حمله سایبری به شرکت‌های بین‌المللی از حفره‌ای شناخته‌شده

چند ساعت پس از دومین حمله‌ی گسترده‌ی سایبری ظرف دو ماه گذشته، شرکت‌های بین‌المللی در نقاط مختلف جهان تلاش می‌کنند پیامدهای آن را مهار کنند. غول کشتیرانی "مولر-مرسک" دانمارک، غول نفتی "روس‌نفت" روسیه، کمپانی داروسازی "مِرک" آمریکا، شرکت راه‌آهن دولتی فرانسه (SNCF) و کمپانی بین‌المللی تولید مواد غذایی Mondelez (دفتر مرکزی در ایلینوی آمریکا) از جمله قربانیان هستند.

مولر-مرسک روز چهارشنبه اعلام کرد که در حال تلاش برای رفع مشکل است. بر این اساس، بخشی از سامانه‌ها خاموش شده‌اند تا کار بهتر پیش برود. مقام‌های این شرکت کشتیرانی می‌گویند شناورها مشکلی برای حرکت و برقراری ارتباط ندارند و خدمه سلامت هستند؛ در عین حال به شبکه‌های کامپیوتری "APM Terminals" در برخی بنادر آسیب وارد شده است. "APM Terminals" یکی از بزرگترین اپراتورهای بندر و پایانه‌های کانتینری در جهان و مقر اصلی آن در لاهه هلند است.

شرکت‌های اوکراینی هم خسارت سنگینی متحمل شده‌اند. با از کار افتادن بخشی از کامپیوترها در ویرانه‌های نیروگاه اتمی چرنوبیل تکنیسین‌ها مجبور شده‌اند میزان تشعشعات رادیواکتیو را به صورت دستی اندازه‌گیری کنند. گفته می‌شود سامانه‌های فنی اصلی اما آسیبی ندیده‌اند.

باز هم حفره‌ی امنیتی ویندوز

این بار هم یک باج‌افزار علیه سیستم عامل ویندوز وارد عمل شده است. شرکت امنیت کامپیوتری سیمنتک و اداره فدرال امنیت آی‌تی آلمان می‌گویند باج‌افزار جدید هم از جمله از حفره امنیتی ویندوزهای قدیمی استفاده می‌کند؛ از همان حفره‌ای که باج‌افزار "وانا کرای" (WannaCry) به شبکه‌های کامپیوتری نفوذ می‌کرد. با این تفاوت که بدافزار جدید نسبت به وانا کرای با سرعت کمتری منتشر می‌شود و بیشتر به شبکه‌ی شرکت‌های بزرگ بین‌المللی علاقه نشان می‌دهد.

باج‌افزار کنونی که خبر انتشار آن روز سه‌شنبه (۲۷ ژوئن/ ۶ تیر) منتشر شد، از یک حفره امنیتی دیگر هم استفاده می‌کند. کارشناسان امنیتی گمان می‌کنند که طراحان این بدافزار بیشتر از کسب درآمد به دنبال ایجاد هرج‌ومرج بوده‌اند. گذشته از این، کارشناسان می‌گویند سیستم باج‌گیری بدافزار کنونی هم چندان حرفه‌ای نیست.

شرکت امنیت رایانه‌ای کاسپرسکی روسیه روز سه‌شنبه اعلام کرد که ۲۰۰۰ مورد از این حمله موفقیت‌آمیز بوده است. بر این اساس، بیشتر قربانیان در روسیه و اوکراین بوده‌اند؛ همچنین در آلمان، لهستان، ایتالیا، بریتانیا، فرانسه و آمریکا.

خبر حمله سایبری با باج‌افزار "وانا کرای" برای نخستین بار ۱۲ ماه مه منتشر شد. این باج‌افزار در مدت‌زمانی حدود ۲۴ ساعت صدها هزار کامپیوتر مبتنی بر ویندوز را در بیش از ۱۵۰ کشور جهان آلوده کرد. شرکت راه‌آهن سراسری آلمان و سیستم بهداشت و درمان بریتانیا از جمله قربانیان وانا کرای بودند؛ البته کامپیوترهای شخصی هم در امان نماندند. وانا کرای کامپیوتر را قفل می‌کرد و از کاربر می‌خواست ظرف مدت ۳ روز معادل ۳۰۰ دلار بیت‌کوین (پول مجازی) بپردازد تا بار دیگر کنترل رایانه خود را به دست آورد. اگر کاربر در این مهلت مبلغ یادشده را واریز نمی‌کرد، میزان باج دو برابر می‌شد و اگر تا ۱۹ مه پولی پرداخت نمی‌شد، داده‌ها نابود می‌شدند.

باج‌افزار کنونی هم پس از قفل‌کردن داده‌های قربانی، ۳۰۰ دلار طلب می‌کند. همه قربانیان مبلغ خواسته شده را به یک حساب مجازی واریز می‌کنند. قربانیان باید از طریق یک آدرس ایمیل با مهاجمان ارتباط برقرار کنند. شرکت "Posteo" که میزبان این آدرس ایمیل است اما آن را از دسترس خارج کرده است. با این حساب واریز مبالغ کمکی به آزادشدن کامپیوترهای آلوده نمی‌کند.

تا صبح چهارشنبه ۳۵ قربانی پول به حساب یادشده واریز کرده بودند.

باز هم رد پای آژانس امنیت ملی آمریکا

کارشناسان امنیتی می‌گویند باج‌افزار جدید هم مانند وانا کرای از یکی از حفره‌های امنیتی استفاده می‌کند که آژانس امنیت ملی آمریکا (NSA) از آن برای جاسوسی استفاده می‌کرده و آن را به مایکروسافت خبر نداده بوده است. چندی پیش گروهی از هکرها که خود را "Shadow Brokers" خواندند، به بخشی از داده‌های آژانس امنیت ملی آمریکا دست یافتند و قسمتی از آن را در اینترنت منتشر کردند. هکرها هم بخشی از کدهای جاسوسی منتسب به NSA به نام "Eternal Blue" را برداشتند و با استفاده از آن "وانا کرای" را خلق کردند. در کد باج‌افزار کنونی هم رد پای "Eternal Blue" دیده می‌شود.

کارشناسان امنیت شبکه درباره ماهیت باج‌افزار جدید هم‌نظر نیستند. گروهی آن را نسخه‌ای از باج‌افزار "پتیا" (Petya) می‌دانند که از یک سال پیش شناخته شده است. کاسپرسکی اما می‌گوید باج‌افزار کنونی ارتباطی با "پتیا" ندارد؛ بلکه بدافزار جدیدی است که خود را "پتیا" معرفی می‌کند.

کارشناسان امنیتی می‌گویند باج‌افزار جدید قدرت نفوذ به نسخه‌های جدید ویندوز را هم دارد. وانا کرای تنها می‌توانست تا نسخه‌های قدیمی‌تر ویندوز ۷ نفوذ کند.

مایکروسافت ماه‌هاست یک بسته‌ی به‌روزرسانی رایگان برای بستن حفره‌ی امنیتی یادشده منتشر کرده است. بسیاری از کاربران اما، به ویژه شرکت‌های عریض و طویل بین‌المللی، هنوز سیستم عامل سامانه‌های خود را به‌روز نکرده‌اند.

یوروپل و بازرسان فرانسوی برای یافتن مهاجمان وارد عمل شده‌اند.