شبکه مخرب Pushdo هنوز زنده و فعال است
در بیش از 50 کشور، کامپیوترهای آلوده به گونه جدیدی از بدافزار مورد استفاده در شبکه مخرب Pushdo وجود دارند. Pushdo یک شبکه مخرب توزیع هرزنامه است که از سال 2007 فعالیت داشته است. از لحاظ گستردگی، Pushdo دومین شبکه مخرب توزیع هرزنامه در جهان محسوب میشود. در اوج فعالیت این شبکه، کامپیوترهای تحت سیطره Pushdo تنها در یک روز، 7.7 میلیارد هرزنامه ارسال می کرده اند.
آخرین گونه بدافزار Pushdo اقدام به نصب بدافزارهای Fareit (برای سرقت اطلاعات اصالتسنجی) و Cutwail (یک نرم افزار ارسال هرزنامه) میکند. ضمن اینکه توزیع بدافزارهای بانکی همچون Dyre و Zeus نیز توسط گونه جدید گزارش شده است.
یکی از اصلیترین دلایل بقای این شبکه مخرب تغییر یافتن مکرر سرورهای فرماندهی (Command & Control) آن است. گردانندگان شبکه Pushdo از این سرورهای فرماندهی برای انتقال فرامین و الگوهای هرزنامه به دستگاههای آلوده استفاده میکنند.
دستگاههای آلوده شده به Pushdo در ابتدا با یک سرور فرماندهی اصلی ارتباط برقرار میکنند. در صورت در دسترس نبودن آن به سراغ سرور دوم میروند. با یک الگوریتم استادانه، شبکه Pushdo روزانه 30 نام دامنه را ایجاد و ثبت میکند. بررسیها نشان میدهد پسوند اکثر این دامنهها kz است. kz دامنه اینترنتی قزاقستان است.
بر طبق اعلام منابع خبری، گونه آخر بدافزار مورد استفاده شبکه Pushdo از ضعفهای امنیتی برای نفوذ استفاده میکند.
در طول 7 سال گذشته،شرکتهای امنیتی چهار بار تلاش کردند تا زیرساخت شبکه Pushdo را منهدم کنند اما تنها توانستند روند کار آن را موقتاً مختل کنند. آخرین نمونه این تلاشها به سال 2010 باز میگردد که در آن زمان، یک شرکت امنیتی فرانسوی با همکاری دانشگاه کالیفرنیا با شرکتهای ISP که سرورهای فرماندهی شبکه Pushdo را میزبانی میکردند، تماس گرفتند و از آنها خواستند دسترسی به آن سرورها را مسدود کنند. شرکتهای ISP علاوه بر قطع ارتباط، به قربانیان نیز در خصوص آلوده بودن سیستمشان اطلاع دادند. در آن زمان، این اقدام سبب کاهش چشمگیر تعداد هرزنامههای منتشر شده توسط Pushdo شد. اما دستاندرکاران این اقدام در اعلام موفقیت خود تردید داشتند که بنظر میرسد شک بجایی بوده است.
جزییات بیشتر در خصوص شبکه مخرب Pushdo در توصیهنامه زیر که توسط شرکت Fidelis Cybersecurity تهیه و منتشر شده است قابل دسترس میباشد.
http://www.fidelissecurity.com/sites/default/files/FTA_1016_Pushdo.pdf