تعدادی از محققان فعال در زمینه امنیت سایبری دریافتهاند که هکرهای چینی با استفاده از پلیر VLC Media Player برای انجام حملاتی به امنیت سایبری استفاده میکنند.
این گروه هکری که گفته میشود ارتباط مستقیمی را با دولت کمونیست چین دارد، از این پلیر ویدیو محبوب برای قرار دادن بدافزارهای خود روی رایانههای مورد نظرشان استفاده میکنند. این فعالیتهای گفته شده به گروه هکری به نام Cicada که با لیست طولانی از نامهای دیگری مانند Potassuim، menuPass، Stone Panda، APT10 و Red Apollo نیز شناخته میشود، ردیابی شدهاند. گروه Cicada برای اولین بار در سال 2006 اعلام موجودیت کردند و فعالیتهای خود را از آن سال آغاز نمودند.
بدافزاری که روی کامپیوتر قربانیان قرار گرفته است، راه را برای دستیابی هکرها به انواع اطلاعات موجود روی دستگاه انها باز میگذارد. این بدافزار توانایی دارد تا اطلاعاتی را در مورد هر چیزی که در سیستمتان وجود دارد را در اختیار هکرها قرار دهد، پردازشهای در حال اجرا را بررسی کند و فایلها را تنها با استفاده از یک دستور دانلود کند که توجه به این موارد گفته شده تنها امکان استفاده نادرست افزایش مییابد. چنین حملات مخفی اصلا غیر معمول نیست، اما بهنظر میرسد که این حملع در مقیاس بسیار وسیعتری انجام شده باشد.
بهنظر میرسد که این حمله هکری با استفاده از پلیر تولید شده توسط شرکت VLC در ابتدا برای اهداف جاسوسی آغاز شده است. طبق گزارش منتشر شده از سوی رسانه معتبر Bleeping Computer، این اهداف طیف گستردهای از نهادهای درگیر در فعالیتهای قانونی، دولتی یا مذهبی را شامل میشود. البته باید به این نکته اشاره کنیم که تعدادی از سازمانهای غیردولتی هم درگیر این حملات شدهاند. آنچه که ممکن است برای شما شگفتانگیزتر باشد، این است که این فعالیت به نهادهایی در حداقل سه قاره گسترش یافته.
برخی از کشورهایی که در حال حاضر مورد هدف این حملات قرار گرفتهاند، عبارتاند از ایالات متحده آمریکا، هنگ کنگ، هند، ایتالیا و کانادا. با بررسی لیست منتشر شده از قربانیان متوجه میشوید که در کمال تعجب تنها یکی از قربانیان در کشور ژاپن قرار دارد. گروه Cicada پیش از این بارها ژاپن را برای حملات سایبری خود انتخاب کردهاند و توانستهاند که به شرکتها و نهادهای مختلفی ضربات غیرقابل جبرانی را وارد کردهاند.
براساس اطلاعاتی که در حال حاضر در دست داریم، اگر هکرها بتوانند که با استفاده از بدافزار تولید شده توسط خودشان به کامپیوتری دسترسی داشته باشند، میتوانند که تمام کارهای گفته شده را تا 9 ماه انجام دهند.
اگرچه که از پلیر VLC Media Player برای تزریق این بدافزار به کامپیوتر قربانیان استفاده شده است، اما با بررسیهای انجام شده، اگر آن را از وبسایت اصلی این شرکت دانلود کنید، متوجه خواهید شد که فایل کاملا سالم است؛ پس با توجه به این مورد متوجه میشویم که نسخه ایمن VLC Media Player با یک فایل DLL مخرب آلوده شده است. این کار را میتوانیم بهعنوان بارگذاری جانبی فایلهای DLL به حساب آوریم که با بررسی تاریخچه حملات انجام شده، متوجه میشویم که Cicada اولین گروهی نیست که از این تکنیک برای آپلود بدافزار در برنامههایی استفاده میکند که بهصورت کلی ایمن هستند.
ظاهرا بارگذارنده اختصاصی استفاده شده توسط گروه Cicada در حملات قبلی که توسط این گروه انجام شده بود نیز مورد استفاده قرار گرفته است. برای اینکه افراد گفته شده بتوانند به شبکه گفته شده دسترسی داشته باشند، باید ابتدا یک سرور مایکروسافت اکسچینج را مورد هدف قرار دهند. علاوهبر این، یک سرور WinVNC بهعنوان وسیلهای برای ایجاد کنترل از راه دور روی سیستمهای تخت تاثیر بدافزار قرار گرفته بود.
در آسیبپذیری قرار گرفته روی پلیر VLC Media Player، چیزهای بیشتری درمقایسهبا آنچه که در ابتدا به نظر میرسید، وجود دارد. علاوهبر این، از یک آسیبپذیری به نام Sodamaster استفاده شد که بهصورتی مخفیانه در حافظه سیستم و بدون نیاز به هیچ فایلی اجرا میشود. این آسیبپذیری توانایی آن را دارد که بهصورتی کلی خود را مخفی کند و از طرفی دیگر هم اجرا خود را در زمان راهاندازی سیستم به تاخیر بیندازد تا نرمافزارهای آنتیویروس نتوانند آن را تشخیص دهند.
اگرچه که این حملات گفته شده بسیار خطرناک هستند، اما لازم نیست هر شخصی که در حال حاضر از پلیر VLC Media Player استفاده میکند، آن را از روی سیستم خود حذف نماید. همانطور که در بالا هم گفتیم، با بررسیهای انجام شده مشخص شد که خود فایل پلیر کاملا سالم است و بهنظر میرسد که هکرهای گروه Cicada با استفاده از یک رویکرد کاملا هدفمند در تلاشند تا با آلوده کردن فایلهای سالم VLC Media Player، نهادها و سازمانهای خاصی را مورد هدف قرار دهند. اما باید این موضوع را هم در نظر بگیریم که حفظ امنیت در کامپیوترهای شخصی همیشه از اهمیت بسیار بالایی برخوردار بوده است.
این اطلاعات برای اولین بار توسط Symantec منتشر و بعد از آن هم توسط Bleeping Computer تایید شده است. محققان امنیت سایبری موسسه Symantec کشف کردند که این حملات انجام شده ممکن است که از اواسط سال 2021 شروع شده باشند و تا ماه فوریه سال جاری میلادی هم ادامه یافتند. البته باید این موضوع را هم در نظر بگیرید این امکان وجود دارد تا در آیندهای نچندان دور باز هم این حملات سایبری انجام شوند.