ظهور دوباره دوباره استاکسنت
آزمایشگاه کسپرسکی، شرکت پیشرو در ارائه راه حل های امنیت اطلاعات گزارش فعالیت بدافزارها و نرم افزارهای مخرب در ماه اکتبر2011 را منتشر ساخت.
به گزارش موسسه دیده بان آی تی، روابط عمومی کسپرسکی در ایران در این گزارش به فعالیت های دوکو و همچنین تهدیدات جدید دنیای سایبر اشاره شده است.
دوکو
ستاره صحنه نمایش در ماه اکتبر بیشک تروجان دوکو بود. شباهتهای متعدد آن به سلف سایبری اش، کرم استاکسنت، توجهها را بیش از پیش به این بدافزار تازه کشف شده جلب کرد. تطابقهای قابل توجه بین این دو برنامه خطرناک نشان میدهند که هردو توسط یک گروه نوشته شدهاند و یا از کد منبع استاکسنت (که هیچوقت در دسترس عموم قرار نگرفت) استفاده شده است.
با این حال، تمایزهای برجستهای هم بین این دو برنامه وجود دارد. به طور خاص، دوکو برعکس استاکسنت شامل هیچ کاربرد با هدف سیستم های صنعتی نیست. علاوه بر ماژول اصلی، فایلهای دوکو حاوی یک ماژول دیگر تروجان – جاسوس نیز هستند که قادر به قرار گرفتن بر سر راه دادههای وارد شده از طریق صفحه کلید، عکس گرفتن از صفحه نمایش، جمعآوری اطلاعات سیستم و کارهایی اینچنینی میباشد. تمام اینها نشان میدهد هدف و منظور اصلی آن جاسوسی صنعتی است و نه خرابکاری صنعتی.
تحقیقات بیشتر متخصصان کسپرسکی منجر به شناسایی قربانیان جدید دوکو، در وهله نخست در ایران، شد که این نیز بار دیگر همسانی دوکو با استاکسنت را تداعی میکند.
الکساندر گوستف، رئیس بخش امنیت آزمایشگاه کسپرسکی میگوید:« همچنین ما فایلهای جدیدی از دوکو یافتیم که قبلا ناشناخته بودند. این موضوع تردید ما را در اینباره که افراد در پس قضیه دوکو، در حال تداوم فعالیتها و حملات خود هستند و (برخلاف آلودگی انبوه ایجادشده توسط استاکسنت) با دقت قربانیان برگزیدهای را هدفگذاری کردهاند، ثابت میکند. مجموعه منحصر به فردی از فایلها برای هر حمله هدفدار مورد استفاده قرار میگیرد. این امکان هم وجود دارد که ماژولهای دیگر در حال استفاده باشند؛ نه فقط یک تروجان – جاسوس، بلکه ماژولهایی با گسترهای از دیگر کاربردها.»
بوندستروجان!
پنج ایالت فدرال آلمان اذعان کردند که در ماه گذشته طی تجسسهای خود از تروجان Backdoor.Win32.R2D2 استفاده کردهاند. قوانین فدرال این کشور به پلیس اجازه میدهد فقط در ترافیک اسکایپ شهروندان تجسس کند؛ اما این بدافزار قادر به جاسوسی از بسیاری برنامههای دیگر میباشد. بررسیهای انجام شده یک جامعه هکری آلمانی به نام Chaos Computer Club که بعدتر شامل متخصصان کسپرسکی در آلمان هم شد، نشان داد که جدای از اسکایپ، این تروجان در پیامهای تمام مرورگرهای معروف، سرویسهای پیغام فوری مختلف و برنامههای VoIP از جمله: ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster و یاهومسنجر، ورود داشته است. همچنین مشخص شده که این backdoor قادر به فعالیت روی نسخههای 64 بیتی ویندوز هم هست.
این مورد بار دیگر پرسشهایی درباره تروجانهای به اصطلاح دولتی و مباحثی قانونی درباره استفاده از این برنامهها مطرح کرد. گفتنی است که لابراتوار کسپرسکی، به مانند دیگر فروشندگان آنتیویروس، همه برنامههای خطرناک را شناسایی میکند ؛ بدون توجه به اینکه چه کسانی به چه منظور آنها را ایجاد کردهاند.
آندروید؛ بر صدر فهرست قربانیان
ماه اکتبر را باید نقطه بازگشتی برای تهدیدهای موبایل در جهان دانست. دادههای کسپرسکی نشان میدهد که مجموع تعداد برنامههای خطرناک برای سیستم عامل آندروید، برای نخستین بار از نسخه میکروی Java2 پیشی گرفت. بدافزارهای مخصوص جاوا طی دوسال گذشته رایجترین در بین تهدیدهای موبایلی بودند. دنیس ماسلنیکوف، تحلیلگر ارشد بدافزارها در لابراتوار کسپرسکی در این باره میگوید:« این حقیقت درباره رشد ناگهانی بدافزارهای آندروید نشان میدهد در حال حاضر احتمالا ویروسنویسها عمده تمرکز خود را براین سیستم عامل نهادهاند.»
خطرناکترین تروجان مکینتاش
در ماه اکتبر شاهد ظهور تروجان Trojan-Downloader.OSX.Flashfake.d بودیم که نسخهای جدید از تروجان Flashfake برای Mac Os X میباشد، که تظاهر به یک فایل نصب Adobe Flash Player میکند. کارکرد اصلی این اسب تروا به مانند پیشینیانش، دانلود یک سری فایل است. گرچه قابلیت نویی هم به آن اضافه شده که XProtect سیستم محافظت داخلی مکینتاش را که شامل یک اسکنر امضای ساده میگردد که به طور روزانه بروز میشود، از کار میاندازد. باغیر فعال شدن سیستم حفاظتی، دیگر نمیتواند آپدیتها را از سایت اپل دریافت کند و عملا بلااستفاده میشود. این واقعیت که توسعهدهندگان این سیستم در قرار دادن یک سازوکار دفاع از خود در آن عاجز بودند، باعث شده است غیرفعال سازی XProtect میسر شود. پس از اجرای Trojan-Downloader.OSX.Flashfake.d روی کامپیوتر، این تروجان نه فقط از خود دربرابر شناسایی شدن محافظت میکند بلکه برای دیگر برنامههای خطرناکی هم که توسط سیستم حفاظتی شناسایی شده بودند، یک نقطه آسیبپذیری در سیستم ایجاد میکند. در نتیجه، این تروجان خاص را میتوان بسیار خطرناکتر از دیگر بدافزارهای Os X دانست.
حمله به شبکههای شرکتی و دولتی
اگر بخواهیم درباره حملات صورت گرفته به سازمانهای دولتی و شرکتی صحبت کنیم، باید بگوییم ماه اکتبر مملو از قضایای این چنینی بود؛ خصوصا موسسات واقع در ژاپن و آمریکا.
اول از همه، حمله به اعضای مجلس عوام ژاپن بود. در نتیجه، بسیار محتمل است که هکرها به اسناد داخلی و ایمیلهای نمایندگان مورد هجوم، دست پیدا کرده باشند. همچنین در تعدادی از سفارتخانههای ژاپن در نقاط مختلف دنیا بدافزارهایی مشاهده شد. این برنامههای مخرب با دو سرور واقع در چین که سابقا در حمله به گوگل هم مورد استفاده قرار گرفته بودند، در ارتباط بودند.
به علاوه اطلاعات بیشتری درباره حمله ماه آگوست به صنایع سنگین میتسوبیشی منتشر شد. تحقیقات پلیس توکیو نشان داد که حدود 50 برنامه مخرب گوناگون روی 83 رایانه مورد هدف در این حمله یافت شده است. سیستمهای آلوده بیش از 300هزار بار توسط هکرها مورد دسترسی قرار گرفته بودند. جستجو درباره منشا این حمله فعلا منتهی به یک رایانه آلوده دیگر شده است که متعلق به جامعه شرکتهای هوافضای ژاپن (SJAC) میباشد. هکرها برای فرستادن ایمیلهای مخرب به صنایع سنگین میتسوبیشی و کاوازاکی از این کامپیوتر استفاده کردهاند و با دسترسی به سیستم موجود در SJAC از طریق یک سرور پروکسی ناشناس در ایالات متحده، ردپای خود را مخفی کردهاند. با تمام این احوال متخصصان ژاپنی در حال کار روی این نظریه هستند که خاستگاه هکرها از چین است.
داستان ویروس یافته شده روی سیستمهای کنترل زمینی هواپیماهای بدون سرنشین در یک پایگاه هوایی ایالات متحده شاید کمی دراماتیک به نظر برسد؛ اما این موضوع بار دیگر سطوح غیرقابل قبول و بالای اهمال در زمینه امنیت تاسیسات مهم را برجسته کرد.
به گفته یک منبع ناشناسی در دپارتمان دفاع ایالات متحده، این تروجان برای سرقت اطلاعات کاربران تعدادی از بازیهای آنلاین طراحی شده بوده است. و به احتمال زیاد از سر حادثه و نه به عنوان بخشی از یک حمله از این پایگاه هوایی سر برآورده است.