استفاده از کدِ گیم به عنوان حربه‌ای برای حمله به شرکت

۱۴۰۱/۶/۲۳امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ بازی ویدیوییِ سبک اکشن-ماجراجویی به نام Genshin Impact توسط شرکت miHoYo Limited  چین در تاریخ سپتامبر 2020 برای پی‌سی و کنسول‌ها منتشر شد. نسخه ویندوزی این بازی همراه با ماژولی است که جلوی تقلب در بازی را می‌گیرد و دارای درایوری است به نام mhyprot2.sys. این درایور کارش ارائه‌ی مکانیزم دفاعی گیم است که مزایای وسیع سیستم و نیز امضای دیجیتالی دارد برای تثبیت حقوق خود. این بازی برای شناسایی و بلاک کردن ابزارهایی که اجازه‌ی دور زدن محدودیت‌های درون‌سازه‌ای را می‌دهند به چنین درایوری نیاز دارد. در آگست 2022 شرکت Trend Micro گزارشی در مورد حمله‌ای عجیب به زیرساخت سازمانی منتشر کرد. در این حمله مشخصاٌ از درایور mhyprot2.sys استفاده شده بود. به طور خلاصه، گروهی از هکرها متوجه شدند که می‌توانند از مزایای سیستم نامحدود که درایور ارائه داده  و نیز گواهی دیجیتال قانونی بعنوان حربه‌هایی برای حمله هدف‌دار استفاده کنند. و در این صورت دیگر حتی نیازی هم نیست که برای قربانی شدن، خود گیم را نیز نصب کنید.

کار روی بخش حفاظتی

گزارش حتی به این جزئیات نیز پرداخته که حمله به قربانی ناشناس شده اما در عین حال متود اولیه‌ای را که هکرها برای نفوذ به زیرساخت سازمانی مربوطه استفاده کردند شرح نداده است. تنها چیزی که می‌دانیم این است که آن‌ها از اکانت ادمین دستکاری‌شده برای دسترسی به کنترلر دامنه از طریق RDP استفاده کرده بودند. علاوه بر سرقت داده از کنترلر، هکرها یک فولدر مشترک با نصب‌گر آلوده نیز آنجا جاساز کردند تا خود را در پوشش آنتی‌ویروس نشان دهد. مهاجمین از خط‌مشی‌های گروهی برای نصب فایل روی یکی از ایستگاه‌های کار استفاده کردند و این یعنی شاید تمرینی کرده باشند برای آلودگی انبوه رایانه‌های آن سازمان. با این وجود، تلاش برای نصب بدافزار روی ایستگاه کار با شکست مواجه شد: ماژولی که قرار بود داده را رمزگذاری کند –آشکارا انتظار می‌رفت بعد از آن نیز درخواست باج شود- نتوانست اجرا شود و مهاجمین مجبور شدند آن را بعداً به طور دستی انجام دهند. آن‌ها در نصب درایور قانونی mhyprot2.sys از بازی Genshin Impact تماماً موفق شدند. ابزار دیگری که آن‌ها در سیستم به خدمت گرفتند داده‌های مربوط به فرآیندهایی که می‌توانستند نصب کد مخرب را مختل کنند جمع‌آوری کرد.

همه فرآیندهای فهرست از جمله راهکارهای امنیتی فعال روی کامپیوتر یک به یک توسط درایور mhyprot2.sys متوقف شدند. به محض اینکه سیستم از دفاع از خود محروم شد، ابزار واقعی بدافزار فایل‌ها را رمزگذاری نمود و درخواست باج کرد.

نه یک هک معمولی

این مورد بسیار جالب است زیرا نشان‌دهنده اکسپلویت شدن نرم‌افزاری است تماماً قانونی و توزیع‌شده بعنوان بخشی از یک گیم کامپیوتری بسیار محبوب. Trend Micro متوجه شد درایور mhyprot2.sys به کار رفته در این حمله در آگست 2020 امضا شده بوده است: کمی پیش از انتشار اولیه‌ی بازی. مجرمان سایبری تمایل دارند از گواهی‌های خصوصی برای امضای برنامه‌های آلوده یا اکسپلویت آسیب‌پذیری‌ها در نرم‌افزارهای قانونی استفاده کنند. در این مورد خاص اما هکرها از قابلیت‌های معمولی درایور که دسترسی کامل به RAM و توانایی توقف هر پروسه در سیستم است استفاده کردند. چنین برنامه‌های قانونی برای ادمین زیرساخت سازمانی ریسک بیشتری دارند زیرا می‌توانند براحتی توسط ابزارهای نظارتی نادیده گرفته شوند.

کمی زمان برد تا کاربران Genshin Impact متوجه رفتار عجیب mhyprot2.sys شوند. برای مثال، این ماژول حتی بعد از UNINSTALL شدن گیم هم در سیستم باقی می‌ماند؛ بدان‌معنا که همه کاربران پی‌سی گیم هم در حال و هم در گذشته به نحوی آسیب‌پذیرند و کامپیوترهایشان نیز راحت قابلیت هک شدن دارد! جالب است بدانید اکتبر 2020 در محافل متقلبین صحبت‌هایی هم شده بود در مورد اینکه چطور می‌شود این درایور را طوری اکسپلویت کرد که بشود با سیستم‌های ضد تقلب مبارزه کند و نیز قابلیت‌های وسیع ماژول و نیز امضای دیجیتال را در دست گرفت. از این رو توسعه‌دهندگان نرم‌افزار که مزایای بالا دارند باید یادشان باشد در خصوص حقوق دسترسی جانب احتیاط را رعایت کنند؛ در غیر این صورت کد آن‌ها ممکن است به جای محافظت در برابر هکرها برای مقصود حمله سایبری استفاده شود! توسعه‌دهندگان Genshin Impact تابستان گذشته در خصوص تهدیدهای احتمالی مربوط به این درایور مطلع شدند اما باز هم این رفتار عجیب درایور را «مشکل» تلقی نکردند. به دلایلی نیز امضای دیجیتال هنوز تا اواخر آگست 2022 سر جای خودش بود.

چند توصیه برای شرکت‌ها

شما می‌توانید خطر حمله موفق را با استفاده از سناریوی فوق به این روش‌ها کاهش دهید: گنجاندن درایوری که بالقوه خطرناک است به لیست نظارتی خود و نیز استفاده از اقدامات امنیتی با قابلیت‌‌های وسیع دفاع شخصی.

فراموش نکنید که هکرها ابتدا به کنترلر دامنه دسترسی پیدا کردند پس این وضعیت بسیار خطرناک است: آن‌ها می‌توانند برای توزیع پیوسته‌ی بدافزار در کل شبکه سازمان از ترفندهای کمتر نوآورانه نیز استفاده کنند. به طور معمول شناسایی گیم‌های نصب‌شده روی کامپیوتر کارمندان فقط از منظر بهره‌وری «مهم» تلقی می‌شوند. رخداد ضد تقلب Genshin Impact نیز یادآور می‌شوند که برنامه‌های غیرضروری می‌توانند نه تنها عواملی برای پرت کردن حواس باشند که همچنین ریسک امنیتی بالایی نیز دارند. آن‌ها نرم‌افزار را در موضع آسیب‌پذیرتری قرار می‌دهند و در برخی موارد کدی آشکارا خطرناک را وارد محیط امنیتی می‌کنند.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.