همه چیز درباره Mariposa

در ماه می سال 2009، شرکت امنیتی Defence Intelligence که یک شرکت خصوصی کانادایی است، خبر شناسایی یک شبکه رایانه های خرابکار (botnet) جدید را به نام Mariposa برای برخی از شرکت های امنیتی سرشناس مانند پاندا، پلیس اسپانیا و FBI به صورت محرمانه ارسال کرد. در پی کشف مذکور، تحقیقات چند ماهه ای با هدف از کار انداختن شبکه خرابکار مذکور که چیزی نمانده بود تا به بزرگترین شبکه رایانه های خرابکار در تاریخ رایانه تبدیل شود، انجام شد. در اولین گام یک کارگروه Mariposa با نام اختصاری MWG، متشکل از شرکت امنیتی Defense Intelligence، مرکز امنیت اطلاعات Georgia، شرکت امنیتی پاندا و برخی متخصصان و آژانس های امنیتی بین المی که نخواسته اند نامشان فاش شود، تشکیل شد. هدف از این کارگروه، اجرای عملیاتی بود که از یک طرف botnet مذکور را ریشه کن سازد و از طرف دیگر مجرمان را تحویل قانون دهد. بعد از جمع آوری و تحلیل اطلاعات مرتبط با botnet مذکور، افراد درگیر در پروژه سعی کردند تا کنترل Mariposa را از دست مجرمان خارج کرده و آن را تصاحب کنند. آنها همچنین تلاش کردند تا مجرمان پشت پرده را شناسایی کنند ولی این کار بسیار پیچیده و سخت بود زیرا صاحبان Mariposa همواره از طریق یک VPN (Virtual Private Network) ناشناس به سرورهای کنترل و فرماندهی متصل می شدند و لذا شناسایی IP حقیقی آنها غیر ممکن بود. متخصصان امنیتی کارگروه تحقیقاتی Mariposa، جهت انجام اقدامات فوق، ابتدا سرورهای کنترل و فرماندهی (Command & Control (C&C)) را که فرمان های جدید از طریق آنها برای اعضای شبکه ارسال می شود، شناسایی کردند. متخصصان امنیتی از این طریق توانستند انواع فعالیت هایی را که از طریق شبکه مذکور انجام می شد، مشاهده کرده و متوجه شوند که شبکه رایانه های خرابکار Mariposa برای چه اهدافی مورد استفاده قرار گرفته است. بر این اساس، مهمترین اعمال خرابکارانه شبکه مذکور شامل اجاره دادن بخشی از botnet به دیگر مجرمان، سرقت اطلاعات حساس و یا طبقه بندی شده از رایانه قربانیان، تغییر نتایج موتورهای جستجویی همچون گوگل و نمایش تبلیغات pop-up بوده است. بنا بر گزارش پاندا در همه فعالیت های فوق، پولسازی از Botnet مذکور، در رأس اهداف صاحبان آن قرار داشته است. مجرمان پشت پرده Mariposa، خود را گروه DDP (Dias de Pesadilla) یا گروه روزهای کابوس نامیده بودند. این مسئله زمانی کشف شد که یکی از رهبران گروه سهواً اشتباهی را مرتکب شده و خود را لو داده بود. در 23 دسامبر 2009 در یک عملیات بین المللی، کارگروه MWG بالاخره توانست کنترل Mariposa را در اختیار بگیرد. در پی این اقدام، رهبر گانگسترهای سایبر با نام مستعار Netkairo، عصبانی شده و تمام توانش را به کار گرفت تا بتواندBotnet خویش را باز پس گیرد. وی در این تلاش مرتکب اشتباه مرگباری شد و به جای استفاده از VPN، از رایانه خانگی خود به صورت مستقیم به سرورهای C&C متصل شد. البته وی بالاخره توانست کنترلBotnet مذکور را دوباره به دست آورد و در این هنگام یک حمله انکار سرویس سنگین را با تمام توان بر علیه شرکت امنیتی Defense Intelligence انجام داد. شدت حمله به قدری بود که یک ISP را از کار انداخت و تعداد زیادی از کاربران از جمله برخی دانشگاه های کانادایی و موسسات دولتی برای ساعت ها اینترنت نداشتند. اعضای تیم تحقیقاتی Mariposa بار دیگر سعی کردند از دسترسی تیم DDP به botnet جلوگیری به عمل آورند و این کار را از طریق تغییر DNS انجام دادند. لذا تمام تمام درخواست های ارسالی از زامبی ها به سمت یک نقطه هدایت شدند. در این هنگام بود که متخصصان امنیتی برای اولین بار متوجه میزان گستردگی و بزرگی Botnet مذکور شدند. آنها توانستند تمام IP هایی را که برای دریافت فرمان سعی در اتصال به سرور C&C را داشتند، شناسایی کرده و با کمال تعجب دریافتند که بیش از 12 میلیون IP آلوده سعی در ارسال اطلاعات به سرورهای C&C دارند. این موضوع Mariposa را به یکی از بزرگترین Botnet های تاریخ رایانه تبدیل کرد. البته تعداد IP ها لزوماً با تعداد رایانه های آلوده برابر نیست، زیرا یک رایانه می تواند از طریق IP های مختلفی به اینترنت متصل شود و از طرف دیگر چندین رایانه هم می توانند از طریق یک IP به اینترنت متصل شوند، برای مثال شرکت هایی که از پراکسی سرور برای اتصال شبکه به اینترنت استفاده می کنند. در ابتدا اعضای کارگروه انتظار داشتند بیشتر آلودگی ها در آمریکا، اروپای غربی و چندین کشور آسیایی از جمله ژاپن و چین باشد. اما این پیش بینی آنها کاملاً غلط از آب درآمد و بیشتر آلودگی ها مربوط به هند، مکزیک و برزیل بود. در زیر می توانید نقشه آلودگی ها را ببینید. در این نقشه نقاط پر رنگ تر نشان دهنده تعداد بیشتر IP های آلوده است.



همان طور که مشاهده می کنید، آلودگی تقریباً در تمام کشورهای جهان مشاهده می شود و در زیر لیست آلوده ترین 20 شهر جهان در بین 31900 شهر آلوده، آورده شده است:



متاسفانه تهران نیز با 174455 عدد IP آلوده، در رده دهم لیست مذکور قرار دارد. شبکه رایانه های خرابکار Mariposa توانسته بود در 190 کشور جهان نفوذ پیدا کند که در این میان هند با میزبانی بیش از 19 درصد از زامبی، به عنوان آلوده ترین کشور شناسایی شد. نمودار زیر نیز نشان دهنده آلوده ترین کشورهای جهان به Mariposa است و در ادامه لیست آلوده ترین 20 کشور را مشاهده می کنید. ایران نیز در این لیست با 293673 عدد IP آلوده در رده دوازدهم قرار دارد:





قربانیان Mariposa را طیف مختلفی از کاربران، از شرکت ها و موسسات دولتی گرفته تا دانشگاه ها و کاربران خانگی تشکیل می دهند. مدیرعامل شرکت امنیتی Defense Intelligence برای روشن شدن میزان آلودگی گفته است: "... برای من راحت تر است تا لیستی از شرکت های مطرح شده در Fortune 1000 که آلوده نبوده اند را ارائه کنم تا لیست طولانی شرکت های آلوده..." داده های به سرقت رفته حاوی جزئیات حساب بانکی، شماره کارت های اعتباری، نام کاربری، کلمات عبور وغیره بوده است. قابل توجه است که تنها بر روی رایانه Netkairo اطلاعات به سرقت رفته بیش از 800 هزار کاربر قرار داشته است. Mariposa یک کلمه اسپانیایی به معنی پروانه است. قابل ذکر است که صاحبان Botnet مذکور برای ارتباط با یکدیگر از پروتکل مبتنی بر UDP که خودشان تعریف کرده بودند، استفاده می کرده اند. بنا بر اطلاعات جمع آوری شده توسط پاندا این شبکه رایانه های خرابکار، به تدریج گسترش پیدا کرده و بعد از آلوده سازی، رایانه قربانی را توسط دیگر بدافزارها همچون ثبت کننده ضربات صفحه کلید، تروجان های سرقت اطلاعات و تروجان های بانکی نیز مورد حمله قرار می داده است. بالاخره در سوم ماه فوریه 2010، نیروهای امنیتی اسپانیا سر کرده شبکه مخوف خرابکار، Netkairo، را دستگیر کردند. بعد از دستگیری این مجرم 31 ساله، پلیس به بازرسی رایانه وی و تجهیزات مربوط به آن پرداخت و از این طریق توانست دو نفر دیگر از سران گروه با نام های مستعار jonyloleante و ostiator را که به ترتیب 30 و 25 سال دارند، شناسایی کرده و در 24 فوریه 2010 دستگیر کند. تحقیقات در این مورد همچنان ادامه دارد ولی محاسبات اولیه نشان می دهد خسارات تحمیل شده بر اثر کلاهبرداری، سرقت های مالی، از دست رفتن داده ها و پاکسازی به میلیون ها دلار خواهد رسید.