قامت مختبرات كاسبرسكي بنشر تفاصيل جديدة مثيرة حول دودة Duqu والتي هاجمت أهداف متعددة بغرض سرقة بيانات وتحديداً في إيران. التفاصيل تشير إلى ان الخودام التي استخدمت كمراكز سيطرة وتحكم بالدودة هي خوادم لينكس وفي غالبها كانت من توزيعة CentOS. وفي ما يلي قائمة تخلص التفاصيل الجديدة:
- الخودام يعود تاريخ عملها الى شهر نوفمبر (تشرين الثاني) 2009 على أقل تقدير.
- خودام عديدة تم اختراقها في امكان متعددة في فيتنام، الهند، المانيا، سنغافورة، سويسرا، المملكة المتحدة (بريطانيا)، هولندا، بلجيكا، كوريا الجنوبية وغيرها. غالب الخوادم التي تم اختراقها هي خوادم لينكس تستخدم توزيعة CentOS سواء التي تدعم معيارية 32bit او 64bit.
صورة توضحية تظهر خوادم مخترقة وخوادم تم تحليلها من قبل مختبرات كاسبرسكي وضحايا الهجوم - نقلاً عن Kaspersky Labs
- الخوادم يبدو أن اختراقها تمّ عبر محاولة كسر كلمة مرور المستخدم الجذر (التعليق على ذلك سيأتي في سياق المقال).
- المخترقون قاموا فور اختراق الخوادم بترقية حزمة OpenSSH 4.3 إلى الإصدارة الأخيرة OpeenSSH 5.8.
- عملية تطهير شامل لآثار الاختراق والسجلات التي تدل عليه تمّت في 20 اكتوبر (تشرين أول) في كل الخودام التي استخدمت في الهجوم الأخير بالإضافة الى التي “لم يتم” استخدامها.
- مركز السيطرة والتحكم الرئيسي لازل مجهولاً.
اللغز في هذا التحليل يكمن في الآلية التي استخدمت لاختراق خوادم لينكس، والذي جعلت عملية التطهير للخوادم حلّه أمراً صعباً للغاية.
وفقاً لمختبرات كاسبرسكي، فقد تمكنوا مهندسوها من استرجاع بعض الملفات التي تم حذفها خلال عملية التطهير والتي تظهر محاولات لكسر كلمة مرور الجذر
سجل يظهر محاولات كسر كلمة مرور المستخدم الجذر - Kaspersky Labs
وفقاً للسجّلات اعلاه استغرقت العملية 8 دقائق و 42 ثانية. هذا دليل على أن كلمة المرور في حال كانت هذه هي الطريقة التي استخدمت لاختراق الخوادم، كلمة ضعيفة بالإضافة إلى ان مدير الخادم لم يفعّل أي آلية حماية ضد هذا النوع من الهجمات.
ولكن ما يثير التساؤل هو لماذا قام المهاجمون بتحديث حزمة OpenSSH من 4.3 إلى 5.8؟
سجلات تظهر قيام المهاجمين بتحديث حزمة OpenSSH - نقلاً عن Kaspersky Labs
هناك سببان لذلك كما ذكر أحد المعلّقين:
1- الإصدارة المثبّتة (OpenSSH 4.3) تحتوي على ثغرة تمّ اصلاحها في الإصدارة الأخيرة، والمهاجمون أراد ترقيعها حتى لا يتمّ اختراق الخوادم من قبل مجموعة أخرى من المهاجمين (بدوافع مختلفة).
2- لإن الإصدارة المثبتة لا تحتوي على خصائص واضافات جديدة يحتاجها المهاجمون وتدعمها الاصدارة الجديدة.
قد تكشف الأيام المقبلة المزيد من التفاصيل المثيرة حول هذه الدودة وبعضاً من ألغازها.
www.afinis.co.cc : المصدر
ضع تعليقك
0 commentaires:
إرسال تعليق