کمک گوگل به سرقت یک میلیارد دلاری

به گزارش کلیک،یک گروه خرابکار مجازی از سرویس‌ها و خدمات گوگل برای اجرای ارتباطات فرمان و کنترل (C&C) به‌ منظور کمک به مانیتورینگ و کنترل کامپیوترهایی که قربانی‌ بدافزار شده‌اند اما مالکان آنها این موضوع بی‌خبرند، استفاده می‌کند.

گروه هکری Carbanak یکی از موفق‌ترین خلافکاران سایبری جهان است. از زمان شروع فعالیت این گروه در سال ۲۰۱۳، این گروه در قالب عملیات‌هایی مخفی و مستمر و با استفاده از بدافزارهای تروجان به بانک‌ها، سیستم‌ها پرداخت الکترونیکی و موسسات مالی در سراسر جهان حمله کرده است، و تخمین زده می‌شود روی هم رفته نزدیک به یک میلیارد دلار سرمایه‌ مالی سرقت کرده باشد.

Carbanak که با نام Anunak هم شناخته می‌شود، یک گروه خلافکار بسیار پیچیده و پیشرفته است که و به طور پیوسته تاکتیک‌های فنی‌اش برای انجام جرایم مجازی را بهبود بخشید و هنوز هیچ کدام از قربانیان خصوصی و سازمان‌های دولتی قادر به ردگیری آن نشده‌اند.

در جدیدترین پروژه خرابکارانه‌ی این گروه که Digital Plagiarist نام گرفته برای توزیع بدافزارها از اسناد اداری که در دامین‌های آیینه‌ای (وب‌سایت‌هایی که معمولا یک نسخه کپی از انواع فایل‌ها در آنها قرار می‌گیرد) قرار گرفته‌اند، استفاده می‌کنند.

این نمونه از بدافزارها با استفاده از شیوه‌ی معمول پنهان‌سازی یک سند آلوده (که در روش مذکور یک فایل RTF مخفی شده است) درون یک ایمیل فیشینگ است. هر چند کاری که فایل آلوده هنگام اجرای کد انجام می‌دهد، بی‌سابقه است.

پژوهشگران امنیتی موسسه‌ی Forcepoint به این نکته اشاره می‌کنند که بدافزار جدید این گروه که با زبان VBScript نوشته شده دارای یک اسکریپت اضافی به نام ggldr است که می‌تواند از سرویس‌های گوگل به عنوان کانالی برای دستور و کنترل استفاده نماید. چنین قابلیتی به هکرها اجازه می‌دهد از سرویس‌های گوگل مثل Google Apps Script، Google Sheets و Google Form برای ارسال و دریافت فرمان‌های مورد نظر خود استفاده نمایند. یک برگه‌ی گسترده به صورت پویا در سرویس Google Sheets ایجاد شده و به سیستم‌ها اجازه می‌دهد هر قربانی آلوده شده را به سادگی مدیریت نموده و کارهایی مثل بررسی وضعیت ماشین آلوده شده یا پروسه‌های بازبینی ارسال فرمان و کنترل را انجام دهند. همان طور که در شکل زیر نشان داده شده این چرخه از سرویس Google Script برای تکثیر پیوسته خود استفاده می‌کند.

پژوهشگران موسسه‌ی Forcepoint هشدار می‌دهند که استفاده از گوگل به عنوان یک کانال مستقل فرمان و کنترل (C&C) احتمالا موفق‌تر از استفاده از دامین‌های جدیدا ایجاده شده یا دامین‌های غیرمعروف است.

پژوهشگران امنیت سایبری این مساله را به گوگل گوشزد کرده و یکی از سخنگویان این شرکت به وب‌سایت خبری ZDNet گفته که گوگل در حال انجام اقدامات لازم برای برطرف کردن این حفره‌ی امنیتی است.

وی در ایمیلی که برای ZDNet ارسال کرده این طور نوشته است: ”ما به طور پیوسته در حال فعالیت در زمینه‌ی محافظت از کاربران از تمام اشکال بدافزارها و دیگر حملات هستیم. ما از مساله‌ی جدید اتفاق افتاده مطلعیم و در حال انجام کارهای مورد نیاز برای مرتفع کردن آن هستیم.“