به گزارش مرکز مدیریت راهبردی افتا وابسته به نهاد ریاست جمهوری، این بدافزار برای انتقال اطلاعات و ارتباط با خارج از شبکه سازمان، ترافیک غیرمتداول ICMP تولید می‌کند که سیستم‌های تشخیص نفوذ (IDS) رویداد زیر را برای این عملیات ثبت می‌کنند. اجرای دستورها مخرب در CMD، تغییر تنظیمات امنیتی، تزریق به پردازه‌های معتبر ویندوز و تخریب MBR سیستم از دیگر قابلیت‌های بدافزار چاپلین است که توسعه آن از اوایل سال جاری آغاز شده و از خانواده تروجان محسوب می‌شود.

نکته مهم در مورد این بدافزار قابلیت خودانتشاری به شبکه‌های صنعتی را دارد. با توجه به این که حملات سایبری اخیر متمرکز بر زیرساخت‌‎ها و سامانه‌های صنعتی کشور بوده است، اگر مجزاسازی شبکه IT از شبکه‌های صنعتی انجام نگرفته باشد، فعالیت مخرب‌گونه این بدافزار به شبکه صنعتی سرایت کرده و سامانه‌های کنترلی در این شبکه‌ها را دچار اختلال می‌کند.

طبق اطلاعیه منتشرشده توسط مرکز مدیریت راهبردی افتا به‌طور کلی، عدم تفکیک شبکه حیاتی از اینترنت (به‌خصوص شبکه IT از OT)، استفاده از نام کاربری و رمز عبور پیش‌فرض یا ساده و استفاده از نرم‌افزارهای آسیب‌پذیر از جمله عوامل تأثیرگذار در پیشبرد اهداف طراحان این بدافزار است.

همچنین، مرکز مدیریت راهبردی افتا اعلام کرده است که مهاجمان سایبری قصد داشتند با سوء‌استفاده از حفره امنیتی در یکی از نرم‌افزارهای پرکاربرد در سازمان‌ها، ضمن اخذ دسترسی به زیرساخت‌ها و استخراج اطلاعات از آن‌ها، دستورها دلخواه را اجرا و محتوای آلوده خود را تزریق کنند، اما پیش از آنکه مهاجمان بتوانند حمله سایبری خود را عملی کنند، با اقدام به موقع مرکز عملیات امنیت افتا از وقوع آن پیشگیری شد.

مرکز مدیریت راهبردی افتا برخی شاخص‌های آلودگی و نحوه کارکرد سیستم‌های تشخیص نفوذ (IDS) بدافزار چاپلین را شناسایی کرده و از متخصصان، کارشناسان و مدیران حوزه IT دستگاه‌ها و سازمان‌های دارای زیرساخت و شبکه‌های صنعتی سازمان‌ها خواسته با مراجعه به سایت مرکز مدیریت راهبردی افتا از این موارد اطلاع پیدا کرده و با آن‌ها آشنا شوند.

منبع: