سيسکو يکي از مخربترين کمپينهاي حملات سايبري را متوقف کرد

تاریخ 94/8/20

اگرچه اقدامات سيسکو موجب ازکارافتادن بخش زيادي فعاليت‌هاي کيت Angler Exploit شده است، بااين‌حال راه طولاني تا رسيدن به نتيجه و مقصد مطلوب باقي است.

کيت Angler Exploit يکي از فراگيرترين و درعين‌حال قوي‌ترين کيت‌هايي است که امروزه مورداستفاده قرار مي‌گيرد؛ اما در هفته جاري و هم‌زمان با اجرايي شدن برخي راهکارهاي سيسکو براي از کار انداختن تعدادي از سرورهاي اين کيت تا حدي از اثرگذاري آن کاسته شد.

تيم تحقيقي سيسکو توانسته تعدادي از منابع مرتبط با Angler که هرروز بيش از 90 هزار قرباني مي‌گيرد و تقريباً معادل 30 ميليون دلار در سال براي مهاجمان درآمد دارد شناسايي کند. سيسکو، از طريق ارتباط با Limestone که يکي از شبکه‌هاي اپراتوري است و بسياري از سرورهاي Angler روي آن مستقرشده‌اند، امکان حذف اين کيت را پيداکرده است. به گفته يکي از اعضاي تيم تحقيق سيسکو، اجبار قانوني هيچ تأثيري در حذف اين کيت مخرب نداشته است. اپراتور Limestone به اعتبار خودش سرورهاي مرتبط با اين کيت را از کار انداخت و به‌وسيله برخي اقدامات در جلوگيري از آلوده شدن سيستم‌هاي ديگر کاربران کمک بسياري کرد. سيسکو توانسته در Limestone 147 سرور پروکسي  براي کيت Angler Exploit پيدا کند که همگي آن‌ها در حال حاضر ازکارافتاده‌اند. به‌طورکلي، محققان سيسکو سرورهاي از Angler را يافته‌اند که توسط ارائه‌دهندگان متنوعي ميزباني مي‌شود. در اين ميان سهم Limestone و Hetzner از ميزباني سرورهاي Angler متفاوت از باقي اپراتورها بوده است.

در همين راستا، سيسکو به‌منظور اطلاع‌رساني در خصوص سرورهاي Angler با مجموعه Hetzner تماس برقرار کرد. بنا بر آمار موجود، 38 درصد فعاليت‌هاي شناسايي‌شده مبتني بر حجم HTTP کيت Angler، از طريق Limestone و 37 درصد به‌واسطه Hetzner صورت مي‌گرفتند. بااين‌وجود، سيسکو توانست ميزان کلي فعاليت‌هاي Angler روي Limestone را کاهش دهد. درواقع، وجود تنها يک سرور نظارتي سالم براي ارتباط با 147 سرور پروکسي Angler حاکي از اداره اين کيت توسط گروهي واحد است. سيسکو، از تعداد قابل‌توجهي تکنيک و تکنولوژي براي محصور کردن و شناسايي سرورهاي Angler، ازجمله OpenDNS استفاده کرده است؛ فناوري که در ژوئن گذشته 635 ميليون دلار براي سيسکو به همراه داشت. OpenDNS بينشي بي‌نظير بر فعاليت اصلي مرتبط با فضاي IP در اختيار سيسکو گذاشت که فرصت تهيه و ارائه اين اطلاعات را براي مجموعه فراهم کرد. تحقيقات سيسکو در مورد اين کيت در مارس سال 2015 شدت يافت؛ در اين ماه سيسکو از بُردار حمله‌اي جديد به نام Domain Shadowing پرده برداشت که Angler براي آلوده کردن سيستم کاربران از آن استفاده مي‌کرده است. بر اساس گزارش امنيتي منتشرشده سيسکو در نيمه سال 2015،
Flash exploits در سطح وسيعي براي آلوده کردن سيستم کاربران توسط Angler به کار گرفته‌شده است. توجه به اين نکته ضروري است که تنها شرکت سيسکو رديابي و دنبال کردن Angler را انجام نمي‌دهد. بنا بر گزارش Intel Security's McAfee، پراستفاده‌ترين کيت استخراجي در سال 2014، Angler بوده است. اگرچه آنچه تاکنون سيسکو انجام داده ضربه محکمي به Angler زده است؛ اما براي متوقف کردن روند به‌کارگيري اين کيت همچنان مسير طولاني پيش روست. از همين رو، سيسکو چندين پروژه ازجمله مذاکره با ساير بخش‌هاي درگير با کيت Angler را در برنامه دارد.