Οι χειριστές malware βρήκαν έναν νέο τρόπο να εντοπίζουν την τοποθεσία των θυμάτων τους, συλλέγοντας το WiFi BSSID (WiFi AP MAC address).
Οι εγκληματίες του κυβερνοχώρου συχνά θέλουν να γνωρίζουν την τοποθεσία των θυμάτων που μολύνουν με malware και αυτό το κάνουν συνήθως χρησιμοποιώντας μια απλή τεχνική που συλλέγει τη διεύθυνση IP του θύματος. Στην συνέχεια ελέγχουν τη διεύθυνση σε ένα IP-to-geo database, όπως το GeoIP της MaxMind. Χάρη σε αυτή τη βάση δεδομένων, οι hackers μπορούν να μάθουν κατά προσέγγιση τη γεωγραφική θέση του θύματος.
Η τεχνική αυτή δεν είναι απόλυτα ακριβής, όμως εξακολουθεί να είναι η πιο αξιόπιστη μέθοδος προσδιορισμού της φυσικής θέσης ενός χρήστη, με βάση τα δεδομένα που βρίσκονται στον υπολογιστή του.
Ωστόσο, τον περασμένο μήνα, ο Xavier Mertens, ερευνητής ασφάλειας, δήλωσε ότι ανακάλυψε ένα νέο malware που χρησιμοποιεί μια δεύτερη τεχνική μαζί με την πρώτη.
Αυτή η δεύτερη τεχνική βασίζεται στην “αρπαγή” του BSSID του μολυσμένου χρήστη.
Γνωστό ως “Basic Service Set Identifier“, το BSSID είναι βασικά η φυσική διεύθυνση MAC του ασύρματου router ή του access point που χρησιμοποιεί ο χρήστης για να συνδεθεί μέσω WiFi.
Μπορείτε να δείτε το WiFi BSSID σε συστήματα Windows εκτελώντας την εντολή:
netsh wlan show interfaces | find “BSSID”
Σύμφωνα με τον ερευνητή ασφαλείας, το νέο malware συλλέγει το WiFi BSSID και έπειτα το ελέγχει σε ένα δωρεάν BSSID-to-geo database, που συντηρείται από τον Alexander Mylnikov.
Αυτή η βάση δεδομένων περιλαμβάνει μια συλλογή από γνωστά BSSID και την τελευταία γεωγραφική θέση στην οποία έχουν εντοπιστεί.
Αυτές οι βάσεις δεδομένων χρησιμοποιούνται συχνά από χειριστές mobile apps ως εναλλακτικοί τρόποι παρακολούθησης χρηστών, όταν δεν μπορούν να έχουν άμεση πρόσβαση στα δεδομένα τοποθεσίας ενός τηλεφώνου.
Ο έλεγχος του WiFi BSSID στη βάση δεδομένων του Mylnikov επιτρέπει στους χειριστές του malware να προσδιορίσουν τη γεωγραφική θέση των θυμάτων, αφού εντοπίζεται η θέση του WiFi access point που χρησιμοποιεί το θύμα για να συνδεθεί στο διαδίκτυο.
Η ταυτόχρονη χρήση των παραπάνω δύο τεχνικών προσφέρει μεγαλύτερα ποσοστά επιτυχίας του εντοπισμού της θέσης του θύματος. Αν και οι δύο τεχνικές καταλήγουν στην ίδια τοποθεσία, τότε οι hackers μπορούν να είναι σίγουροι.
Οι χειριστές malware ενδιαφέρονται για τη γεωγραφική θέση των θυμάτων τους, επειδή ορισμένοι θέλουν να στοχεύσουν μόνο συγκεκριμένες χώρες ή δεν θέλουν να μολύνουν χρήστες από την πατρίδα τους (προκειμένου να αποφύγουν την προσοχή των τοπικών αρχών).
Ωστόσο, τα IP-to-geo databases δεν είναι ακριβή, καθώς οι εταιρείες τηλεπικοινωνιών και τα data centers τείνουν να νοικιάζουν IP address blocks στην ελεύθερη αγορά. Αυτό έχει ως αποτέλεσμα ορισμένα IP blocks να εκχωρούνται σε διαφορετικούς οργανισμούς, σε άλλες περιοχές του πλανήτη από τον αρχικό / πραγματικό κάτοχό τους.
Η χρήση μιας δεύτερης μεθόδου για τον διπλό έλεγχο της γεωγραφικής θέσης ενός θύματος δεν έχει προς το παρόν υιοθετηθεί ευρέως. Ωστόσο, θα είναι σίγουρα πολύ βοηθητική, επομένως πολλές hacking ομάδες μπορεί να την αξιοποιήσουν στο μέλλον.
Πηγή: ZDNet