خلاصه: پس از جنجال زیاد باجافزار WannaCry و آسیبپذیری SMB روی سیستمعامل ویندوز مشخص شد که آسیبپذیری مشابهی روی لینوکس نیز وجود دارد. این آسیبپذیری روی سرویس Sambaکه یک پیاده سازی سرویس SMB روی لینوکس است وجود داشت که به نام SambaCry معروف شد و مشخص شد با استفاده از این آسیبپذیری میتوان کنترل کامل کامپیوتر قربانی را در دست گرفت. اکنون پس از دو هفته از اعلام آسیبپذیری و انتشار وصله برای آن مشخص شده که هکرها هنوز از این آسیبپذیری برای مقاصد خود و کسب درآمد بهره میبرند.
اندکی پس از اتفاقات باجافزار WannaCry و آسیبپذیری SMB که روی ویندوز وجود داشت مشخص شد که آسیبپذیری مشابهی روی لینوکس نیز وجود دارد. این آسیبپذیری روی سرویس پیاده سازی SMB روی لینوکس با نام Samba وجود دارد. این آسیبپذیری هفت ساله که نام SambaCry گرفته که شناسه جهانی آن CVE-2017-7494 است موجب میشود که کامپیوتر قربانی به صورت کامل به دست هکر بیافتد. پس از افشای این آسیبپذیری وصلههای رفع آن منتشر شد و این آسیبپذیری برطرف شده است.
اما هنوز بسیاری از سیستمها اقدام به نصب وصله نکردهاند و امکان سوء استفاده از آنها وجود دارد. بر اساس تخمینها ۴۸۵.۰۰۰ سیستم وجود دارد که این آسیبپذیری را دارند. این تخمین نزدیک به واقعیت است و آزمایشی که کسپراسکی انجام داده آن را تایید میکند. کسپراسکی با قرار دادن هانیپاتهایی که این آسیبپذیری را دارند توانسته بدافزاری که از این آسیبپذیری استفاده کرده و با نصب ابزارهای معدنچی ارز اینترنتی روی سیستم قربانیان ایجاد درآمد میکند. این بدافزار را EternalMiner نامگذاری کردهاند.
بنابر گفته محققان، یک گروه هکری ناشناس شروع به تسخیر کامپیوترهای لینوکسی یک هفته پس از افشای آسیبپذیری SambaCry کرده و اقدام به نصب نسخه به روز شده CPUminer میکند. این نرمافزار یک ماینر ارز اینترنتی است که ارز اینترنتی Monero را به دست میآورد.
پس از تسخیر کامپیوتر قریانی با استفاده از آسیبپذیری SambaCry، مهاجم دو کد روی سیستم قربانی اجرا میکند. کد INAebsGB.so یک شل معکوس و امکان کنترل از راه دور به مهاجم میدهد. کد cblWuoCc.so یک درب پشتی روی سیستم قربانی نصب میکند که در کنار خود یک ماینر ارز اینترنتی به نام CPUminer هم دارد.
کسب ارز اینترنتی با استفاده از ماینرها هزینه بالایی دارد زیرا به حجم زیاد توانایی پردازشی دارند. این بدافزار با استفاده از توان پردازشی قربانیان خود اقدام به کسب ارز اینترنتی میکند. مساله جالب سناریوی مشابه در آسیبپذیری SMB روی ویندوز است. دو هفته قبل از ظهور باجافزار WannaCry یک بدافزار به نام Adylkuzz با استفاده از آسیبپذیری SMB اقدام به کسب ارز اینترنتی با کمک قدرت پردازشی قربانیان خود میکرد.
هکرهای پشت این بدافزار تا کنون ۹۸ XMR که تقریبا معادل ۵۵۰۰ دلار است درآمد داشتهاند و این درآمد با افزایش تعداد قربانیان این بدافزار در حال افزایش است.
با توجه به اینکه وصله این آسیبپذیری منتشر شده است لازم است که کاربران لینوکسی که تاکنون این وصله را نصب ننمودهاند این وصله را هرچه زودتر نصب کنند. این بدافزار مسلما اولین بدافزاری نیست که از این آسیبپذیری استفاده کرده و بدافزارهای دیگر میتوانند بسیار خطرناکتر باشند.