ITanalyze

آزمایشگاه کسپرسکی، شرکت پیشرو در ارائه راه حل های امنیت اطلاعات گزارش فعالیت بدافزارها و نرم افزارهای مخرب در ماه اکتبر2011 را منتشر ساخت.

به گزارش موسسه دیده بان آی تی، روابط عمومی کسپرسکی در ایران در این گزارش به فعالیت های دوکو و همچنین تهدیدات جدید دنیای سایبر اشاره شده است.
دوکو

ستاره صحنه نمایش در ماه اکتبر بی‌شک تروجان دوکو بود. شباهت‌های متعدد آن به سلف سایبری اش، کرم استاکس‌نت، توجه‌ها را بیش از پیش به این بدافزار تازه کشف شده جلب کرد. تطابق‌های قابل توجه بین این دو برنامه خطرناک نشان می‌دهند که هردو توسط یک گروه نوشته شده‌اند و یا از کد منبع استاکس‌نت (که هیچ‌وقت در دسترس عموم قرار نگرفت) استفاده شده است.

با این حال، تمایزهای برجسته‌ای هم بین این دو برنامه وجود دارد. به طور خاص، دوکو برعکس استاکس‌نت شامل هیچ کاربرد با هدف سیستم های صنعتی نیست. علاوه بر ماژول اصلی، فایل‌های دوکو حاوی یک ماژول دیگر تروجان – جاسوس نیز هستند که قادر به قرار گرفتن بر سر راه داده‌های وارد شده از طریق صفحه کلید، عکس گرفتن از صفحه نمایش، جمع‌آوری اطلاعات سیستم و کارهایی اینچنینی می‌باشد. تمام اینها نشان می‌دهد هدف و منظور اصلی آن جاسوسی صنعتی است و نه خرابکاری صنعتی.

تحقیقات بیشتر متخصصان کسپرسکی منجر به شناسایی قربانیان جدید دوکو، در وهله نخست در ایران، شد که این نیز بار دیگر همسانی دوکو با استاکس‌نت را تداعی می‌کند.

الکساندر گوستف، رئیس بخش امنیت آزمایشگاه کسپرسکی می‌گوید:« همچنین ما فایل‌های جدیدی از دوکو یافتیم که قبلا ناشناخته بودند. این موضوع تردید ما را در این‌باره که افراد در پس قضیه دوکو، در حال تداوم فعالیت‌ها و حملات خود هستند و (برخلاف آلودگی انبوه ایجادشده توسط استاکس‌نت) با دقت قربانیان برگزیده‌ای را هدف‌گذاری کرده‌اند، ثابت می‌کند. مجموعه منحصر به فردی از فایل‌ها برای هر حمله هدف‌دار مورد استفاده قرار می‌گیرد. این امکان هم وجود دارد که ماژول‌های دیگر در حال استفاده باشند؛ نه فقط یک تروجان – جاسوس، بلکه ماژول‌هایی با گستره‌ای از دیگر کاربردها.»
بوندس‌تروجان!

پنج ایالت فدرال آلمان اذعان کردند که در ماه گذشته طی تجسس‌های خود از تروجان Backdoor.Win32.R2D2 استفاده کرده‌اند. قوانین فدرال این کشور به پلیس اجازه می‌دهد فقط در ترافیک اسکایپ شهروندان تجسس کند؛ اما این بدافزار قادر به جاسوسی از بسیاری برنامه‌های دیگر می‌باشد. بررسی‌های انجام شده یک جامعه هکری آلمانی به نام Chaos Computer Club که بعدتر شامل متخصصان کسپرسکی در آلمان هم شد، نشان داد که جدای از اسکایپ، این تروجان در پیام‌های تمام مرورگرهای معروف، سرویس‌های پیغام فوری مختلف و برنامه‌های VoIP از جمله: ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster و یاهومسنجر، ورود داشته است. همچنین مشخص شده که این backdoor قادر به فعالیت روی نسخه‌های 64 بیتی ویندوز هم هست.

این مورد بار دیگر پرسش‌هایی درباره تروجان‌های به اصطلاح دولتی و مباحثی قانونی درباره استفاده از این برنامه‌ها مطرح کرد. گفتنی است که لابراتوار کسپرسکی، به مانند دیگر فروشندگان آنتی‌ویروس، همه برنامه‌های خطرناک را شناسایی می‌کند ؛ بدون توجه به اینکه چه کسانی به چه منظور آنها را ایجاد کرده‌اند.
آندروید؛ بر صدر فهرست قربانیان

ماه اکتبر را باید نقطه بازگشتی برای تهدیدهای موبایل در جهان دانست. داده‌های کسپرسکی نشان می‌دهد که مجموع تعداد برنامه‌های خطرناک برای سیستم عامل آندروید، برای نخستین بار از نسخه میکروی Java2 پیشی گرفت. بدافزارهای مخصوص جاوا طی دوسال گذشته رایج‌ترین در بین تهدیدهای موبایلی بودند. دنیس ماسلنیکوف، تحلیل‌گر ارشد بدافزارها در لابراتوار کسپرسکی در این باره می‌گوید:« این حقیقت درباره رشد ناگهانی بدافزار‌های آندروید نشان می‌دهد در حال حاضر احتمالا ویروس‌نویس‌ها عمده تمرکز خود را براین سیستم عامل نهاده‌اند.»

خطرناک‌ترین تروجان مکینتاش

در ماه اکتبر شاهد ظهور تروجان Trojan-Downloader.OSX.Flashfake.d بودیم که نسخه‌ای جدید از تروجان Flashfake برای Mac Os X می‌باشد، که تظاهر به یک فایل نصب Adobe Flash Player می‌کند. کارکرد اصلی این اسب تروا به مانند پیشینیانش، دانلود یک سری فایل است. گرچه قابلیت نویی هم به آن اضافه شده که XProtect سیستم محافظت داخلی مکینتاش را که شامل یک اسکنر امضای ساده می‌گردد که به طور روزانه بروز می‌شود، از کار می‌اندازد. باغیر فعال شدن سیستم حفاظتی، دیگر نمی‌تواند آپدیت‌ها را از سایت‌ اپل دریافت کند و عملا بلا‌استفاده می‌شود. این واقعیت که توسعه‌دهندگان این سیستم در قرار دادن یک سازوکار دفاع از خود در آن عاجز بودند، باعث شده است غیرفعال سازی XProtect میسر شود. پس از اجرای Trojan-Downloader.OSX.Flashfake.d روی کامپیوتر، این تروجان نه فقط از خود دربرابر شناسایی شدن محافظت می‌کند بلکه برای دیگر برنامه‌های خطرناکی هم که توسط سیستم حفاظتی شناسایی شده بودند، یک نقطه آسیب‌پذیری در سیستم ایجاد می‌کند. در نتیجه، این تروجان خاص را می‌توان بسیار خطرناک‌تر از دیگر بدافزارهای Os X دانست.
حمله به شبکه‌های شرکتی و دولتی

اگر بخواهیم درباره حملات صورت گرفته به سازمان‌های دولتی و شرکتی صحبت کنیم، باید بگوییم ماه اکتبر مملو از قضایای این چنینی بود؛ خصوصا موسسات واقع در ژاپن و آمریکا.

اول از همه، حمله به اعضای مجلس عوام ژاپن بود. در نتیجه، بسیار محتمل است که هکرها به اسناد داخلی و ایمیل‌های نمایندگان مورد هجوم، دست پیدا کرده باشند. همچنین در تعدادی از سفارتخانه‌های ژاپن در نقاط مختلف دنیا بدافزارهایی مشاهده شد. این برنامه‌های مخرب با دو سرور واقع در چین که سابقا در حمله به گوگل هم مورد استفاده قرار گرفته بودند، در ارتباط بودند.

به علاوه اطلاعات بیشتری درباره حمله ماه آگوست به صنایع سنگین میتسوبیشی منتشر شد. تحقیقات پلیس توکیو نشان داد که حدود 50 برنامه مخرب گوناگون روی 83 رایانه مورد هدف در این حمله یافت شده است. سیستم‌های آلوده بیش از 300هزار بار توسط هکرها مورد دسترسی قرار گرفته بودند. جستجو درباره منشا این حمله فعلا منتهی به یک رایانه آلوده دیگر شده است که متعلق به جامعه شرکت‌های هوافضای ژاپن (SJAC) می‌باشد. هکرها برای فرستادن ایمیل‌های مخرب به صنایع سنگین میتسوبیشی و کاوازاکی از این کامپیوتر استفاده کرده‌اند و با دسترسی به سیستم موجود در SJAC از طریق یک سرور پروکسی ناشناس در ایالات متحده، ردپای خود را مخفی کرده‌اند. با تمام این احوال متخصصان ژاپنی در حال کار روی این نظریه هستند که خاستگاه هکر‌ها از چین است.

داستان ویروس یافته شده روی سیستم‌های کنترل زمینی هواپیماهای بدون سرنشین در یک پایگاه هوایی ایالات متحده شاید کمی دراماتیک به نظر برسد؛ اما این موضوع بار دیگر سطوح غیرقابل قبول و بالای اهمال در زمینه امنیت تاسیسات مهم را برجسته کرد.

به گفته یک منبع ناشناسی در دپارتمان دفاع ایالات متحده، این تروجان برای سرقت اطلاعات کاربران تعدادی از بازی‌های آنلاین طراحی شده بوده است. و به احتمال زیاد از سر حادثه و نه به عنوان بخشی از یک حمله از این پایگاه هوایی سر برآورده است.