دفتر فدرال امنیت اطلاعات آلمان (BSI) یک عملیات بدافزاری مهم به نام Badbox را با موفقیت شناسایی و مختل ساخت. این بدافزار در بیش از 30،000 دستگاه IoT اندرویدی فروخته شده در سراسر آلمان از قبل نصب شده است. دستگاههای IoT اندرویدی به دستگاههای اینترنت اشیایی (IoT) گفته میشود که با نسخه سفارشی یا سَبُک سیستم عامل اندروید کار میکنند. این دستگاهها از انعطاف پذیری و اکوسیستم اندروید استفاده میکنند تا در مواردی از جمله خانههای هوشمند، اتوماسیون صنعتی، مراقبتهای بهداشتی و غیره مورد استفاده قرار گیرند.
انواع دستگاههای آسیب دیده شامل فریمهای تصویر دیجیتال و media player های دارای سیستم عامل اندروید قدیمی و خارج از پشتیبانی و احتمالاً گوشیهای هوشمند و تبلتهای آلوده به بدافزار میباشند.
ماهیت بدافزار BadBox
BadBox یک بدافزار اندرویدی است که از قبل در فریمور دستگاههای IoT اندرویدی نصب شده است و برای سرقت دادهها، نصب بدافزارهای بیشتر یا دسترسی هکرها از راه دور به شبکهای که دستگاه در آن قرار دارد استفاده میشود.
این بدافزار، مجرمان سایبری را قادر میسازد تا از راه دور دستگاههای آلوده را کنترل کنند، دادههای حساس از جمله کدهای احراز هویت دو مرحلهای را بربایند و نرم افزارهای مخرب اضافی را نصب کنند.
BadBox میتواند حسابهای پلتفرم ایمیل و پیامرسانهای مختلف را برای انتشار اخبار جعلی ایجاد کند تا کاربر با دانلود و کلیک بر روی تبلیغات، درگیر کلاهبرداری تبلیغاتی شود و برای کلاهبرداران، درآمد ایجاد کند.
این بدافزار عمدتاً دستگاههای اندرویدی کمهزینه و متفرقه تجاری را هدف قرار میدهد که اغلب از طریق خردهفروشان آنلاین فروخته میشوند. محققان دریافتهاند که بسیاری از این دستگاهها توسط بکدوری به نام Triada آلوده شدهاند که نصب BadBox را تسهیل میسازد.
هنگامی که یک دستگاه آلوده برای اولین بار به اینترنت متصل میشود، بدافزار سعی میکند با سرور فرماندهی و کنترل از راه دور که توسط هکرها مدیریت میشود ارتباط برقرار کند. این سرور به بدافزار BadBox میگوید که چه سرویسهای مخربی باید بر روی دستگاه اجرا شوند و همچنین دادههای ربوده شده را دریافت خواهد کرد.
در نهایت، BadBox را میتوان به گونه ای تنظیم کرد که به عنوان یک پروکسی عمل کند و به افراد دیگر اجازه دهد از پهنای باند اینترنت و سخت افزار دستگاه برای مسیریابی ترافیک خود استفاده کنند. این تاکتیک، که به عنوان پروکسی خانگی (residential proxying) شناخته میشود، اغلب شامل عملیات غیرقانونی است که آدرس IP کاربر را مورد سوء استفاده قرار میدهد.
آژانس امنیت سایبری آلمان، ارتباط بین دستگاههای بدافزار BadBox و زیرساخت سرورهای فرماندهی و کنترل (C2) را با حذف کوئریهای DNS مسدود کرده است تا بدافزار به جای سرورهای C2 مهاجم با سرورهای تحت کنترل پلیس ارتباط برقرار کند.
ارتباط بین دستگاهها و سرورهای فرماندهی و کنترل (C2) مهاجمان با استفاده از تکنیک سینک هولینگ (Sinkholing) قطع شده است. Sinkholing مانع از ارسال دادههای ربوده شده توسط بدافزار به مهاجمان و دریافت دستورات جدید از سرور C2 برای اجرا در دستگاه آلوده میشود. Sinkholing به طور موثر مانع عملکرد بدافزار میگردد.
مقامات یا محققان امنیتی با انجام این کار توانستند:
- عملیات بدافزار را متوقف سازند و در آن اختلال ایجاد کنند (به عنوان مثال، استخراج دادهها ، اجرای فرمانها).
- دستگاههای آلوده را شناسایی کرده و الگوهای ارتباطی آنها را کنترل نمایند.
- برای درک و مقابله با بدافزار، اطلاعات مورد نیاز را جمع آوری کنند.
اقدامات متقابل
پلیس فدرال امنیت اطلاعات آلمان به کاربرانی که ممکن است صاحب دستگاههای آسیب دیده باشند توصیه کرده است که فوراً اتصال دستگاه به اینترنت را قطع کنند و به هنگام خرید دستگاههای دارای فناوری جدید، امنیت سایبری را در اولویت قرار دهند.
از آنجایی که بدافزار از قبل بر روی فریمور دستگاه نصب شده است، فریمور دیگر قابل اطمینان نخواهد بود و میبایست دستگاه یا به فروشنده بازگردانده شود یا دور انداخته شود.
BSI خاطرنشان کرد که تمامی دستگاههای آلوده به بدافزار BadBox از فریمور و نسخههای قدیمی اندروید استفاده میکنند، بنابراین حتی اگر در برابر BadBox ایمن شده باشند، تا زمانی که بهصورت آنلاین قابل دسترس هستند، در برابر بات نت آسیبپذیر باقی خواهند ماند.
سخن پایانی
عملیات بدافزاری Badbox، چالشهای جاری در تامین امنیت اینترنت اشیاء (IoT) زنجیره تامین را برجسته میکند و بر اهمیت استفاده از سیستم عامل بهروزرسانی شده تاکید میکند. کاربران میبایست دستگاهها را از تولید کنندگان معتبر خریداری کنند که پشتیبانی امنیتی طولانی مدت ارائه میدهند. علاوه بر این، تولیدکنندگان باید اطمینان حاصل کنند که محصولات آنها پیش از آن که به دست مصرف کنندگان برسند، عاری از آسیب پذیری هستند.
به طور خلاصه، اقدامات پیشگیرانه آلمان علیه BadBox به عنوان یادآوری مهمی از آسیب پذیریهای موجود در بسیاری از لوازم الکترونیکی مصرفی ودیجبتال و نیاز به هوشیاری در تولید و عملکرد مصرف کننده است.
