جزییات ویروسی که به جاسوسی از مذاکرات هستهای ایران پرداخت
خبرگزاری تسنیم: شرکت کَسپرسکی اطلاعات وسیعی را در مورد ویروس Duqu ۲.۰ که به جاسوسی از مذاکرات هستهای ایران پرداخته است، منتشر کرد.
به گزارش خبرنگار فناوری اطلاعات و ارتباطات خبرگزاری تسنیم، کَسپرسکی اوایل سال میلادی جاری از یک حمله و نفوذ سایبری به چند سیستم درونسازمانی خود خبر داد. بعد از این حادثه، تحقیقات همهجانبهای کلید خورد که به کشف پلتفرم بدافزاری جدید، ناشناخته و بسیار پیشرفته و قدرتمندی بهنام Duqu (دوکو) انجامید.
بهاعتقاد متخصصان این شرکت، مهاجمان با اطمینان کامل از اینکه هیچ رد و اثری به جا نمیگذارند حمله سایبری خود را ترتیب دادند. این حمله ویژگیهای منحصر به فردی داشت که تا پیش از آن در حملات سایبری دیگر دیده نشده و تقریباً هیچ ردی از آن به جا نمانده بود.
این حمله با استفاده از آسیبپذیریهای شناخته نشده، آزادی عمل بدافزار را افزایش داده و سپس از طریق فایلهای Microsoft Software Installer ــ (MSI) در شبکه گسترش پیدا میکند. فایلهای MSI فایلهایی هستند که مدیران سیستم اغلب برای نصب نرمافزار روی کامپیوترهای مبتنی بر ویندوز و بهصورت راه دور از آن استفاده میکنند.
این حمله سایبری هیچ رد و نشانی روی هارد دیسک یا تنظیمات سیستم به جای نگذاشت تا شناسایی آن به کار بسیار پیچیده و دشواری تبدیل شود. بهبیان ساده، فلسفه و بینشی که در پس طراحی Duqu 2.0 نهفته یک نسل جلوتر از تمام تهدیداتی است که در فضای سایبری امروزی شاهد بودهایم.
محققان کسپرسکی پی بردند که Duqu در خاورمیانه و همچنین بین کشورهای غربیها و چند کشور آسیایی نیز قربانی گرفته است. شاخصترین مورد این آلودگی طی دو سال گذشته به حملات Duqu به محل مذاکرات هستهای حساس بین ایران و گروه 1+5 برمیگردد. علاوه بر این گروه طراح Duqu 2.0، طی حملات مشابهی هفتادمین سالگرد آزادسازی اردوگاه آشویتس ــ بیرکنو در لهستان را هدف گرفتند. این در حالیست که در هر دو رویداد سیاستمداران و مقامات عالیرتبهای حضور داشتند.
تصویری جامع از Duqu 2.0
کاستین رایو (Costin Raiu) مدیر تیم تحقیق و بررسی بینالملل کسپرسکی میگوید: «تیم نرمافزاری طراح Duqu از نخبهترین و پرقدرتترین افراد در حوزه تهدیدات پیشرفته و مداوم تشکیل شده است. آنها برای مخفی نگه داشتن ردپای خود همه کار کردند. در این حمله بسیار پیچیده از سه آسیبپذیری ناشناخته استفاده شده بود که انجام چنین عملیاتی از سرمایهگذاری هنگفتی در پس Duqu حکایت میکند.
«این تهدید بدافزاری برای مخفی ماندن تنها در حافظه کرنل خود را ذخیره میکند تا به این ترتیب نرمافزارهای آنتی ویروس بهراحتی آن را شناسایی نکنند. همچنین این تهدید بهخلاف بدافزارهای مرسوم، بهطور مستقیم به مرکز کنترل و فرمان مهاجمان متصل نمیشود. در عوض، مهاجمان با نصب درایورهای خرابکارانه، gateway و فایروال شبکههای سازمانی را آلوده کرده و تمام ترافیک شبکه سازمانی را به مرکز کنترل و فرمان خود تغییر مسیر میدهند».
یافتههای اولیه کسپرسکی در مطالعه Duqu 2.0 نشان میدهد: 1. این حمله کاملاً برنامهریزی شده بهوسیله همان گروهی انجام گرفت که حمله سایبری معروف Duqu در سال 2011 را ترتیب داده بودند. کسپرسکی بر این باور است که چنین حملهای تنها با حمایت مالی یک دولت امکانپذیر است.
2. بهاعتقاد محققان این شرکت امنیتی، هدف اصلی این حمله بیتردید دسترسی به اطلاعات مربوط به فناوریهای جدید بوده و مهاجمان علاقه خاصی به جمعآوری دادههای مربوط به نوآوری در محصولات کسپرسکی از جمله Secure Operating System، Kaspersky Fraud Prevention، Kaspersky Security Network و راهکارهای آنتی ATP داشتهاند. اما در واحدهای تحقیق و توسعه کسپرسکی از جمله فروش، بازاریابی، ارتباطات و واحد قضایی، ردی از این حمله سایبری دیده نشد.
3. اطلاعاتی که مهاجمان به آن دسترسی پیدا کردند در توسعه محصولات کسپرسکی هیچ ارزش و اهمیتی نداشت. کسپرسکی حال با شناخت کافی از این حمله به تقویت و ارتقای راهکارهای امنیت IT خود خواهد اندیشید.
4. مهاجمان علاقه ویژهای به آگاهی از تحقیقات جاری کسپرسکی در مورد حملات پیشرفته و سازمان یافته نشان دادند. این مهاجمان بیشک از قدرت و اعتبار کسپرسکی در شناسایی و مبارزه با پیشرفتهترین تهدیدات امنیتی بهخوبی آگاه بودند.
5. از قرار معلوم مهاجمان برای نفوذ به بدنه کسپرسکی از سه آسیبپذیری ناشناخته استفاده کردند. مایکروسافت بعد از انتشار گزارش امنیتی کسپرسکی وصلههایی را برای ترمیم این آسیبپذیریهای پنجگانه منتشر شد و آخرین مورد از این آسیبپذیریها (CVE-2015-2360) روز 9 ژوئن وصله شد.
این شرکت که گزارش آن را پارس آتنا دژ منتشر کرده، تأکید میکند که این گزارش تنها اطلاعات مربوط به بررسیهای امنیتی اولیه را شامل میشود. شکی نیست که این حمله دامنه جغرافیایی و اهداف بسیار وسیعتری را از آنچه اکنون تصور میشود در بر میگیرد. اما با توجه به یافتههای کنونی کسپرسکی، Duqu 2.0 برای حمله به دامنهای از هدفهای پیچیده در سطح عالی و با انگیزههای گوناگون مورد استفاده قرار گرفته است.
کسپرسکی برای سرکوب این حمله، نشانههای آلودگی به Duqu 2.0 را منتشر کرده و خدمات خود را به سازمانهای علاقهمند عرضه میکند.
قابلیت محافظت برابر Duqu 2.0 به محصولات امنیتی کسپرسکی اضافه شده و این حمله بدافزاری با عنوان HEUR:Trojan.Win32.Duqu2.gen در سیستم شناسایی میشود.
یوجین کسپرسکی، بنیانگذار و مدیرعامل این شرکت میگوید: جاسوسی از شرکتهای امنیت سایبری کار بسیار خطرناکی است. در دنیای امروز، نرمافزارهای امنیتی آخرین دروازهای است که از کاربران و کسب و کارها محافظت میکند؛ دنیایی که در آن سختافزار و تجهیزات شبکه پیوسته در معرض تهدید قرار دارد. از این گذشته دیر یا زود تروریستها و مهاجمان سایبریِ دیگر به فناوری و ساختار Duqu پی خواهند برد و حملات مشابهی را سازماندهی خواهند کرد.
انتهای پیام/*