روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ بازی ویدیوییِ سبک اکشن-ماجراجویی به نام Genshin Impact توسط شرکت miHoYo Limited چین در تاریخ سپتامبر 2020 برای پیسی و کنسولها منتشر شد. نسخه ویندوزی این بازی همراه با ماژولی است که جلوی تقلب در بازی را میگیرد و دارای درایوری است به نام mhyprot2.sys. این درایور کارش ارائهی مکانیزم دفاعی گیم است که مزایای وسیع سیستم و نیز امضای دیجیتالی دارد برای تثبیت حقوق خود. این بازی برای شناسایی و بلاک کردن ابزارهایی که اجازهی دور زدن محدودیتهای درونسازهای را میدهند به چنین درایوری نیاز دارد. در آگست 2022 شرکت Trend Micro گزارشی در مورد حملهای عجیب به زیرساخت سازمانی منتشر کرد. در این حمله مشخصاٌ از درایور mhyprot2.sys استفاده شده بود. به طور خلاصه، گروهی از هکرها متوجه شدند که میتوانند از مزایای سیستم نامحدود که درایور ارائه داده و نیز گواهی دیجیتال قانونی بعنوان حربههایی برای حمله هدفدار استفاده کنند. و در این صورت دیگر حتی نیازی هم نیست که برای قربانی شدن، خود گیم را نیز نصب کنید.
کار روی بخش حفاظتی
گزارش حتی به این جزئیات نیز پرداخته که حمله به قربانی ناشناس شده اما در عین حال متود اولیهای را که هکرها برای نفوذ به زیرساخت سازمانی مربوطه استفاده کردند شرح نداده است. تنها چیزی که میدانیم این است که آنها از اکانت ادمین دستکاریشده برای دسترسی به کنترلر دامنه از طریق RDP استفاده کرده بودند. علاوه بر سرقت داده از کنترلر، هکرها یک فولدر مشترک با نصبگر آلوده نیز آنجا جاساز کردند تا خود را در پوشش آنتیویروس نشان دهد. مهاجمین از خطمشیهای گروهی برای نصب فایل روی یکی از ایستگاههای کار استفاده کردند و این یعنی شاید تمرینی کرده باشند برای آلودگی انبوه رایانههای آن سازمان. با این وجود، تلاش برای نصب بدافزار روی ایستگاه کار با شکست مواجه شد: ماژولی که قرار بود داده را رمزگذاری کند –آشکارا انتظار میرفت بعد از آن نیز درخواست باج شود- نتوانست اجرا شود و مهاجمین مجبور شدند آن را بعداً به طور دستی انجام دهند. آنها در نصب درایور قانونی mhyprot2.sys از بازی Genshin Impact تماماً موفق شدند. ابزار دیگری که آنها در سیستم به خدمت گرفتند دادههای مربوط به فرآیندهایی که میتوانستند نصب کد مخرب را مختل کنند جمعآوری کرد.
همه فرآیندهای فهرست از جمله راهکارهای امنیتی فعال روی کامپیوتر یک به یک توسط درایور mhyprot2.sys متوقف شدند. به محض اینکه سیستم از دفاع از خود محروم شد، ابزار واقعی بدافزار فایلها را رمزگذاری نمود و درخواست باج کرد.
نه یک هک معمولی
این مورد بسیار جالب است زیرا نشاندهنده اکسپلویت شدن نرمافزاری است تماماً قانونی و توزیعشده بعنوان بخشی از یک گیم کامپیوتری بسیار محبوب. Trend Micro متوجه شد درایور mhyprot2.sys به کار رفته در این حمله در آگست 2020 امضا شده بوده است: کمی پیش از انتشار اولیهی بازی. مجرمان سایبری تمایل دارند از گواهیهای خصوصی برای امضای برنامههای آلوده یا اکسپلویت آسیبپذیریها در نرمافزارهای قانونی استفاده کنند. در این مورد خاص اما هکرها از قابلیتهای معمولی درایور که دسترسی کامل به RAM و توانایی توقف هر پروسه در سیستم است استفاده کردند. چنین برنامههای قانونی برای ادمین زیرساخت سازمانی ریسک بیشتری دارند زیرا میتوانند براحتی توسط ابزارهای نظارتی نادیده گرفته شوند.
کمی زمان برد تا کاربران Genshin Impact متوجه رفتار عجیب mhyprot2.sys شوند. برای مثال، این ماژول حتی بعد از UNINSTALL شدن گیم هم در سیستم باقی میماند؛ بدانمعنا که همه کاربران پیسی گیم هم در حال و هم در گذشته به نحوی آسیبپذیرند و کامپیوترهایشان نیز راحت قابلیت هک شدن دارد! جالب است بدانید اکتبر 2020 در محافل متقلبین صحبتهایی هم شده بود در مورد اینکه چطور میشود این درایور را طوری اکسپلویت کرد که بشود با سیستمهای ضد تقلب مبارزه کند و نیز قابلیتهای وسیع ماژول و نیز امضای دیجیتال را در دست گرفت. از این رو توسعهدهندگان نرمافزار که مزایای بالا دارند باید یادشان باشد در خصوص حقوق دسترسی جانب احتیاط را رعایت کنند؛ در غیر این صورت کد آنها ممکن است به جای محافظت در برابر هکرها برای مقصود حمله سایبری استفاده شود! توسعهدهندگان Genshin Impact تابستان گذشته در خصوص تهدیدهای احتمالی مربوط به این درایور مطلع شدند اما باز هم این رفتار عجیب درایور را «مشکل» تلقی نکردند. به دلایلی نیز امضای دیجیتال هنوز تا اواخر آگست 2022 سر جای خودش بود.
چند توصیه برای شرکتها
شما میتوانید خطر حمله موفق را با استفاده از سناریوی فوق به این روشها کاهش دهید: گنجاندن درایوری که بالقوه خطرناک است به لیست نظارتی خود و نیز استفاده از اقدامات امنیتی با قابلیتهای وسیع دفاع شخصی.
فراموش نکنید که هکرها ابتدا به کنترلر دامنه دسترسی پیدا کردند پس این وضعیت بسیار خطرناک است: آنها میتوانند برای توزیع پیوستهی بدافزار در کل شبکه سازمان از ترفندهای کمتر نوآورانه نیز استفاده کنند. به طور معمول شناسایی گیمهای نصبشده روی کامپیوتر کارمندان فقط از منظر بهرهوری «مهم» تلقی میشوند. رخداد ضد تقلب Genshin Impact نیز یادآور میشوند که برنامههای غیرضروری میتوانند نه تنها عواملی برای پرت کردن حواس باشند که همچنین ریسک امنیتی بالایی نیز دارند. آنها نرمافزار را در موضع آسیبپذیرتری قرار میدهند و در برخی موارد کدی آشکارا خطرناک را وارد محیط امنیتی میکنند.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.