اكتشف باحثو شركة إسيت "ESET "، مؤخرًا ، شبكة روبوت ضارة غير موثقة سابقًا تدعى Victory Gate. بدأ نشاطها منذ مايو 2019، وتتكون الشبكة بشكل أساسي من أجهزة في بيرو، حيث توجد هناك أكثر من 90٪ من الأجهزة المصابة. النشاط الرئيسي لشبكة الروبوت تلك هي "العملة المشفرة مونيرو".
ومن الضحايا لها منظمات في كل من القطاعين العام والخاص، بما في ذلك المؤسسات المالية. وبفضل البيانات التي تم الحصول عليها خلال هذا البحث ومشاركتها مع مؤسسة Shadowserver غير الربحية، تم تعطيل جزء على الأقل من عملية الروبوت.
وقام باحثو «إسيت» بالتوغل في العديد من أسماء النطاقات التي تتحكم في تصرفات الروبوت، واستبدالها بأجهزة لا ترسل أوامر تابعة لشبكة الروبوت التي يتوقعونها، ولكنها ببساطة تقوم بمراقبة النشاط القائم. واستنادًا إلى هذه البيانات والقياس عن بُعد من قبل «إسيت»، قدر بأن 35000 جهاز على الأقل أصيب بـ Victory Gate في مرحلة أو أخرى خلال هذه الحملة.
الأجهزة القابلة للإزالة هي ناقلة العدوى الوحيدة المستخدمة لنشر Victory Gate. صرح "آلان واربورتون" ـ الباحث في شركة «إسيت»، وقال: "يتلقى الضحية محرك أقراص USB تم توصيله في وقت سابق بجهاز مصاب. ويبدو أنه يحتوي على جميع الملفات التي تحمل نفس الأسماء والرموز التي كانت تحتويها قبل الإصابة. وبسبب هذا، سيكون شكل المحتوى متطابقًا تقريبًا للوهلة الأولى. ولكن تم استبدال جميع الملفات الأصلية بنسخة من البرامج الضارة. وعندما يحاول المستخدم فتح أحد هذه الملفات، سيفتح كلا من الملف المقصود والحمولة الخبيثة".
ويحذر الباحث "واربورتون" أيضًا من التأثير على أجهزة الضحايا: "هناك استخدام كبير جدًا للموارد من قبل الروبوت، مما يؤدي إلى تحميل وحدة المعالجة المركزية CPU بنسبة 90٪ إلى 99٪ بشكل مستمر. ويؤدي ذلك إلى إبطاء الجهاز وقد يتسبب في ارتفاع درجة الحرارة ومحتمل حدوث تلف. "
ووفقًا لبحث «إسيت»، بذل Victory Gate جهدًا أكبر بكثير لتجنب الكشف عنه بخلاف الحملات السابقة المماثلة التي لوحظت في منطقة أمريكا اللاتينية. وبالنظر إلى حقيقة أن الـ postmaster يمكنه في أي وقت تعديل وظائف الحمولات التي يتم تنزيلها وتنفيذها على الأجهزة المصابة من التشفير إلى أي أنشطة ضارة أخرى، فإن هذا يعد خطرًا كبيرًا. نظراً لأن العديد من الضحايا الذين تم تحديدهم كانوا إما في القطاع العام أو في المؤسسات المالية.
