اگر فکر میکنید همیشه آپدیتهای رسمی قابل اعتماد هستند، بد نیست که بدانید نسخههای آلوده نرمافزار محبوب Daemon Tools مستقیماً از طریق وبسایت رسمی سازنده آن منتشر شده و برای نزدیک به یک ماه، بیسر و صدا روی هزاران کامپیوتر در بیش از ۱۰۰ کشور درِپشتی نصب کرد.
با وجود اینکه این روزها در ایران تنها کسر کوچکی به اینترنت بینالملل دسترسی دارند، چنین رخدادی نشان میدهد حتی دانلود از «منبع رسمی» نیز مصونیت مطلق ایجاد نمیکند.
آنچه این حمله را پیچیده و خطرناک کرد، امضای دیجیتال معتبر توسعهدهنده و میزبانی فایلها روی دامنه رسمی بود که عملاً باعث اعتماد کامل کاربر میشد.
انتشار بدافزار از طریق منبع رسمی
بر اساس گزارش شرکت امنیتی Kaspersky، نسخههای 12.5.0.2421 تا 12.5.0.2434 این نرمافزار به بدافزار آلوده شده بودند. نکته کلیدی ماجرا اینجاست که فایلهای آلوده با گواهی دیجیتال معتبر متعلق به توسعهدهنده یعنی AVB Disc Soft امضا شده بودند که باعث شد بسیاری از ابزارهای امنیتی و حتی کاربران حرفهای، فایل را سالم تلقی کنند و حمله تا هفتهها شناسایی نشود.
مهاجمان حداقل سه فایل اجرایی داخل بسته نصب را دستکاری کرده بودند. این فایلها پس از اجرا، با ارسال درخواست به دامنهای جعلی که ظاهری شبیه دامنه رسمی داشت، ارتباط برقرار میکردند.
بدافزار در مرحله اول اطلاعاتی مانند آدرس MAC، نام سیستم، نرمافزارهای نصبشده، پردازشهای فعال، تنظیمات شبکه و موقعیت جغرافیایی کاربر را جمعآوری و برای سرور مهاجمان ارسال میکرد. با اینکه دامنه آلودگی گسترده بود، مرحله دوم حمله فقط روی حدود دوازده دستگاه فعال شد؛ آن هم در سازمانها و نهادهای خاص در روسیه، بلاروس و تایلند. همین گزینش محدود نشان میدهد مهاجمان به دنبال اهداف معینی میگشتهاند.
این حمله از چند جهت اهمیت دارد. نخست اینکه باگ فرمویر پردازنده یا آسیبپذیری نرمافزاری در کار نبوده؛ بلکه کانال توزیع رسمی یک نرمافزار مشهور و محبوب آلوده شده است. دوم اینکه امضای دیجیتال معتبر، که معمولاً مورد اعتماد هر کسی قرار میگیرد، در اینجا به پوششی برای عبور از کنترلها تبدیل شده است.
برای کاربران ایرانی شاید در شرایطی که دسترسی به اینترنت بینالملل بسته است، دامنه این حمله کمتر به چشم بیاید. اما برای شرکتها، سازمانها و کاربرانی که همچنان به اینترنت وصل هستند، یک زنگ خطر است و دیگر تنها نباید به رسمی بودن منبع دانلود اکتفا کرد.
