شماره: IRCNE201001620
محققان امنيتي اعلام كردند كه زامبي هاي متعلق به ارتش رايانه هاي خرابكار Pushdo، بيش از 300 وب سايت را با درخواست ارتباط SSL ساختگي كلافه كرده اند. در ليست وب سايت هاي مذكورTwitter، PayPal و CIA نيز مشاهده مي شوند.
ارتش رايانه هاي خرابكار Pushdo Botnet براي مخفي كردن سرور command-and-control خود دست به چنين كاري زده است. رايانه زامبي به رايانه اي اطلاق مي شود كه توسط بدافزارها آلوده گشته و در حال حاضر اختيار آن در دست خرابكاران است. بنابر اظهارات يك محقق امنيتي متخصص در امور Botnet، Pushdo به زامبي هاي خود دستور داده است تا ارتباط جعلي SSL با وب سايت هاي شناخته شده برقرار كنند و اين كار را از طريق ارسال سرآيندهاي ساختگي درخواست ارتباط SSL به سرور command-and-control انجام مي دهند. SSL يك پروتكل براي رمزنگاري ارتباط بين دو رايانه است و براي ارتباطاتي از قبيل تجارت الكترونيكي و خدمات بانكي آنلاين به كار مي رود.
بنا بر مشاهدات Shadow Server Foundation، ترافيك غريبي بر روي وب سايت هاي CIA، FBI، PayPal، Yahoo و Twitter ديده شده ولي حجم آن در حدي نبوده است كه سرعت وب سايت هاي مذكور را كند كند. وب سايت هاي مذكور تنها شاهد برقراري ارتباطات مرموزي بوده اند كه معناي خاصي نداشته است. در برقراري ارتباط مذكور يك رايانه سعي در ايجاد يك ارتباط SSL كرده و پس از شنيدن پاسخ مثبت از طرف سايت، هيچ بسته اي را ارسال نكرده است و سرور را مشغول نگاه داشته است.
ارتش رايانه هاي خرابكار Pushdo بدافزارهاي مختلفي همچون تروجان هاي بانكي، سارقان رمزعبور، كليك كننده هاي تبليغات و سارقين نتايج جستجو را بر روي رايانه هاي قرباني نصب مي كند. اين Botnet همچنين از زامبي هاي خود براي فرستادن هرزنامه سوءاستفاده مي كند. تعداد رايانه هاي آلوده كه اختيار آنها در دست خرابكاران مذكور قرار گرفته است به بيش از 300000 رايانه مي رسد. محققان احتمال مي دهند سرور command-and-control اين Botnet در اروپاي شرقي قرار گرفته باشد. اما در اقدام اخير وب سرور مذكور سعي كرده است محل خود را بيش از پيش پنهان سازد زيرا درخواست هاي SSL شباهت بيشتري به يك ترافيك عادي دارند.
- 3