محققین امنیتی به این موضوع پی بردند که مدل متغیر جدیدی از بدافزار Gafgyt آزادانه در حال قربانی گرفتن است؛ این بدافزار به روترهای D-Linkو دستگاههای اینترنت اشیاء حمله کرده است. مهمترین تفاوت آن با پیشینیان خود در استفادهاش از Tor برای پنهان کردن ارتباطش با مرکز فرمان و کنترل است. حمله بدافزار به دستگاههای اینترنت اشیاء در حال رواج پیدا کردن است زیرا تعداد دستگاههای خانگی هوشمند و سایر سختافزارها در بازار رشدی چشمگیر داشته است. این جنس حملات از پیچیدگی بیشتر برخوردارند زیرا توسعهدهندگان آسیبپذیریها را میبندند و شرکتهای امنیتی نیز کمپینهای بدافزار را تشخیص میدهند. Gafgyt مدتی است آن بیرون در حال فعالیت است اما نسخه جدیدش اکنون سرکشتر شده و به D-Link (CVE-2019-16920)، Citrix (CVE-2019-19781) و Liferay Portal RCE حمله کرده است. نسخهی جدید Gafgyt_tor نام دارد و همانطور که گفتیم از شبکه Tor برای پوشش دادن ارتباطات C2[1] به منظور مخفیسازی فعالیت آلودهی خود استفاده میکند. محققین NetLab 360 چنین میگویند، «تحلیلهای بعدی نشان داد این خانواده به شدت به خانواده Necro که ماه ژانویه علنی کردیم شبیه است و دقیقاً از پشت همان گروه keksec درآمده است». طبق روال همیشگی این باتنتهای IoT، آنها از طریق پروتکلهای Telnet (که اغلب باز میمانند و اعتبار ضعیفی هم دارند) به دستگاهها حمله میکنند. مهاجمین همچنین از سه آسیبپذیری مجزا –که همهشان مدتی است آن بیرون فعالیت دارند- استفاده میکنند. متأسفانه برخی دستگاههای مبتلا (روترهای دیلینک) نیز بر طبق گزارشات به آخر عمر خود رسیده بودند؛ بدینمعنا که تولیدکننده از طریق پچ مشکل را حل نکرده بوده است. تنها راه مصون ماندن از گزند این خطرات این است که روتر را کاملاً با روتر جدید جایگزین کنیم. این بدافزار هدفش دستکاری دستگاه و تبدیل کردنش به یک حمله DDoS و ماشین اسکن است. همان گروه که بدافزار Gafgyt_tor را به کار برده است همچنین احتمال میرود دستان پشت پردهی باتنتهای Necro و Tsunami نیز باشد.
[1]فرمان و کنترل