عملیات جاسوسی تحت عنوان safenet

امنیت هیچگاه صددرصد نیست

عملیات جاسوسی تحت عنوان safenet

نویسنده : صادق نوری | تاریخ : 18:40 - چهار شنبه 15 خرداد 1392

متخصصین امنیتی در ترند‌میکرو عملیات جاسوسی سایبری جدیدی را کشف کرده‌اند که در حال حاضر فعال بوده و تا کنون رایانه‌های مربوط به وزارت‌خانه‌های دولتی، شرکت‌های فناوری، رسانه‌ها، موسسات تحقیقات آکادمیک و سازمان‌های غیردولتی بیش از ۱۰۰ کشور را به خطر انداخته‌ است.

پایگاه اطلاع‌رسانی پلیس فتا: این عملیات که از سوی ترند‌میکرو، SafeNet لقب گرفته است، قربانیان بالقوه خود را از طریق رایانامه‌های فیشینگ هدف‌دار با پیوست‌های آلوده هدف قرار می‌دهد. کارشناسان این شرکت عملیات مذکور را مورد بررسی قرار داده و روز جمعه گزارشی راجع به آن منتشر نموده‌اند.

این بررسی از وجود دو بارگذار C&C (دستور و کنترل) متعلق به دو دسته حملات هدفمند جداگانه SafeNet پرده برداشت که علیرغم تفاوت در اهداف هر دو از یک بدافزار مشترک استفاده می‌نمایند.

یک دسته از این حملات از رایانامه‌های فیشینگ هدف‌دار با محتوایی راجع به تبت و مغولستان استفاده می‌نماید. این رایانامه‌ها فایل‌هایی با فرمت DOC. به پیوست دارند که از یک آسیب‌پذیری Word سوء‌استفاده می‌کنند. این آسیب‌پذیری را مایکروسافت با ارائه وصله مربوطه در آوریل ۲۰۱۲ اصلاح کرده است.

لاگ‌های دسترسی استخراج شده از بارگذار‌های C&C این دسته از حملات ۲۴۳ آی‌پی مختلف از ۱۱ کشور مختلف را به عنوان قربانی این حملات مورد شناسایی قرار داد. با این‌حال بر اساس تحقیقات انجام‌شده از این تعداد در حال حاضر فقط ۳ آی‌پی فعال هستند که متعلق به کشورهای سودان و مغولستان هستند.

بارگذار‌های C&C متعلق به دسته دوم حملات ۱۱۵۶۳ آی‌پی مختلف از ۱۱۶ کشور جهان را ثبت کرده‌اند که البته به گفته کارشناسان نظر می‌رسد تعداد واقعی قربانیان از این رقم بسیار کمتر باشد. طبق اعلام آن‌ها در زمان تحقیقات به طور متوسط در هر لحظه فقط ۷۱ آی‌پی به طور پیوسته با این بارگذار‌ها اطلاعات تبادل می‌نمودند.

رایانامه‌های استفاده شده در حملات دوم شناسایی نشده‌اند اما این دسته از حملات ظاهراً در مقیاس گسترده‌تری انجام شده و قربانینان گستردگی جغرافیایی فراگیرتری دارند. پنج کشور نخست قربانیان بر اساس آی‌پی ها عبارتند از هند، آمریکا، چین، پاکستان، فیلیپین و روسیه.

بدافزار نصب‌شده در رایانه‌های آلوده معمولاً برای سرقت اطلاعات استفاده می‌شود اما قابلیت‌های آن را می‌توان با افزودن برخی ماژول‌ها ارتقا بخشید. کارشناسان از وجودکامپوننت‌های افزونه‌ای با کاربرد‌ ویژه، برنامه‌های خاص برای استخراج گذرواژه‌های ذخیره شده در فایرفاکس و اینترنت‌اکسپلورر و نیز اطلاعات ریموت‌دسکتاپ ذخیره شده در در بارگذار‌های C&C خبر داده‌اند.

کارشناسان ترند‌میکرو در گزارش منتشره خود اظهار داشته‌اند: «با آنکه تشخیص هدف واقعی و هویت حمله‌کنندگان معمولاً دشوار است، ما بر این عقیده‌ایم که حملات SafeNet هدف‌مند بوده و از بدافزاری استفاده می‌کند که توسط یک مهندس‌ نرم‌افزار کارکشته که احتمالاً با مجرمین سایبری زیرزمینی در چین ارتباط دارد طراحی شده است. این فرد در یک دانشگاه فنی معتبر در همان کشور تحصیل کرده و به نظر می‌رسد که به انبار کدهای یک شرکت خدمات اینترنتی دسترسی دارد.»

گرداننگان بارگذار‌های C&C با آی‌پی آدرس‌هایی از کشور‌های مختلف به آن‌ها دسترسی داشته‌اند اما در این میان بیش‌ترین دسترسی‌ها از چین و هنگ‌کنگ صورت گرفته است. به گفته محققین ترند‌میکرو «ما همچنین شواهدی مبنی بر استفاده از وی‌پی‌ان ها و ابزارهای پروکسی همچون Tor یافته‌ایم که یکی از دلایل گستردگی جغرافیایی آی‌پی‌آدرس‌های گردانندگان این بارگذار‌هاست.»

منبع:

وب‌گاه فن‌آوری اطلاعات و ارتباطات

نظرات شما عزیزان:

نام :

آدرس ایمیل:

وب سایت/بلاگ :

متن پیام: