بخش انرژی، هدف بدافزار Laziok

به تازگی مشخص شده است که از ابتدای سال میلادی جاری بدافزاری موسوم به Laziok با بهره‌گیری از یک ضعف امنیتی قدیمی، سیستم‌های شرکت‌های فعال در بخش انرژی را هدف قرار داده است.

این بدافزار نوعی ابزار شناسایی و جمع آوری اطلاعات است که نفوذگران را قادر می‌سازد تا تنظیمات و مشخصات سیستم قربانی را جمع‌آوری کرده و سپس بر اساس این اطلاعات، درباره ادامه اجرای عملیات نفوذ بر روی سیستم مورد نظر تصمیم‌گیری کنند.

این عملیات مخرب با ارسال یک هرزنامه‌ (SPAM) از دامنه‌ای با نام moneytrans[.]eu آغاز می‌شود. به هرزنامه، یک فایل Excel که حاوی ابزار بهره‌جویی برای سوءاستفاده از ضعف امنیتی CVE-2012-0158 است، پیوست شده است.

در صورت آسیب‌پذیر بودن سیستم قربانی به این ضعف امنیتی، با باز شدن فایل، دستگاه آلوده شده و فایل‌هایی هم‌نام پروسه‌های مجاز، اما در مسیری متفاوت، مطابق فهرست زیر ایجاد می‌شوند.

%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\search.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\ati.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\lsass.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\smss.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\admin.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\key.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\taskmgr.exe
%SystemDrive%\Documents and Settings\All Users\Application Data\System\Oracle\azioklmpx\chrome.exe

در ادامه نام کامپیوتر، فهرست نرم‌افزارهای نصب‌شده، اندازه حافظه، اندازه دیسک سخت و نام ضدویروس مورد استفاده دستگاه توسط بدافزار Laziok جمع‌آوری و سپس به نفوذگران ارسال می‌شود.

نفوذگران نیز در صورت با ارزش تشخیص دادن سیستم، بر اساس ضدویروس شناسایی‌شده بر روی دستگاه قربانی، اقدام به ارسال بدافزارهایی سفارشی‌شده که قادر به فرار از سد آن ضدویروس خاص باشند، می‌کنند. بررسی‌ها نشان می‌دهد که این بدافزارها بر روی سرورهایی که در آمریکا، انگلستان و بلغارستان قرار دارند میزبانی می‌شوند.

عمده شرکت‌هایی که هدف بدافزار Laziok قرار گرفته‌اند در زمینه نفت، گاز و هلیوم فعالیت دارند که این موضوع نشان از علاقه گردانندگان این بدافزار به بخش انرژی دارد.

بیشترین آلودگی‌ها از کشورهای خاورمیانه و برخی از کشورهای غربی گزارش شده است. امارات متحده عربی با 25 درصد بیشترین سهم را در آلودگی به این بدافزار دارد.

ضعفی امنیتی CVE-2012-0158 که در این حملات از آن استفاده شده است مربوط به بخش ActiveX Control در سیستم عامل Windows می‌شود و حدود سه سال قبل شناسایی و ترمیم شده است. در ماه میلادی آوریل 2012 مدتی کوتاه پس از کشف شدن این نقطه ضعف، شرکت مایکروسافت اصلاحیه ای برای ترمیم آن منتشر کرد.

موفقیت این بدافزار نشان می‌دهد که پس از گذشت سه سال هنوز نیز تعداد زیادی دستگاه فاقد اصلاحیه های امنیتی لازم می‌باشند. از این ضعف امنیتی در حملات دیگری همچون Red October نیز استفاده شده است.

علیرغم معطوف بودن تمام توجهات به ضعف‌های امنیتی جدید و ناشناخته (Zero-Day) و روشهای پیچیده نفوذ نوین، خرابکاران سایبری در بسیاری مواقع سوءاستفاده از ضعف های قدیمی را برای دسترسی به شبکه و سیستم‌های آسیب پذیر، ترجیح می‌دهند. هزینه هنگفت کشف ضعف‌های امنیتی جدید و تاکنون ناشناخته که در عمل قابل سوء استفاده باشند و ساخت ابزار بهره‌جو برای آنها، از جمله دلایل استفاده از ضعف های امنیتی قدیمی و شناخته شده توسط بدافزار‌نویسان و نفوذگران است.

توضیح اینکه نمونه های بدافزار مذکور توسط ضدبدافزار McAfeeبا نام های RDN/Generic Dropper و RDN/Generic.dx و با ضدبدافزار Bitdefender با نام های Trojan.GenericKD.2064588 ،Gen:Heur.MSIL.Androm.1 و Trojan.GenericKD.2070492 قابل شناسایی و پاکسازی می باشد.