بدافزار پتیا چیست و چگونه وارد سیستمهای رایانهای شد؟
بدافزار موسوم به پتیا که از اوکراین شروع شد و به سیستمهای رایانهای سراسر جهان راه یافت اثراتی مخربتر از موارد مشابه در سالهای گذشته دارد.
زمانی که بدافزار Wanncry در ماه مه سراسر اروپا را فراگرفت، استدلال محکمی وجود داشت مبنی بر اینکه میزان خسارات وارده آن بسیار بالا باشد. حملات بدافزارها چیز جدیدی نیست اما این مورد تا اندازهای متفاوت بود دلیل آن نیز استفاده از سلاحی مخفی به نام EternalBlue بود که گروه موسوم بهShadow Brokers آن را در ماه آوریل منتشر کرده و اعتقاد بر این بود که آژانس ملی امنیت آمریکا آن را ایجاد کرده است. این بدافزار نوعی سلاح در سطح دولت مردمی بود که بیشتر اهداف غیرنظامی همچون سرقت از بانکها در شهرهای کوچک را هدف قرار میداد.
حالا پس از گذشت یک ماه از این جریان، نوع جدیدی از بدافزارها با همان میزان خسارت و تقریبا بدون هیچ قدرت آتشی منتشر شده است. نوعی ویروس از خانواده بدافزارهای پتیا که هزاران سیستم را در سراسر جهان آلوده کرده است از جمله شرکتهایی مانندMaersk, Rosneft و Merck با این تفاوت که در این حمله بدافزاری، مواد خام بسیار کمتری به کار گرفته شده است.
هم اکنون پتیا نیز از همان سلاح EternalBlue بهره میبرد.اما تا کنون بسیاری از سازمانهای هدف از آن مصون ماندهاند و میزان اکسپلویت (کدهای مخرب) در آن نسبت به گستردگی بدافزار بسیار کم بوده است.در مقابل، اکسپلویتهایی که بدافزار پتیا از آن بهره میبرد گرچه ممکن است به اندازه بدافزار NSA معروف نباشند اما قدرت تخریبکنندگی بالایی دارند و میتوانند سازمانها را در وضعیت دشوارتری قرار دهند.
Wanncry بیشتر روی سیستمهای پچشده متمرکز بود در حالی که به نظر میرسد پتیا بیشتر شبکههای به هم متصل را هدف قرار داده باشد که در این صورت قاعدتاً خسارات وارده بیشتر خواهد بود. وقتی یک سیستم رایانه آلوده شد پتیا از طریق سیستم شبکهسازی ویندوز از جمله Windows Management Instrumentation (WMI) و PsExec تمام شبکههای دیگر را نیز آلوده میکند. دو ابزاری که نام برده شد معمولا برای دسترسی ادمینها از راده دور کاربرد دارند. یک کارشناس امنیت سیستم نیز همین نظر را دارد. وی معتقد است هکرها زمانی از پتیا استفاده میکنند که بخواهند بدافزاری را درون یک شبکه هماهنگشده وارد کنند. WMI یکی از این ابزار است که به طور معمول نمیتوان آن را با ترفندهای امنیتی قفل کرد و یا PsExec که گرچه نسبت به WMI آسیبپذیرتر است اما همچنان راه نفوذ قدرتمند و مؤثری به شمار میرود.
اما طبق تحقیقاتی که موسسه Talos Intelligence انجام دادهبدافزار پتیا ممکن است از طریق یک بدافزار بهروزرسانی جعلی در سیستم حسابداری اوکراین با عنوان MeDoc منتشر شده باشد. گرچه MeDoc این اتهامات را نپذیرفت اما گروههای دیگر با یافتههای این موسسه موافقند و استدلالشان نیز نوعی امضای دیجیتال است. اما عده دیگری معتقدند اگر این امضا در انتشار این بدافزار نقش داشت در آن صورت هکرها راه راحت و مشخصی برای نفوذ به تمام سیستمهای حاوی این امضا داشتند.
اولین بار نیست که هکرها سیستمهای اتوآپدیت را برای قرار دادن بدافزارها انتخاب کردهاند. جمهوری اسلامی ایران در سال 2012 از طریق بدافزار Flame تجربه کرده است. در این سال هکرها فرآیند بهروزرسانی سیستمهای ویندوز را هدف قرار دادند که گفته میشود دولت آمریکا در آن نقش داشت. در حال حاضر گفته میشود بدافزار پتیا که از کشور اوکراین آغاز شد به سیستمهای رایانهای سراسر جهان راه یافته است.
