بات‌نت ShadowV2 با بهره‌برداری از اختلال گسترده AWS آمازون به ۲۸ کشور جهان حمله سایبری کرد

از /

در یک رویداد امنیتی نگران‌کننده، یک گونه جدید و فعال از خانواده بات‌نت‌های بدنام میرای موسوم به ShadowV2، با سوءاستفاده از اختلال گسترده در سرویس‌های ابری آمازون (AWS) در ماه اکتبر، اقدام به آلوده‌سازی گسترده تجهیزات اینترنت اشیا (IoT) در سراسر جهان کرده است. این حمله، اگرچه کوتاه و موقتی بود، اما زنگ هشداری جدی درباره آسیب‌پذیری روزافزون دستگاه‌های متصل به اینترنت و اهمیت حیاتی امنیت سایبری به صدا درآورد و بار دیگر ضعف‌های موجود در زنجیره امنیت دیجیتال را برجسته ساخت.

image

بات‌نت ShadowV2: نسخه‌ای نوظهور از خانواده Mirai و تهدیدات آن

بات‌نت (Botnet) به شبکه‌ای از دستگاه‌های متصل به اینترنت (از جمله کامپیوترها، سرورها و دستگاه‌های IoT) گفته می‌شود که بدون اطلاع کاربرانشان، توسط بدافزارها آلوده و از راه دور توسط مهاجمان کنترل می‌شوند. این شبکه‌های زامبی می‌توانند برای اجرای حملات سایبری گسترده مانند حملات محروم‌سازی از سرویس توزیع‌شده (DDoS) به کار گرفته شوند. ShadowV2 که جدیدترین عضو شناسایی‌شده از خانواده بدنام میرای (Mirai) است، با هدف قرار دادن دستگاه‌های اینترنت اشیا (IoT)، توانایی خود را در ایجاد هرج‌ومرج سایبری نشان داد. Mirai که نخستین بار در سال ۲۰۱۶ ظاهر شد، با آلوده‌سازی میلیون‌ها دوربین امنیتی، روتر و DVR، به یکی از قدرتمندترین بات‌نت‌های تاریخ تبدیل شد و حملات DDoS بی‌سابقه‌ای را رقم زد. فعال‌سازی ShadowV2 در زمان اختلال AWS، نشان می‌دهد که مهاجمان به دقت فرصت‌های سوءاستفاده از نقاط ضعف زیرساختی را رصد می‌کنند تا بیشترین تأثیر را داشته باشند.

اختلال AWS آمازون؛ فرصتی برای موج جدید حملات بات‌نت

سرویس‌های ابری آمازون (AWS) به عنوان ستون فقرات بسیاری از وب‌سایت‌ها و خدمات آنلاین در سراسر جهان عمل می‌کنند؛ از این رو، هرگونه اختلال در این سرویس‌ها، می‌تواند پیامدهای گسترده‌ای به دنبال داشته باشد. در ماه اکتبر، یک اختلال یک‌روزه در سرویس‌های AWS فرصتی طلایی را برای بات‌نت ShadowV2 فراهم آورد تا فعالیت‌های مخرب خود را آغاز کند. آزمایشگاه‌های FortiGuard شرکت فورتینت (Fortinet) معتقدند که این عملیات احتمالاً یک حمله آزمایشی برای حملات بزرگ‌تر در آینده بوده است. در همین مدت کوتاه، بدافزار ShadowV2 با بهره‌برداری از چندین آسیب‌پذیری امنیتی شناخته‌شده در دستگاه‌های برندهای مختلف، اقدام به آلوده‌سازی کرد:

DD-WRT (CVE-2009-2765)

D-Link (CVE-2020-25506، CVE-2022-37055، CVE-2024-10914، CVE-2024-10915)

DigiEver (CVE-2023-52163)

TBK (CVE-2024-3721)

TP-Link (CVE-2024-53375)

این بهره‌برداری هوشمندانه از اختلال در یک زیرساخت حیاتی، نشان‌دهنده استراتژی مهاجمان برای انتخاب زمان‌های حساس به منظور به حداکثر رساندن اثرگذاری حملات بات‌نت است.

دامنه جهانی حملات بات‌نت ShadowV2 و صنایع هدف

گزارش‌ها حاکی از آن است که بات‌نت ShadowV2 پیش از این نیز در کارزارهای ماه سپتامبر، سرورهای AWS EC2 را هدف قرار داده بود، اما این بار دامنه حملات آن گسترده‌تر شد و ۲۸ کشور مختلف در قاره‌های گوناگون را تحت تأثیر قرار داد. کشورهای هدف شامل کانادا، آمریکا، مکزیک، برزیل، بولیوی، شیلی، بریتانیا، هلند، بلژیک، فرانسه، چک، اتریش، ایتالیا، کرواسی، یونان، مراکش، مصر، آفریقای جنوبی، ترکیه، عربستان سعودی، روسیه، قزاقستان، چین، تایلند، ژاپن، تایوان، فیلیپین و استرالیا می‌شوند.

این بات‌نت همچنین بخش‌های متنوعی از اقتصاد جهانی را هدف قرار داد که شامل فناوری، خرده‌فروشی و هتل‌داری، تولید، ارائه‌دهندگان خدمات امنیتی مدیریت‌شده، دولت، مخابرات و اپراتورها، و آموزش می‌شود. این وسعت جغرافیایی و تنوع در صنایع هدف، نشان‌دهنده بلندپروازی و پتانسیل تخریبی بالای این بات‌نت است.

مکانیسم عمل و هشدارهای امنیتی درباره بات‌نت ShadowV2

مهاجمان با سوءاستفاده از حفره‌های امنیتی در دستگاه‌های آسیب‌پذیر، ابتدا یک اسکریپت دانلودکننده (binary.sh) را روی آنها مستقر کرده و سپس از طریق آن، بدافزار ShadowV2 را با فایل‌هایی با پیشوند "shadow" از آدرس IP مشخصی (81[.]88[.]18[.]108) منتقل می‌کنند. این بات‌نت از نظر عملکرد به گونه LZRD از خانواده میرای شباهت دارد: پس از آغاز به کار، پیکربندی رمزگذاری‌شده با XOR را مقداردهی اولیه کرده و سپس به یک سرور فرماندهی و کنترل (C2) متصل می‌شود تا دستورات لازم برای اجرای حملات DDoS را دریافت و اجرا کند. نمایش رشته "ShadowV2 Build v1.0.0 IoT version" در زمان اجرا، نشان می‌دهد که این نسخه احتمالاً اولین نسخه توسعه‌یافته ShadowV2 برای دستگاه‌های IoT است.

کارشناسان امنیتی با اشاره به این فعالیت‌های نگران‌کننده، بر ضرورت فوری اقدامات زیر تاکید می‌کنند تا در برابر حملات بات‌نت‌های مشابه محافظت ایجاد شود:

به‌روزرسانی منظم سفت‌افزار (Firmware) دستگاه‌های IoT: این کار به رفع آسیب‌پذیری‌های امنیتی شناخته‌شده کمک می‌کند و شکاف‌های امنیتی را می‌بندد.

نظارت دقیق بر ترافیک شبکه: شناسایی الگوهای مشکوک و غیرعادی در ترافیک می‌تواند نشان‌دهنده نفوذ و فعالیت بدافزار باشد.

استفاده از رمزهای عبور قوی و منحصربه‌فرد: جلوگیری از دسترسی‌های غیرمجاز به دستگاه‌ها، نقطه شروع بسیاری از حملات بات‌نت است.

درس‌هایی برای امنیت سایبری: از حملات بات‌نت ShadowV2 تا مقابله با Aisuru در Azure

ظهور و فعالیت بات‌نت ShadowV2 در خلال اختلال AWS، یک یادآوری تلخ است که دستگاه‌های اینترنت اشیا همچنان حلقه ضعیف در زنجیره امنیت سایبری به شمار می‌روند و می‌توانند به سادگی به اهرمی برای حملات گسترده‌تر تبدیل شوند. این رویداد تنها نمونه‌ای از تهدیدات فزاینده در فضای ابری نیست. مدت کوتاهی پس از این حمله آزمایشی ShadowV2، مایکروسافت نیز اعلام کرد که سرویس ابری Azure آن با "بزرگ‌ترین حمله DDoS ابری تاریخ" مواجه شده است. این حمله که منشأ آن بات‌نت Aisuru بود، حجمی معادل ۱۵.۷۲ ترابیت بر ثانیه و حدود ۳.۶۴ میلیارد بسته در ثانیه داشت. با این حال، سامانه محافظت از DDoS مایکروسافت توانست در ۲۴ اکتبر این ترافیک عظیم را دفع کند و خوشبختانه هیچ‌یک از سرویس‌های مشتریان دچار اختلال نشدند.

این دو واقعه، در کنار هم، بر اهمیت حیاتی دفاع سایبری هوشمند، پاسخگویی سریع به تهدیدات، و لزوم همکاری در اکوسیستم امنیت سایبری برای مقابله با بات‌نت‌های در حال تکامل و حملات سایبری با ابعاد بی‌سابقه تأکید می‌کنند. سازمان‌ها و کاربران باید به طور مداوم استراتژی‌های امنیتی خود را بازنگری و تقویت کنند تا در برابر این تهدیدات نوظهور و پیچیده مقاوم باشند و امنیت سایبری را به یک اولویت همیشگی تبدیل نمایند.

مجله تخصصی هک و امنیت

مطالب مرتبط

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا