پتیا
نام(های) مستعار | GoldenEye NotPetya |
---|---|
دستهبندی | تروجان |
گونه | باجافزار |
زیرشاخه | Cryptovirus |
سیستمعاملهای تأثیرپذیر | مایکروسافت ویندوز |
پتیا (انگلیسی: Petya) نام خانوادهای از باجافزارها است که برای اولین بار در سال ۲۰۱۶ میلادی کشف شد. این بدافزار، سامانههایی که بر پایهٔ ویندوز باشند را هدف قرار میدهد و رکورد راهانداز اصلی را آلوده میکند. با این کار کدی اجرا میشود که جدول پروندههای موجود بر روی دیسک سخت را رمزنگاری میکند و از راهاندازی مجدد ویندوز جلوگیری میکند. وقتی یک سیستم آلوده شد، از کاربران میخواهد تا مقداری پول (به بیتکوین) پرداخت کنند تا اجازه دسترسی دوباره به سامانه را بدهد.
اولین نسخههای پتیا در مارس ۲۰۱۶ از طریق پیوستهای آلودهٔ پست الکترونیکی منتشر شد. در ژوئن ۲۰۱۷ نسخه جدیدی از آن در حملهای جهانی مورد استفاده قرار گرفت که کامپیوترهای اوکراین هدف اولیهٔ آن بود. این نسخهٔ جدید از طریق اکسپلویتی به نام اترنال بلو بهره میجوید که عموماً اعتقاد بر این است که توسط آژانس امنیت ملی (NSA) ایالات متحده توسعه یافته است و اوایل همان سال توسط باج افزار واناکرای مورد استفاده قرار گرفت. آزمایشگاه کسپرسکی به دلیل این تفاوتها در عملکرد، این نسخه جدید را NotPetya نامید تا آن را از نسخههای ۲۰۱۶ متمایز کند. در ابتدا شبیه باجافزار به نظر میرسید. ولی به دلیل عدم قابلیت بازیابی اطلاعات، بیشتر معادل پاککن بود. برخی محققان امنیتی، گوگل و چندین دولت، با توجه به ارتباط موضوع با گروه هکر Sandworm که درون سازمان اطلاعات نظامی روسیه GRU قرار گرفته است، مقصر حملات NotPetya را روسیه میدیدند. [۲][۳][۴][۵]
تاریخچه
[ویرایش]پتیا در مارس ۲۰۱۶ کشف شد.[۶] شرکت چک پوینت با اشاره به این موضع بیان کرد که در حالی که نسبت به سایر باج افزارهای فعال در اوایل سال ۲۰۱۶، مانند کریپتو وال ، به آلودگی های کمتری دست یافته بود، اما دارای تفاوت های قابل توجهی در عملکرد بود که باعث شد "فورا به عنوان گام بعدی در تکامل باج افزار علامتگذاری شود". [۱] نوع دیگری از پتیا که در می ۲۰۱۶ کشف شد حاوی یک قسمت فعال جدید بود که به برنامه اضافه شده بود تا اگر بدافزار نتواند دسترسی در سطح ابرکاربر را به دست آورد، مورد استفاده قرار بگیرد (سربار ثانویه). [۶]
نام "پتیا" اشاره ای به فیلم چشم طلایی جیمز باند در سال ۱995 است که در آن پتیا یکی از دو ماهواره تسلیحاتی شوروی است که حامل "چشم طلایی" است. این بمب اتمی قرار بود که در مدار پایین زمین منفجر شود تا یک پالس الکترومغناطیسی تولید کند. گروه رسانهای هایز احتمال میدهد که حساب توییتری با نام «Hue Janus Cybercrime Solutions» ممکن است متعلق به نویسنده بدافزار باشد. این نام از روی گروه جنایی الک ترولیان در فیلم چشم طلایی گرفته شده، و دارای آواتاری با تصویر شخصیت چشم طلایی بوریس گریشنکو، هکر و آنتاگونیست روسی بود. نقش این شخصیت را آلن کامینگ بازیگر اسکاتلندی بازی میکند. [۷]
در ۳0 اوت ۲۰۱8، یک دادگاه منطقهای در نیکوپول در استان دنیپروپتروفسک اوکراین، یک شهروند اوکراینی ناشناس را پس از اعتراف به جرم خود به انتشار نسخه آنلاین پتیا به یک سال زندان محکوم کرد. [۸][۹][۱۰]
حمله سایبری ۲۰۱7
[ویرایش]در 27 ژوئن 2017، با استفاده از نوع جدیدی از پتیا یک حمله سایبری بزرگ جهانی آغاز شد. شرکتهای اوکراینی جزو اولین شرکتهایی بودند که اعلام کردند مورد حمله قرار گرفتهاند[۱۱]. در آن روز، آزمایشگاه کسپرسکی موارد آلودگی را در فرانسه، آلمان، ایتالیا، لهستان، بریتانیا و ایالات متحده گزارش داد، اما اکثریت الودگیها روسیه و اوکراین را هدف قرار داده بودند و در ابتدا بیش از 80 شرکت از جمله بانک ملی اوکراین مورد حمله قرار گرفته بودند.[۱۱][۱۲] شرکت ایسِت در 28 ژوئن 2017 تخمین زد که 80٪ از کل الودگیها در اوکراین بوده است و آلمان با حدود 9٪ در رده دوم قرار دارد. [۱۳] دیمیتری پسکوف، سخنگوی مطبوعاتی ولادیمیر پوتین، رئیسجمهور روسیه، اعلام کرد که این حمله آسیب جدی به روسیه وارد نکرده است. [۱۳] کارشناسان معتقد بودند که این یک حمله با انگیزه سیاسی علیه اوکراین بود، زیرا در آستانه روز قانون اساسی اوکراین رخ داد. [۱۴] [۱۵]
الکساندر کارداکوف، بنیانگذار شرکت حفاظت سایبری اوکتاوا، معتقد است که ویروس پتیا یک سوم اقتصاد اوکراین را به مدت سه روز متوقف کرد و در نتیجه بیش از 400 میلیون دلار به آن خسارت وارد کرد. [۱۶]
کسپرسکی این نوع را "NotPetya" نامید، زیرا تفاوتهای عمدهای در عملکرد آن در مقایسه با انواع قبلی خود دارد.[۱۱] کریستیان بیک، مهندس مکآفی، اظهار داشت که این نوع جدید برای رسیدن به هدف "گسترش سریع" طراحی شده است و "تمامی شرکتهای انرژی، شبکه برق، ایستگاههای اتوبوس، پمپ بنزینها، فرودگاه و بانکها" را هدف قرار داده است.[۱۱][۱۷]
میکو هیپونن، تحلیلگر شرکت افسکیور، به برنامه M.E.Doc اشاره کرده است که یک برنامه آمادهسازی مالیاتی بسار پرکاربردر اوکراین است. اعتقاد بر این بود که مکانیزم بهروزرسانی نرمافزار M.E.Doc برای انتشار بدافزار مورد خطر قرار گرفته بود. [۱۳][۱۸][۱۹] تجزیه و تحلیل شرکت ایسِت نشان داد که حداقل شش هفته قبل از حمله یک در پشتی در سیستم بهروزرسانی وجود داشته است و آن را به عنوان یک "عملیات کاملاً برنامهریزی شده و به خوبی اجرا شده" توصیف میکند.[۲۰] توسعهدهندگان MEDoc مسئولیت کامل این حمله سایبری را رد کردند و اظهار داشتند که آنها نیز قربانی شدهاند. [۱۸][۲۱][۲۲][۲۳]
در 4 ژوئیه 2017، واحد جرایم سایبری اوکراین پس از شناسایی "فعالیت جدید" با منشا سرورهای شرکت M.E.Doc را که معتقد بود منجر به "تکثیر کنترل نشده" بدافزار خواهد شد، سرورهای این شرکت را توقیف کرد. پلیس اوکراین به کاربران MEDoc توصیه کرد استفاده از این نرمافزار را متوقف کنند، زیرا گمان میرفت که درب پشتی هنوز وجود دارد. [۲۰] [۲۴] تجزیه و تحلیل سرورهای توقیف شده نشان داد که به روز رسانی نرم افزار از سال 2013 اعمال نشده است، شواهدی از حضور روسیه وجود دارد و حساب یک کارمند در سرورها به خطر افتاده است. رئیس این واحدها هشدار داد که MEDoc ممکن است به دلیل سهل انگاری در حفظ امنیت سرورهای خود، مسئول جنایی فعال کردن حمله باشد. [۲۰] [۲۳] [۲۵] تاجر فناوری اطلاعات، رئیس هیئت نظارت شرکت Oktava Capital، الکساندر کارداکوف، پیشنهاد ایجاد دفاع سایبری مدنی در اوکراین را داد. [۲۶]
عملیات
[ویرایش]سربار پتیا رکورد اصلی بوت[الف] کامپیوتر را آلوده میکند، سپس بوت لودر ویندوز را بازنویسی و سیستم را راهاندازی مجدد میکند. پس از راهاندازی، جدول اصلی فایلهای سامانه پوشهبندی NTFS را رمزگذاری کرده و سپس پیام باجگیری را نشان میدهد که خواستار پرداخت به بیتکوین است.[۶][۲۷][۲۸] در همین حین، رابط تصویری برنامه چک دیسک بر روی صفحه نمایش ظاهر میشود و نشان می دهد که ظاهراً در حال تعمیر بخش های هارد دیسک است.[۱]
سربار اصلی در نسخه ابتدایی نیازمند تایید کاربر برای دسترسی به سطح مدیریتی داشت. یکی از انواع پتیا با محموله دوم به نام Mischa همراه بود که در صورت عدم نصب Petya فعال می شد. Mischa یک بار باج افزار معمولی است که اسناد کاربر و همچنین فایل های اجرایی را رمزگذاری می کند و برای اجرا به امتیازات مدیریتی نیاز ندارد. [۲۹] نسخه های قبلی Petya محموله خود را به عنوان یک فایل PDF ، پیوست به یک ایمیل، پنهان می کردند. [۲۹] تیم واکنش اضطراری رایانه ای ایالات متحده (US-CERT) و مرکز ملی امنیت سایبری و یکپارچه سازی ارتباطات (NCCIC) گزارش یافته های اولیه بدافزار (MIFR) را در مورد Petya در 30 ژوئن 2017 منتشر کردند [۳۰]
یادداشتها
[ویرایش]- ↑ MBR
منابع
[ویرایش]- ↑ ۱٫۰ ۱٫۱ ۱٫۲ "Decrypting the Petya Ransomware". Check Point Blog. 11 April 2016. Archived from the original on 30 June 2017. Retrieved 27 June 2017.
- ↑ Greenberg, Andy (22 August 2018). "The Untold Story of NotPetya, the Most Devastating Cyberattack in History". Wired. Archived from the original on 27 August 2018. Retrieved 27 August 2018.
- ↑ Greerberg, Andy (2019-11-21). "Russia's 'Sandworm' Hackers Also Targeted Android Phones". Wired (به انگلیسی). ISSN 1059-1028. Archived from the original on 26 March 2020. Retrieved 2020-03-26.
- ↑ Kovacs, Edouard (2018-02-16). "U.S., Canada, Australia Attribute NotPetya Attack to Russia | SecurityWeek.Com". www.securityweek.com. Archived from the original on 26 March 2020. Retrieved 2020-03-26.
- ↑ Gidwani, Toni (2020-03-26). "Identifying vulnerabilities and protecting you from phishing". Google (به انگلیسی). Archived from the original on 26 March 2020. Retrieved 2020-03-26.
- ↑ ۶٫۰ ۶٫۱ ۶٫۲ Constantin, Lucian (13 May 2016). "Petya ransomware is now double the trouble". NetworkWorld. Archived from the original on 31 July 2017. Retrieved 27 June 2017.
- ↑ Scherschel, Fabian A. (15 December 2016). "Petya, Mischa, Goldeneye: Die Erpresser sind Nerds" (به آلمانی). Heise Online. Archived from the original on 22 September 2017. Retrieved 3 July 2017.
Die Virenschreiber hinter diesen Erpressungstrojanern scheinen große Fans des Films zu sein. Wahrscheinlich sind sie in den Neunzigern aufgewachsen und identifizieren sich mit Boris Grishenko, dem russischen Hacker-Genie aus dem Film. Ob ein Twitter-Konto, welches genau auf dieses Profil passt, ein Bild von Boris Grishenko als Avatar nutzt und nach dem Verbrechersyndikat aus dem Film benannt ist, von den Drahtziehern betrieben wird, konnten wir nicht bestätigen. Aber es ist immerhin denkbar.
- ↑ Iliyeva, Valery (7 August 2017). "На Дніпропетровщині викрили чоловіка, який розповсюджував вірус "Petya.A"". Dniprograd (به اوکراینی). Archived from the original on 7 September 2018. Retrieved 7 September 2018.
- ↑ Muracha, Ivan (3 September 2018). "Регіональний "координатор" вірусу РЕТYА на Дніпропетровщині отримав один рік тюрми". Dniprograd (به اوکراینی). Archived from the original on 7 September 2018. Retrieved 7 September 2018.
- ↑ "Оголошено вирок у справі за фактами масштабних кібератак вірусу "PETYA"". Judiciary of Ukraine. 31 August 2018. Archived from the original on 7 September 2018. Retrieved 7 September 2018.
- ↑ ۱۱٫۰ ۱۱٫۱ ۱۱٫۲ ۱۱٫۳ "Global ransomware attack causes chaos". BBC News. 27 June 2017. Archived from the original on 27 June 2017. Retrieved 27 June 2017.
- ↑ Turner, Giles; Verbyany, Volodymyr; Kravchenko, Stepan (27 June 2017). "New Cyberattack Goes Global, Hits WPP, Rosneft, Maersk". Bloomberg. Archived from the original on 5 November 2019. Retrieved 27 June 2017.
- ↑ ۱۳٫۰ ۱۳٫۱ ۱۳٫۲ Wakefield, Jane (28 June 2017). "Tax software blamed for cyber-attack spread". BBC News. Archived from the original on 28 June 2017. Retrieved 28 June 2017.
- ↑ Perlroth, Nicole; Scott, Mark; Frenkel, Sheera (27 June 2017). "Cyberattack Hits Ukraine Then Spreads Internationally". The New York Times. ProQuest 1913883917. Archived from the original on 13 April 2018. Retrieved 24 March 2023.
- ↑ Lee, David (28 June 2017). "'Vaccine' created for huge cyber-attack". BBC News. Archived from the original on 28 June 2017. Retrieved 28 June 2017.
- ↑ Наталія, Патрікєєва (2018-07-03). "Рік після атаки вірусу Petya: що змінилося в кібербезпеці України". radiosvoboda.org. Retrieved 2024-03-28.
- ↑ Burgess, Matt. "There's another 'worldwide' ransomware attack and it's spreading quickly". Wired UK. Archived from the original on 31 December 2017. Retrieved 27 June 2017.
- ↑ ۱۸٫۰ ۱۸٫۱ Turner, Giles; Al Ali, Nour (28 June 2017). "Microsoft, Analysts See Hack Origin at Ukrainian Software Firm". Bloomberg. Archived from the original on 28 June 2017. Retrieved 1 July 2017.
- ↑ Stubbs, Jack; Polityuk, Pavel (3 July 2017). "Family firm in Ukraine says it was not responsible for cyber attack". Reuters. Archived from the original on 4 July 2017. Retrieved 5 July 2017.
- ↑ ۲۰٫۰ ۲۰٫۱ ۲۰٫۲ Hern, Alex (5 July 2017). "Hackers who targeted Ukraine clean out bitcoin ransom wallet". The Guardian (به انگلیسی). ISSN 0261-3077. Archived from the original on 10 July 2017. Retrieved 10 July 2017.
- ↑ Goodin, Dan (27 June 2017). "A new ransomware outbreak similar to WCry is shutting down computers worldwide". Ars Technica. Archived from the original on 30 June 2017. Retrieved 1 July 2017.
- ↑ Frenkel, Sheera (27 June 2017). "Global Ransomware Attack: What We Know and Don't Know". The New York Times. ProQuest 1914424259. Archived from the original on 27 June 2017. Retrieved 28 June 2017.
- ↑ ۲۳٫۰ ۲۳٫۱ "Ukrainian software company will face charges over cyber attack, police suggest". ABC News Australia (به انگلیسی). AP. 3 July 2017. Archived from the original on 10 July 2017. Retrieved 10 July 2017.
- ↑ Goodin, Dan (5 July 2017). "Backdoor built in to widely used tax app seeded last week's NotPetya outbreak". Ars Technica (به انگلیسی). Archived from the original on 8 July 2017. Retrieved 10 July 2017.
- ↑ Stubbs, Jack; Williams, Matthias (5 July 2017). "Ukraine scrambles to contain new cyber threat after 'NotPetya' attack". Reuters. Archived from the original on 7 July 2017. Retrieved 7 July 2017.
- ↑ "Кардаков запропонував створити громадянську кібероборону". lb.ua. 2017-07-20. Retrieved 2024-03-28.
- ↑ "New ransomware outbreak". Kaspersky Blog. Kaspersky Lab. 27 June 2017. Archived from the original on 27 June 2017. Retrieved 27 June 2017.
- ↑ Brandom, Russell (27 June 2017). "A new ransomware attack is hitting airlines, banks and utilities across Europe". The Verge. Archived from the original on 2 July 2017. Retrieved 27 June 2017.
- ↑ ۲۹٫۰ ۲۹٫۱ Constantin, Lucian (13 May 2016). "Petya ransomware is now double the trouble". NetworkWorld. Archived from the original on 31 July 2017. Retrieved 27 June 2017.
- ↑ "MIFR-10130295" (PDF). United States Computer Emergency Response Team. 30 June 2017. Archived from the original (PDF) on 15 August 2017. Retrieved 22 July 2017.
- مشارکتکنندگان ویکیپدیا. «Petya (malware)». در دانشنامهٔ ویکیپدیای انگلیسی، بازبینیشده در ۱ ژوئیه ۲۰۱۷.