شرکت کسپرسکی اطلاعاتی را در مورد ویروس Duqu 2.0 که به جاسوسی از مذاکرات هسته‌ای ایران پرداخته است، منتشر کرد.

ویروسی که از مذاکرات هسته‌ای ایران جاسوسی می‌کردبه گزارش املش ما به نقل از فارس کسپرسکی اوایل سال میلادی جاری از یک حمله و نفوذ سایبری به چند سیستم درون‌سازمانی خود خبر داد.

بعد از این حادثه، تحقیقات همه‌جانبه‌ای کلید خورد که به کشف پلتفرم بدافزاری جدید، ناشناخته و بسیار پیشرفته و قدرتمندی به نام Duqu انجامید.

به اعتقاد متخصصان کسپرسکی، مهاجمان با اطمینان کامل از این که هیچ رد و اثری برجا نمی‌گذارند حمله سایبری خود را ترتیب دادند. این حمله ویژگی‌های منحصربه‌فردی داشت که تا پیش از آن در حملات سایبری دیگر دیده نشده و تقریبا هیچ ردی از آن برجا نمانده بود.

این حمله با استفاده از آسیب‌پذیری‌های شناخته نشده، آزادی عمل بدافزار را افزایش داده و سپس از طریق فایل‌های Microsoft Software Installer (MSI) در شبکه گسترش پیدا می‌کند. فایل‌های MSI فایل‌هایی هستند که مدیران سیستم اغلب برای نصب نرم‌افزار روی کامپیوترهای مبتنی بر ویندوز و به‌صورت راه دور از آن استفاده می‌کنند.

این حمله سایبری هیچ رد و نشانی روی هارد دیسک یا تنظیمات سیستم برجای نگذاشت تا شناسایی آن به کار بسیار پیچیده و دشواری تبدیل شود. به بیان ساده، فلسفه و بینشی که در پس طراحی Duqu 2.0 نهفته یک نسل جلوتر از تمام تهدیداتی است که در فضای سایبری امروزی شاهد بوده‌ایم.

محققان کسپرسکی پی بردند که Duqu در خاورمیانه و همچنین در بین کشورهای غربی‌ها و چند کشور آسیایی نیز قربانی گرفته است. شاخص‌ترین مورد این آلودگی طی دو سال گذشته به حملات Duqu به محل مذاکرات هسته‌ای حساس بین ایران و گروه ۵+۱ برمی‌گردد. علاوه بر این گروه طراح Duqu 2.0، طی حملات مشابهی هفتادمین سالگرد آزادسازی اردوگاه آشویتس-بیرکنو در لهستان را هدف گرفتند. این درحالیست که در هر دو رویداد سیاستمداران و مقامات عالی‌رتبه‌ای حضور داشتند.

کاستین رایو (Costin Raiu) مدیر تیم تحقیق و بررسی بین‌الملل کسپرسکی می‌گوید: «تیم نرم‌افزاری طراح Duqu از نخبه ترین و پرقدرت‌ترین افراد در حوزه تهدیدات پیشرفته و مداوم تشکیل شده است. آنها برای مخفی نگه داشتن ردپای خود همه کار کردند. در این حمله بسیار پیچیده از سه آسیب‌پذیری ناشناخته استفاده شده بود که انجام چنین عملیاتی از سرمایه‌گذاری هنگفتی در پس Duqu حکایت می‌کند.

«این تهدید بدافزاری برای مخفی ماندن تنها در حافظه کرنل خود را ذخیره می‌کند تا به این ترتیب نرم‌افزارهای آنتی ویروس به راحتی آن را شناسایی نکنند. همچنین این تهدید برخلاف بدافزارهای مرسوم، به‌طور مستقیم به مرکز کنترل و فرمان مهاجمان متصل نمی‌شود. در عوض، مهاجمان با نصب درایورهای خرابکارانه، gateway و فایروال شبکه‌های سازمانی را آلوده کرده و تمام ترافیک شبکه سازمانی را به مرکز کنترل و فرمان خود تغییر مسیر می‌دهند.»

یافته‌های اولیه کسپرسکی در مطالعه Duqu 2.0 نشان می‌دهد که این حمله کاملا برنامه‌ریزی شده به‌وسیله همان گروهی انجام گرفت که حمله سایبری معروف Duqu در سال ۲۰۱۱ را ترتیب داده بودند. کسپرسکی براین باور است که چنین حمله‌ای تنها با حمایت مالی یک دولت امکان‌پذیر است.

 

اشتراک این خبر در :