متخصصین امنیتی در ترندمیکرو عملیات جاسوسی سایبری جدیدی را کشف کردهاند که در حال حاضر فعال بوده و تا کنون رایانههای مربوط به وزارتخانههای دولتی، شرکتهای فناوری، رسانهها، موسسات تحقیقات آکادمیک و سازمانهای غیردولتی بیش از ۱۰۰ کشور را به خطر انداخته است.
پایگاه اطلاعرسانی پلیس فتا: این عملیات که از سوی ترندمیکرو، SafeNet لقب گرفته است، قربانیان بالقوه خود را از طریق رایانامههای فیشینگ هدفدار با پیوستهای آلوده هدف قرار میدهد. کارشناسان این شرکت عملیات مذکور را مورد بررسی قرار داده و روز جمعه گزارشی راجع به آن منتشر نمودهاند.
این بررسی از وجود دو بارگذار C&C (دستور و کنترل) متعلق به دو دسته حملات هدفمند جداگانه SafeNet پرده برداشت که علیرغم تفاوت در اهداف هر دو از یک بدافزار مشترک استفاده مینمایند.
یک دسته از این حملات از رایانامههای فیشینگ هدفدار با محتوایی راجع به تبت و مغولستان استفاده مینماید. این رایانامهها فایلهایی با فرمت DOC. به پیوست دارند که از یک آسیبپذیری Word سوءاستفاده میکنند. این آسیبپذیری را مایکروسافت با ارائه وصله مربوطه در آوریل ۲۰۱۲ اصلاح کرده است.
لاگهای دسترسی استخراج شده از بارگذارهای C&C این دسته از حملات ۲۴۳ آیپی مختلف از ۱۱ کشور مختلف را به عنوان قربانی این حملات مورد شناسایی قرار داد. با اینحال بر اساس تحقیقات انجامشده از این تعداد در حال حاضر فقط ۳ آیپی فعال هستند که متعلق به کشورهای سودان و مغولستان هستند.
بارگذارهای C&C متعلق به دسته دوم حملات ۱۱۵۶۳ آیپی مختلف از ۱۱۶ کشور جهان را ثبت کردهاند که البته به گفته کارشناسان نظر میرسد تعداد واقعی قربانیان از این رقم بسیار کمتر باشد. طبق اعلام آنها در زمان تحقیقات به طور متوسط در هر لحظه فقط ۷۱ آیپی به طور پیوسته با این بارگذارها اطلاعات تبادل مینمودند.
رایانامههای استفاده شده در حملات دوم شناسایی نشدهاند اما این دسته از حملات ظاهراً در مقیاس گستردهتری انجام شده و قربانینان گستردگی جغرافیایی فراگیرتری دارند. پنج کشور نخست قربانیان بر اساس آیپی ها عبارتند از هند، آمریکا، چین، پاکستان، فیلیپین و روسیه.
بدافزار نصبشده در رایانههای آلوده معمولاً برای سرقت اطلاعات استفاده میشود اما قابلیتهای آن را میتوان با افزودن برخی ماژولها ارتقا بخشید. کارشناسان از وجودکامپوننتهای افزونهای با کاربرد ویژه، برنامههای خاص برای استخراج گذرواژههای ذخیره شده در فایرفاکس و اینترنتاکسپلورر و نیز اطلاعات ریموتدسکتاپ ذخیره شده در در بارگذارهای C&C خبر دادهاند.
کارشناسان ترندمیکرو در گزارش منتشره خود اظهار داشتهاند: «با آنکه تشخیص هدف واقعی و هویت حملهکنندگان معمولاً دشوار است، ما بر این عقیدهایم که حملات SafeNet هدفمند بوده و از بدافزاری استفاده میکند که توسط یک مهندس نرمافزار کارکشته که احتمالاً با مجرمین سایبری زیرزمینی در چین ارتباط دارد طراحی شده است. این فرد در یک دانشگاه فنی معتبر در همان کشور تحصیل کرده و به نظر میرسد که به انبار کدهای یک شرکت خدمات اینترنتی دسترسی دارد.»
گرداننگان بارگذارهای C&C با آیپی آدرسهایی از کشورهای مختلف به آنها دسترسی داشتهاند اما در این میان بیشترین دسترسیها از چین و هنگکنگ صورت گرفته است. به گفته محققین ترندمیکرو «ما همچنین شواهدی مبنی بر استفاده از ویپیان ها و ابزارهای پروکسی همچون Tor یافتهایم که یکی از دلایل گستردگی جغرافیایی آیپیآدرسهای گردانندگان این بارگذارهاست.»
نظرات شما عزیزان:
دسته بندی : <-CategoryName->