محمدرضا کلانتری در گفت وگو با ایسنا، با اشاره به گزارش کمیسیون تخصصی امنیت سایبری استان خراسان رضوی در خصوص فعالیت یک بدافزار خطرناک با تمرکز بر ایران، اظهار کرد: در گزارش تازه‌ای که توسط تیم Detective کمیسیون تخصصی امنیت سایبری استان منتشر شده، جزئیات فعالیت یک بدافزار پیشرفته و بسیار مخرب به نام CanisterWorm فاش و رصد شده که توسط گروهی موسوم به  TeamPCPتوسعه یافته است. 

 رییس کمیسیون تخصصی امنیت سایبری استان افزود : این بدافزار که در ابتدا با هدف نفوذ و انتشار طراحی شده بود، اکنون وارد مرحله‌ای شده که قابلیت تخریب گسترده سیستم‌ها را نیز در خود دارد و به‌صورت هدفمند زیرساخت‌های مرتبط با ایران را مورد توجه قرار داده است. 

کلانتری اظهار کرد: مهاجمان از زنجیره تأمین نرم‌افزار، به‌ویژه پکیج‌های npm، برای انتشار این بدافزار استفاده کرده‌اند. نکته قابل توجه، استفاده از زیرساخت‌های غیرمتمرکز مبتنی بر بلاکچین (ICP) برای کنترل و اجرای دستورات است که شناسایی و مقابله با آن را پیچیده‌تر می‌کند. این بدافزار پس از نفوذ، با بررسی شاخص‌هایی مانند timezone و locale روی سیستم‌های هدف، سیستم‌های ایرانی را شناسایی کرده و رفتار مخرب خود را فعال می‌کند.

وی افزود: در سناریوهای مشاهده‌شده، در محیط‌های ابری و Kubernetes، این بدافزار اقدام به پاک‌سازی کامل سیستم‌ها و از کار انداختن سرویس‌ها می‌کند و در سیستم‌های لینوکسی نیز با اجرای دستورات مخرب، اطلاعات را به‌طور کامل حذف می‌کند. این سطح از تخریب نشان‌دهنده تغییر رویکرد مهاجمان از جاسوسی به سمت ایجاد اختلال عمیق در زیرساخت‌هاست.

وی یادآور شد: با توجه به شرایط حساس کشور و شرایط جنگی، این بدافزار می‌تواند یکی از مولفه‌های جنگ ترکیبی باشد و توجه ویژه به این تهدید برای همه سازمان‌ها به‌ویژه زیرساخت‌های حیاتی ضروری است. 

کلانتری گفت: پکیج‌های npm به‌صورت پیش‌فرض از رجیستری رسمی npm Inc. دریافت می‌شوند، اما این به معنی امنیت کامل آن‌ها نیست. در سال‌های اخیر موارد متعددی از آلودگی در همین منابع رسمی گزارش شده که عمدتاً به‌دلیل هک شدن حساب توسعه‌دهندگان، آلوده شدن وابستگی‌ها(dependencyها) یا انتشار پکیج‌های جعلی مشابه(typosquatting) رخ داده است. به همین دلیل، اعتماد صرف به منبع دانلود کافی نیست و باید سلامت هر پکیج به‌صورت مستقل بررسی شود.

 رییس کمیسیون تخصصی امنیت سایبری استان ادامه داد: برای کاهش ریسک، توصیه می‌شود از فایل‌های lock برای تثبیت نسخه‌ها استفاده شود، وابستگی‌ها پیش از استفاده با ابزارهای امنیتی مانند Snyk یا Trivy بررسی شوند و در محیط‌های حساس، دریافت پکیج‌ها صرفاً از طریق یک رجیستری داخلی و مطمئن انجام گیرد. همچنین مانیتورینگ رفتار سیستم‌ها و محدودسازی سطح دسترسی‌ها به کشف و کنترل آلودگی احتمالی و جلوگیری از گسترش و تخریب جلوگیری می‌کند.

انتهای پیام