در اواخر سال گذشته حمله HelloKitty به شرکت لهستانی سیدی پروجکت (CD Projekt SA)، بهعنوان یکی از مطرحترین تولیدکنندگان بازیهای ویدئویی توجه رسانهها را به این باجافزار جلب کرد.
به گزارش پایداری ملی به نقل از مرکز مدیریت راهبردی افتا، ظهور نسخه Linux این باجافزار و در نتیجه توانایی آن در رمزگذاری فایلهای ESXi، دامنه تخریب HelloKitty را بهشدت افزایش میدهد. بهخصوص آنکه سازمانها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری و بهینهتر شدن استفاده از منابع سختافزاری بیش از هر زمانی به بسترهای مجازی روی آوردهاند.
Vmware ESXi یکی از پرطرفدارترین بسترهای مجازیسازی است. در یک سال گذشته تعداد مهاجمانی که اقدام به عرضه نسخه تحت Linux از باجافزار خودبرای هدف قراردادن این بستر کردهاند، روندی صعودی داشته است.
اگرچه ESXi به دلیل استفاده از یک هسته سفارشی، تفاوتهایی با توزیعهای متداول Linux دارد اما همان شباهتهای موجود بهویژه قابلیت اجرای فایلهای ELF۶۴، آن را به اینگونه باجافزارها آسیبپذیرتر میکند.
بررسی محققان نشان میدهد نسخه Linux باجافزار HelloKitty حداقل از دو ماه قبل، از esxcli برای متوقف کردن ماشینهای مجازی استفاده میکرده است.
esxcli یک ابزار مدیریتی خط فرمان است که از طریق آن میتوان فهرست ماشینهای مجازی در حال اجرا را استخراج و آنها را متوقف کرد.
هدف از متوقف کردن ماشین، فراهم شدن امکان رمزگذاری آنها بدون هرگونه ممانعت ESXi است؛ با این توضیح که اگر به هر دلیل فایل پیش از آغاز فرایند رمزگذاری بهدرستی بسته نشده باشد ممکن است دادههای آن برای همیشه از بین برود.
باجافزار ابتدا تلاش میکند با سوئیچ soft ماشین مجازی را بهصورت عادی خاموش کند.
esxcli vm process kill -t=soft -w=%d
درصورتیکه ماشین همچنان در حال اجرا باقی بماند از سوئیچ hard برای خاموشکردن فوری آن بهره گرفته میشود.
esxcli vm process kill -t=hard -w=%d
اگر هیچکدام از فرمانهای بالا مؤثر نبود از سوئیچ force برای متوقف سازی ماشین استفاده میشود.
esxcli vm process kill -t=force -w=%d
پس ازکارافتادن ماشین مجازی، باجافزار رمزگذاری فایلهای vmdk (حاوی دیسک سخت مجازی)، vmsd (حاوی فرادادهها و اطلاعات Snapshot) و vmsn (شامل اطلاعات وضعیت فعال ماشین) را آغاز میکند.
به طور خلاصه میتوان گفت که با این تکنیک امکان رمزگذاری تمامی ماشینهای مجازی ESXi تنها با اجرای چند فرمان فراهم میشود.
اوایل این ماه نیز برخی منابع خبر دادند مهاجمان باجافزار REvil با بهکارگیری یک رمزگذار تحت Linux در حال آلودهسازی بسترهای مجازی VMware ESXi و رمزگذاری ماشینهای مجازی آنها هستند.
باجافزارهای معروف دیگری نظیر Babuk، RansomExx/Defray، Mespinoza، GoGoogle و DarkSide نیز از رمزگذارهای Linux برای هدف قراردادن ماشینهای مجازی ESXi استفاده میکنند.
به نظر میرسد اصلیترین دلیل مهاجمان در ساخت نگارش تحت Linux باجافزار خود، هدف قراردادن اختصاصی بسترهای ESXi به دلیل کثرت استفاده از آن است.
HelloKitty حداقل از نوامبر ۲۰۲۰ فعال بوده است. در مقایسه با باجافزارهای مطرحی که بهصورت هدفمند به سازمانها حمله میکنند، HelloKitty را نمیتوان چندان فعال دانست.
حمله باجافزاری به سیدی پروجکت بزرگترین موفقیت مهاجمان HelloKitty است که در جریان آن مهاجمان مدعی شدند کد برخی بازیهای ساخت این شرکت را نیز به سرقت بردهاند؛ این مهاجمان پس از مدتی اعلام کردند که فایلهای سرقت شده را به فروش رساندهاند.
لازم به ذکر است اخیراً نیز برخی منابع از حمله باجافزاری مهاجمان HelloKitty از طریق سوءاستفاده از آسیبپذیریهای سریهای ۱۰۰ محصول SonicWall Secure Mobile Access و محصولات Secure Remote Access خبر دادند.
به گفته این منابع، ثابتافزار (Firmware) تجهیزات مورد حمله همگی از ردهخارج و آسیبپذیر بودهاند.
هشدار امنیتی شرکت سونیک وال (SonicWall) در خصوص این حملات در لینک زیر قابلمطالعه است: