بدافزار تونسته خیلی یواشکی به بیش از ۳۰ هزار تا وبسایت نفوذ کنه و کلی کاربر رو بدون اینکه خودشون بفهمن، به دام بندازه.
چهطوری؟ با یک ترفند زیرکانه به اسم تغییر مسیر از طریق DNS! حالا DNS چیه؟ به زبون ساده، DNS مثل دفترچه تلفن اینترنتی هست که آدرس سایتهایی که تایپ میکنی رو به آیپی سرورها تبدیل میکنه. DetourDog با سوءاستفاده از همین سیستم، کاری میکرد که وقتی کسی از یه سایت بازدید میکنه (بدون اینکه خودش بویی ببره)، یهو به سایتهای آلوده دیگه انتقال داده بشه. حتی این کار طوری انجام میشد که از دید خود بازدیدکننده کاملاً نامرئی بود چون درخواستها از سرور اصلی سایت ارسال میشد، نه از مرورگر یا سیستم کاربر.
حالا داستان جالبتر میشه. هدف نهایی این حملهها، آلوده کردن کاربرها به بدافزاری به اسم Strela Stealer بوده. یه توضیح بدم: Infostealer یعنی بدافزاری که میتونه اطلاعات مختلف (خصوصاً پسورد و اطلاعات ورود) رو از سیستم کاربر بدزده.
Strela Stealer اولین بار اواخر ۲۰۲۲ پیداش شد و همون زمان فقط برای دزدیدن رمز جیمیل، Outlook و Thunderbird طراحی شده بود. ولی کمکم شاخ و برگ گرفت و الان یه infostealer ماژولار (یعنی قابل ارتقا و مجهز با چند ماژول مختلف) حساب میشه که از هر جایی مثل مرورگرها و برنامهها میتونه رمزهای ذخیرهشده رو بکشه بیرون. این بدافزار حتی قابلیت بروزرسانی از راه دور هم داره و به اصطلاح با سرور فرماندهی (Command-and-control server یعنی سرور اصلی که هکرها باهاش اطلاعات رو رد و بدل میکنن) ارتباط برقرار میکنه.
حالا خود این عملیات چی جوری اجرا شد؟ حملهکنندهها از سرویسهای ثبت دامنه (Registrar)، ارائهدهندههای DNS، و سایتهایی که تنظیماتشون مشکل داشت سوءاستفاده کردن تا DetourDog رو جاگذاری کنن. قربانی هم معمولاً از یه سایت کاملاً سالم اما آسیبپذیر بازدید میکرد و بدون اینکه خودش بفهمه، به صفحه دانلود Strela Stealer منتقل میشد. بعضی وقتها، فقط یه کلیک یا یه آسیبپذیری تو مرورگر کافی بود تا کار تموم شه.
جالب اینجاست که اسم “strela” به معنی “پیکان” یا “تیر” توی روسی و خیلی زبانهای اسلاوی هست. البته هنوز دقیق معلوم نیست این حملات کار کی بوده، ولی فعلاً پیگیریها ادامه داره.
خبر خوب اینکه شرکت Infoblox که این تحقیقات رو انجام داده، به همه صاحبان دامنههای آلوده و نهادهای نظارتی (یعنی اونایی که وظیفهشون حفظ امنیت شبکههاست) اطلاع داده تا مشکل رو برطرف کنن. البته با اینکه دارن روی پاکسازی سرورها کار میکنن، هنوز ابعاد دقیق خسارت مشخص نشده.
اگه خودتونم سایت یا سرور دارین (یا مسئول فناوری اطلاعات یه شرکت هستین)، حتماً توصیه کارشناسها رو جدی بگیرین: تنظیمات DNS رو دقیق چک کنین، به ترافیک غیرمعمول حساس باشین و از ابزارهای امنیتی مخصوص DNS استفاده کنین. اینطوری کمتر احتمال داره شکار همچین ترفندهایی بشین!
در آخر بخوام خلاصه کنم: ماجرای DetourDog یه نمونه فوقالعاده واضح از اینه که چقدر حوزه امنیت سایبری داره پیچیده میشه و هکرها روزبهروز خلاقتر میشن. پس بد نیست همیشه اطلاعاتمون رو بهروز نگه داریم و حواسمون به این جزییات فنی باشه—even اگه فکر کنیم فقط داریم یه سایت عادی رو نگاه میکنیم!
منبع: +
