امنیت

فناوری اطلاعات

June 15, 2015
10:53 دوشنبه، 25ام خردادماه 1394
کد خبر: 71086

جزییات ویروسی که به جاسوسی از مذاکرات هسته‌ای ایران پرداخت

شرکت کسپرسکی اطلاعات وسیعی را در مورد ویروس Duqu 2.0 که به جاسوسی از مذاکرات هسته‌ای ایران پرداخته است، منتشر کرد.
 
کسپرسکی اوایل سال میلادی جاری از یک حمله و نفوذ سایبری به چند سیستم درون‌سازمانی خود خبر داد. بعد از این حادثه، تحقیقات همه‌جانبه‌ای کلید خورد که به کشف پلتفرم بدافزاری جدید، ناشناخته و بسیار پیشرفته و قدرتمندی به نام Duqu انجامید.
 
به اعتقاد متخصصان کسپرسکی، مهاجمان با اطمینان کامل از این که هیچ رد و اثری برجا نمی‌گذارند حمله سایبری خود را ترتیب دادند. این حمله ویژگی‌های منحصربه‌فردی داشت که تا پیش از آن در حملات سایبری دیگر دیده نشده و تقریبا هیچ ردی از آن برجا نمانده بود. این حمله با استفاده از آسیب‌پذیری‌های شناخته نشده، آزادی عمل بدافزار را افزایش داده و سپس از طریق فایل‌های Microsoft Software Installer (MSI) در شبکه گسترش پیدا می‌کند. فایل‌های MSI فایل‌هایی هستند که مدیران سیستم اغلب برای نصب نرم‌افزار روی کامپیوترهای مبتنی بر ویندوز و به‌صورت راه دور از آن استفاده می‌کنند.
 
این حمله سایبری هیچ رد و نشانی روی هارد دیسک یا تنظیمات سیستم برجای نگذاشت تا شناسایی آن به کار بسیار پیچیده و دشواری تبدیل شود. به بیان ساده، فلسفه و بینشی که در پس طراحی Duqu 2.0 نهفته یک نسل جلوتر از تمام تهدیداتی است که در فضای سایبری امروزی شاهد بوده‌ایم.
 
محققان کسپرسکی پی بردند که Duqu در خاورمیانه و همچنین در بین کشورهای غربی‌ها و چند کشور آسیایی نیز قربانی گرفته است. شاخص‌ترین مورد این آلودگی طی دو سال گذشته به حملات Duqu به محل مذاکرات هسته‌ای حساس بین ایران و گروه 5+1 برمی‌گردد. علاوه بر این گروه طراح Duqu 2.0، طی حملات مشابهی هفتادمین سالگرد آزادسازی اردوگاه آشویتس-بیرکنو در لهستان را هدف گرفتند. این درحالیست که در هر دو رویداد سیاستمداران و مقامات عالی‌رتبه‌ای حضور داشتند.
 
تصویری جامع از Duqu 2.0
کاستین رایو (Costin Raiu) مدیر تیم تحقیق و بررسی بین‌الملل کسپرسکی می‌گوید: «تیم نرم‌افزاری طراح  Duqu از نخبه ترین و پرقدرت‌ترین افراد در حوزه تهدیدات پیشرفته و مداوم تشکیل شده است. آنها برای مخفی نگه داشتن ردپای خود همه کار کردند. در این حمله بسیار پیچیده از سه آسیب‌پذیری ناشناخته استفاده شده بود که انجام چنین عملیاتی از سرمایه‌گذاری هنگفتی در پس Duqu حکایت می‌کند.
 
«این تهدید بدافزاری برای مخفی ماندن تنها در حافظه کرنل خود را ذخیره می‌کند تا به این ترتیب نرم‌افزارهای آنتی ویروس به راحتی آن را شناسایی نکنند. همچنین این تهدید برخلاف بدافزارهای مرسوم، به‌طور مستقیم به مرکز کنترل و فرمان مهاجمان متصل نمی‌شود. در عوض، مهاجمان با نصب درایورهای خرابکارانه، gateway و فایروال شبکه‌های سازمانی را آلوده کرده و تمام ترافیک شبکه سازمانی را به مرکز کنترل و فرمان خود تغییر مسیر می‌دهند.»
 
کسپرسکی به مشتریان و شرکای خود اطمینان می‌دهد که بی‌هیچ اغماضی به مبارزه با حملات سایبری ادامه خواهد داد. کسپرسکی خود را نسبت به اعتماد و اطمینان مشتریان، متعهد و مسئول می‌داند و تضمین می‌کند که تمام اقدامات لازم برای جلوگیری از بروز دوباره چنین موردی صورت گرفته است. کسپرسکی همچنین با تماس با واحد پلیس سایبری چندین کشور به‌طور رسمی خواستار پیگرد قانونی این حمله شده است.
 
 
یافته‌های اولیه کسپرسکی در مطالعه Duqu 2.0 نشان می‌دهد:
1. این حمله ی کاملا برنامه‌ریزی شده به‌وسیله همان گروهی انجام گرفت که حمله سایبری معروف Duqu در سال 2011 را ترتیب داده بودند. کسپرسکی براین باور است که چنین حمله‌ای تنها با حمایت مالی یک دولت امکان‌پذیر است.
2. به اعتقاد محققان کسپرسکی، هدف اصلی این حمله بی‌تردید دسترسی به اطلاعات مربوط به فناوری‌های جدید بوده و مهاجمان علاقه خاصی به جمع‌آوری داده‌های مربوط به نوآوری در محصولات کسپرسکی از جمله Secure Operating System، Kaspersky Fraud Prevention، Kaspersky Security Network و راهکارهای آنتی ATP داشته‌اند. اما در واحدهای تحقیق و توسعه کسپرسکی از جمله فروش، بازاریابی، ارتباطات و واحد قضایی، ردی از این حمله سایبری دیده نشد.
3. اطلاعاتی که مهاجمان به آن دسترسی پیدا کردند در توسعه محصولات کسپرسکی هیچ ارزش و اهمیتی نداشت. کسپرسکی حال با شناخت کافی از این حمله به تقویت و ارتقای راهکارهای امنیت IT خود خواهد اندیشید.
4. مهاجمان علاقه ویژه‌ای به آگاهی از تحقیقات جاری کسپرسکی در مورد حملات پیشرفته و سازمان‌یافته نشان دادند. این مهاجمان بی‌شک از قدرت و اعتبار کسپرسکی در شناسایی و مبارزه با پیشرفته‌ترین تهدیدات امنیتی به‌خوبی آگاه بودند.
5. از قرار معلوم مهاجمان برای نفوذ به بدنه کسپرسکی از سه آسیب‌پذیری ناشناخته استفاده کردند. مایکروسافت بعد از انتشار گزارش امنیتی کسپرسکی وصله‌هایی را برای ترمیم این آسیب‌پذیری‌های پنج‌گانه منتشر شد و آخرین مورد از این آسیب‌پذیری‌ها (CVE-2015-2360) روز 9 ژوئن وصله شد.
 
کسپرسکی تاکید می‌کند که این گزارش تنها اطلاعات مربوط به بررسی‌های امنیتی اولیه را شامل می‌شود. شکی نیست که این حمله دامنه جغرافیایی و اهداف بسیار وسیع‌تری را از آنچه که اکنون تصور می‌شود دربر می‌گیرد. اما با توجه به یافته‌های کنونی کسپرسکی، Duqu 2.0 برای حمله به دامنه‌ای از هدف‌های پیچیده در سطح عالی و با انگیزه‌های گوناگون مورد استفاده قرار گرفته است. 
 
کسپرسکی برای سرکوب این حمله، نشانه‌های آلودگی به Duqu 2.0 را منتشر کرده و خدمات خود را به سازمان‌های علاقه‌مند عرضه می‌کند.
قابلیت محافظت برابر Duqu 2.0 به محصولات امنیتی کسپرسکی اضافه شده و این حمله بدافزاری با عنوان HEUR:Trojan.Win32.Duqu2.gen در سیستم شناسایی می‌شود.
 
یوجین کسپرسکی، بنیانگذار و مدیرعامل کسپرسکی می‌گوید: «جاسوسی از شرکت‌های امنیت سایبری کار بسیار خطرناکی است. در دنیای امروز، نرم‌افزارهای امنیتی آخرین دروازه‌ای است که از کاربران و کسب و کارها محافظت می‌کند؛ دنیایی که در آن سخت‌افزار و تجهیزات شبکه پیوسته در معرض تهدید قرار دارد. از این گذشته دیر یا زود تروریست‌ها و مهاجمان سایبریِ دیگر به فناوری و ساختار Duqu پی خواهند برد و حملات مشابهی را سازمان‌دهی خواهند کرد.
 
«اعلام گزارش از حوادث امنیتی این‌چنینی تنها راه ممکن برای داشتن دنیایی امن‌تر است. این کار علاوه بر کمک به تقویت ساختار امنیتی سازمان‌ها پیام واضح و روشنی را به طراحان این حملات می‌فرستد: هر فعالیت غیرقانونی و خلافی سرانجام متوقف و مورد پیگرد قرار خواهد گرفت. تنها راه محافظت از دنیا داشتن سازمان‌های اعمال قانون و شرکت‌های امنیتی است که به‌طور علنی با این حملات مبارزه می‌کنند. ما هر حمله‌ای را بدون توجه به خاستگاه آن گزارش می‌کنیم.»
 
گروهی از محققان، متخصصان مهندسی معکوس و کارشناسان بدافزاری کسپرسکی به‌طور همه‌جانبه به مطالعه و شناسایی این حمله منحصربه‌فرد پرداختند و یافته‌های خود درباره Duqu 2.0 را از طریق این لینک به‌اشتراک گذاشتند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.