به تازگی فعالیت بدافزار جدیدی با عنوان چاپلین در زیرساختها شناسایی شده که عامل وقوع حوادث و اختلالات اخیر بوده است.
این بدافزار که توسعه آن از اوایل سال 1401 آغاز شده است، از خانواده تروجان محسوب میشود.
به گزارش مرکز مدیریت راهبردی افتا، اجرای دستورات مخرب در CMD، تغییر تنظیمات امنیتی، تزریق به پردازههای معتبر ویندوز و تخریب MBR سیستم از جمله قابلیتهای این بدافزار است.
ویژگی حایز اهمیت در این بدافزار، قابلیت خود انتشاری به شبکههای صنعتی است. بنابراین در صورتیکه مجزاسازی شبکه IT از شبکههای صنعتی انجام نگرفته باشد، فعالیت مخربگونه این بدافزار به شبکه صنعتی نیز سرایت و سامانههای کنترلی را در این شبکهها، دچار اختلال میکند.
عوامل زیر در پیشبرد اهداف طراحان بدافزار و گسترش دامنه آلودگی نقش دارند:
● عدم تفکیک شبکه حیاتی از اینترنت (به خصوص شبکه IT از OT)
● استفاده از نام کاربری و رمز عبور پیشفرض یا ساده
● استفاده از نرمافزارهای آسیبپذیر (به خصوص در لبه اینترنت)
در جدول زیر شاخصهای آلودگی بدافزار Chaplin که تا کنون شناسایی شدهاند، ارائه شده است، به واحدهای فناوری اطلاعات و شبکههای صنعتی سازمانها توصیه میشود این شاخصهای را به سامانههای ضدبدافزار و سایر ابزارهای امنیتی معرفی کنند.
این بدافزار برای انتقال اطلاعات و ارتباط با خارج از شبکه سازمان، ترافیک غیرمتداول ICMP تولید میکند که سیستمهای تشخیص نفوذ (IDS) رویداد زیر را برای این عملیات ثبت میکنند:
|
کد Hash فایل
|
مسیر
|
نام فایل
|
نوع شاخص
|
|
MD5: 837e9bb07d884385d077d4ea77797df8
SHA1: 2e614210aef964e0f77848b9a273102fa6618e5f
SHA256: 2c73bf092e2638a1aeabd34d0d9b3500c8fa1b02dd55cb8b20d5d80edea85fbc
|
C:\ProgramData\Microsoft\MapData\
|
chaplin.exe
|
فایلهای اجرایی مخرب
|
|
MD5: b86678403d77efbdba3d2b1c93500dfc
SHA1: 98577882c347b9ee44d2a9065a2fe0191758b6e8
SHA256: 29035d871b950988684d76bc2994452c25ccaa0b70c8bfadce0f299c194e0350
|
C:\ProgramData\ Microsoft\MapData\
|
screen.exe
|
این بدافزار برای انتقال اطلاعات و ارتباط با خارج از شبکه سازمان، ترافیک غیرمتداول ICMP تولید میکند که سیستمهای تشخیص نفوذ (IDS) رویداد زیر را برای این عملیات ثبت میکنند:
PROTOCOL-ICMP Unusual PING detected