بات نتی که 5 سال ناشناس مانده بود 500 هزار کامپیوتر را آلوده کرد
تحقیقات پژوهشگران شرکت امنیتی ESET نشان می دهد، بات نتی که به مدت ۵ سال موفق شده بود از دید سامانه های امنیتی خود را پنهان سازد، نزدیک به ۵۰۰ هزار سامانه کامپیوتری را الوده کرده است. به گفته این گروه از پژوهشگران باتنت فوق در این مدت موفق شده بود انواع مختلفی از فعالیت های مخرب را روی سامانه های قربانیان به مرحله اجرا درآورد. این بات نت که Stantinko نام دارد، از سال ۲۰۱۲ میلادی یک کمپین تبلیغ افزاری بزرگ را راه اندازی کرده بود. کمپینی که به طور ویژه کاربران ساکن در کشورهای روسیه و اوکراین را هدف قرار داده بود. برای انکه این بات نت بتواند خود را از دید سامانه های ضدبدافزاری و امنیتی دور نگه دارد، از تکنیک رمزنگاری کدها و مکانیسم های دور زدن سامانه های ضدبدافزاری استفاده می کرد. همین موضوع باعث شده بود به مدت ۵ سال ناشناخته باقی بماند.
این بات نت برای جاسوسی از سامانه های قربانیان از ابزاری به نام FileTour استفاده می کرد. ابزار فوق این قابلیت را داشت تا برنامه های مخرب را از بستر اینترنت دانلود و روی سامانه قربانیان اجرا کند. این نرم افزارها بدون هیچ مشکل خاصی در پس زمینه دستگاه قربانی اجرا می شدند. نرم افزارهایی که در پس زمینه دستگاه قربانی اجرا می شدند، به منظور نصب درهای پشتی، جستوجو در گوگل و اجرای حملات جستوجوی فراگیر روی پانلهای مدیریتی وردپرس و جوملا مورد استفاده قرار می گرفتند. حملات جستوجوی فراگیر عمدتاً به منظور دستیابی به گذرواژه های متعلق به حساب های کاربری و سرقت گواهینامه ها مورد استفاده قرار می گرفت. بات نت فوق همچنین این توانایی را داشت تا افزونه هایی را روی مرورگر قربانیان نصب و در ادامه تبلیغات ناخواسته را از طریق تکنیک کلیک یابی به سمت مرورگر کاربران گسیل کند. اما برای آنکه فرآیند تزریق تبلیغات را با موفقیت به سرانجام برساند، اقدام به ساخت سرویس های ویندوز می کرد تا سطح بیشتری از تبلیغات به سمت قربانیان روانه شود. پس از آنکه دستگاهی آلوده می شد، در مرحله بعد باتنت دو سرویس مخرب ویندوزی را روی سامانه قربانی به مرحله اجرا درمی آورد. مکانیسم مورد استفاده از سوی دو سرویس فوق به این شکل است که هر زمان یکی از این سرویس ها حذف شود، سرویس دیگر به طور خودکار سرویس حذف شده را ایجاد و آن را اجرا کند.
در نتیجه برای پاکسازی کامل دستگاه قربانی ضروری است این سرویس ها به طور همزمان از دستگاه قربانی حذف شوند. حذف همزمان هر دو سرویس از آن جهت حائز اهمیت است که اگر یکی از سرویس ها حذف شود، سرویس دیگر درخواستی را برای سرور کنترل و فرماندهی مبنی بر دریافت نسخه جدیدتری از سرویس پاک شده ارسال میکند. افزونه های مخربی که از سوی این بات نت نصب می شوند، مرور امن (The Safe Surfing) و حفاظت تدی (Teddy Protection) نام دارد. این افزونه ها در فروشگاه وب کروم قرار دارند و این گونه به نظر میرسند که برنامه هایی مشروع و قانونی هستند که قادرند نشانی های اینترنتی ناخواسته را بلوکه کنند و مانع باز شدن صفحات ناخواسته روی کامپیوتر کاربران شوند. با وجود این، زمانی که این افزونه ها از طریق بات نت فوق نصب می شوند، در ادامه از سرورهای کنترل و فرماندهی تنظیمات و پیکربندی های خاصی را دریافت می کنند که به انها اجازه روبایش کلیک ها و نمایش ناخواسته تبلیغات را می دهد. بات نت Stantinko به یک ماژول در پشتی نیز تجهیز شده است که قادر است فایل های اجرایی متعلق به سیستم عامل ویندوز را بارگذاری کند و در حافظه اصلی سامانه کامپیوتری قربانی قرار دهد. این فایلهای اجرایی به طور مستقیم از سرور کنترل و فرماندهی برای کامپیوتر قربانی ارسال می شوند. به نظر میرسد هدف اصلی توسعه دهندگان این بات نت و بدافزارهای مرتبط با آن کسب درآمد به شیوه روبایش کلیک ها است. اگر چنین حرفی صحت داشته باشد، نشان میدهد که بدافزار نویسان به شرکت ها یا افرادی که محصولات تبلیغاتی آنها روی سامانه های قربانیان به نمایش درآمده است نزدیک هستند. به واسطه آنکه زمانی که سامانه قربانیان آلوده می شود، قربانیان را به طور مستقیم به سمت سایت هایی که این محصولات در آنها تبلیغ می شود هدایت میکند. جالب آنکه نویسندگان این بات نت به دقت حساب های مدیریتی متعلق به پلتفرم های جوملا و وردپرس را زیر نظر گرفته اند تا در صورت امکان گواهینامه های متعلق به آنها را به سرقت ببرند و در ادامه در دارک وب آنها را به فروش برسانند.