تلاش Cisco برای متوقف کردن ابزار مخرب RIG

به گزارش شرکت مهندسی شبکه گستر، محققان شرکت Cisco موفق شده اند عملکرد سرویس دهندگان بسته بهره جوی RIG را دچار اختلال کنند.

نفوذگران سالهاست که از بسته بهره جوی RIG برای توزیع بدافزارها و هرزنامه استفاده می کنند. در مرداد ماه، شرکت Trustwave گزارش داد که نفوذگران با استفاده از بسته بهره جوی RIG بیش از 1/2 میلیون کامپیوتر را به بدافزار آلوده کرده اند.

بسته های بهره جو (Exploit Kits)، نرم افزارهایی حاوی کدهای بهره جو هستند که معمولاً بر روی سرورهای وب راه اندازی می شوند. نفوذگران با هدایت کاربران به سمت این سرورها اقدام به آلوده کردن دستگاه های با نرم افزارهای آسیب پذیر می کنند.

در 15 دیماه، شرکت Heimdal گزارش داد که 56 درصد حملات صورت گرفته به دستگاه های با Windows 7 و مرورگر IE 9 با استفاده از بسته بهره جوی RIG موفقیت آمیز بوده است.

به گزارش شرکت مهندسی شبکه گستر، طی یک بررسی دو ماهه، محققان شرکت Cisco موفق به کشف 44 نشانی IP سرورهای IRG می شوند. اکثر این نشانی ها متعلق به رساننده خدمات اینترنتی (ISP) روسی Webzilla است که تمامی آنها را به یک ISP کوچک تر با عنوان Eurobyte تخصیص داده است.

پس از تماس Cisco با Webzilla، این ISP اقدام به شناسایی مشتریان خاطی و مسدود کردن سرورهای آنها می کند.

بر طبق توضیحات Cisco تلاش ها این شرکت برای برقراری ارتباط با ناکام می ماند و همین موضوع سبب می شود تا نفوذگران اقدام به راه اندازی سرورهای جدید کنند.

با انجام تحقیقات بیشتر، مشخص می شود که Eurobyte هفت زیرشبکه (Subnet) کلاس C  دارد.   از این تعداد، 5 زیرشبکه دارای شهرت (Reputation) بدی هستند.

در پی عدم پاسخدهی Eurobyte، شرکت Cisco تصمیم گرفته  که این 5 زیرشبکه را برای مدت 30 روز در فهرست سیاه محصولات خود قرار دهد. قرار است پس از پایان این دوره یک ماهه مجدداً شهرت این زیرشبکه ها ارزیابی شود.

این نخستین بار نیست که Cisco فعالیت های یک بسته بهره جو را هدف قرار داده. در مهر ماه نیز این شرکت اعلام کرد که یکی از عملیات های بزرگ توزیع باج افزارها با استفاده از بسته بهره جوی Angler را دچار اختلال کرده است.

مشروح گزارش Cisco در اینجا قابل مشاهده است.