بدافزاری که تا ۵ سال ناشناخته ماند

بدافزاری که تا ۵ سال ناشناخته ماند

- درامنیت, خبر
0
۰

شرکت های تولید کننده نرم افزار های آنتی ویروس سیمانتک و کاسپارسکی هفته گذشته بطور جداگانه خبر از کشف تهدیدی بسیار پیچیده و مصر که به مدت پنج سال متخصصان امنیتی را دور زده بود دادند. گروهی ناشناخته به نام (strider) که از Remsec که بنظر می رسد ابزاری است که به منظور جاسوسی طراحی شد باشد استفاده می کردند. که در کد های آن عبارتی تحت عنوان sauron که به گفته سیمانتک از مجموعه فیلم های ارباب حلقه ها اقتباس شده است به چشم می خورد.

در گزارش های کاسپارسکی نیز از آن به عنوان (strider) یا (project sauron) نام برده می شود. این بدافزار از ماه اکتبر سال ۲۰۱۱ در حال فعالیت بوده که بعد از نمونه برداری از رفتار هسته فعالیت ان در سیستم یکی از مشتریان این شرکت کشف شد.

این کشف در پی رصد کردن نرم افزار آنتی ویروس این شرکت از library قابل اجرای این بدافزار که به عنوان فیلتر رمز عبور ویندوز رجیستر شده بود در controller مموری اتفاق افتاد. کتابخانه آن به اطلاعات حساسی در cleartext دسترسی داشت.

به گفته رئیس بخش امنیت اطلاعات شرکت balabit اطلاع از فعالیت مخفیانه این بدافزار به طول نیمی از یک دهه که به جمع آوری اطلاعات مضغول بوده است بسیار ناراحت کننده می باشد در عین حال که آنتی ویروس ها و فایروال های شخصی امنیت بسیار کمی را به ارمغان می آورند.

این بدافزار دارای قسمت های کوچکی است که شامل مانیتورینگ شبکه نیز می شود که می تواند کاژول های مختلفی را بر حسب نیاز استفاده کند این بدافزار در کامپیوتر های آلوده back door هایی را باز می کند که می تواند رمز های عبور و فایل هایی را سرقت کند.

به گفته سیمانتک ماژول های این بدافزار فریم وورک هایی را می سازد که به وسیله آن ها کنترل کامل را در کامپیوتر های قربانی بدست می گیرد و به جمع آوری دیتا ها در شبکه می پردازد.

سیمانتک همچنین توضیح می دهد که این بدافزار از رمزنگاری های قوی برای جلوگیری از ردیابی شدنش بهره می برد.چندین کامپوننت در فرم کد های باینری با حجم بالا یا blob ها دارد که کشف آن بوسیله آنتی ویروس های قدیمی بسیار سخت است.

همچنین بیشتر عملکرد این بدافزار جاسوسی تحت شبکه می باشد که در مموری کامپیوتر اتفاق می افتد و نه دیسک که همین امر موجب سخت تر شدن شناسایی آن می شود. سیمانتک شواهدی را مبنی بر آلوده شدن ۳۶ کامپیوتر در ۷ نهاد جداگانه پیدا کرده است که از آن ها می توان به کامپیوتر های شخصی در روسیه, شرکت هواپیمایی در چین, نهادی در سوئد و سفارت خانه ای در بلژیک اشاره کرد.

کاسپارسکی بیش از ۳۰ نهاد آلوده شده در روسیه,ایران,رواندا پیدا کزده است که همچنین مشکوک به بعضی از اهداف درون کشور ایتالیا نیز می باشد.

کاسپارسکی ۲۸ دامین لینک شده به ۱۱ IP در آمریکا و چندین کشور اروپایی که مشکوک به عضویت در کمپین sauron هستند را پیدا کرده است.

هردو شرکت سیمانتک و کاسپارسکی مدعی این هستند که حکومتی متشکل از یک ملت یا همان nation-state در این حملات دست دارند. به گفته کاسپارسکی در این سلسله حملات NSA یا همان آژانس امنیت ملی آمریکا نقش بازی می کند.

به گفته سیمانتک بعد از کشف این بدافزار فعالیت های آن متوقف شده است ولی نمی توان ادعا کرد که به طور کل این پروژه بسته شده است و اگر nation-state احتمالی در پشت این حملات باشد می توان در آینده نزدیک سلسله حملات جدید با strider جدید و قربانیان جدید را پیش بینی کرد.

رئیس شرکت red canary در این باره می گوید تخفیف حملات این بدافزار همانند درمان سرطان است که جتی بعد از یک درمان موفق بیماری به طور کامل ار بین نمیرود

و مراقبت بیشتری را برای اطمینان از سلامتی و عدم مشکل طلب می کند.

این حمله همچنین به ما خاطر نشان می کند که دور زدن ماژول فیلتر پسوورد به چه راحتی توسط این بدافزار صورت می گیرد و روش تصدیق هویت به سبک رمز عبور بسیار ضعیف می باشد.

جوابی باقی بگذارید.

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شما همچنین ممکن است خوشتان بیاید از

برادرهای دوقلو فضانورد ناسا

اسکات کلی فضانورد ناسا پس از اقامت یک