روشن شدن زوایای خطرناک دیگری از فعالیت های استاکس نت و دوکو
موسسه دیده بان آی تی , 1 بهمن 1390 ساعت 14:57
آزمايشگاه كسپرسكي، شركت پيشرو در ارائه راه حل هاي امنيت اطلاعات اعلام كرد، اطلاعات جدید درباره آلودگی به تروجانهای دوکو و استاکس نت مؤید آن است که یک تیم روی این خانواده از برنامههای مخرب کار میکند، و همچنین این فرض را ممکن میسازد که از پلتفرمی استفاده شده باشد که با هدفهای خاص به طور انعطافپذیر قابل انطباق است.
آزمايشگاه كسپرسكي، شركت پيشرو در ارائه راه حل هاي امنيت اطلاعات اعلام كرد، اطلاعات جدید درباره آلودگی به تروجانهای دوکو و استاکس نت مؤید آن است که یک تیم روی این خانواده از برنامههای مخرب کار میکند، و همچنین این فرض را ممکن میسازد که از پلتفرمی استفاده شده باشد که با هدفهای خاص به طور انعطافپذیر قابل انطباق است.
به گزارش افتانا به نقل از موسسه دیده بان آی تی، روابط عمومی کسپرسکی در ایران، علاوه بر این، این پلتفرم ممکن است مدتها قبل از انتشار استاکس نت ایجاد شده باشد و بسیار فعالتر از آنچه تاکنون فرض شده است، مورد استفاده قرار گرفته باشد. متخصصان کسپرسکی این نتیجهگیری را بر اساس تجزیه و تحلیل دقیق درایورهای استفاده شده برای آلوده کردن سیستمها به دوکو و استاکس نت و نیز برخی برنامههای مخرب که جزئیات آنها تاکنون شناخته نشده است، عنوان کردهاند.
به اعتقاد متخصصان آزمایشگاه کسپرسکی، این پلتفرم که Tilded نامگذاری شده است (به دلیل تمایل ایجادکنندههای آن به استفاده از فایلهایی که با نماد نویسه tilde (~) شروع میشوند)، برای ایجاد استاکس نت و دوکو و نیز برنامههای مخرب دیگر استفاده شده است.
ارتباط بین دوکو و استاکس نت در حین تجزیه و تحلیل یکی از رویدادهای مرتبط با دوکو آشکار شد. در حین بررسی سیستم آلوده که گمان میرفت در آگوست سال ۲۰۱۱ مورد حمله قرار گرفته باشد، یک درایور شناسایی شد که با درایور استفاده شده به وسیله یکی از نسخههای استاکس نت مشابه بود. گرچه شباهت آشکاری بین دو درایور وجود داشت، تفاوتهایی نیز در جزئیات آنها مانند تاریخ امضای گواهی دیجیتال وجود داشت.
فایلهای دیگری که امکان نسبت دادن آنها به فعالیت استاکس نت وجود داشته باشد، شناسایی نشد، اما نشانههایی از فعالیت دوکو وجود داشت.
پردازش اطلاعات به دست آمده و جستجوی بیشتر در پایگاه داده برنامههای مخرب آزمایشگاه کسپرسکی امکان آشکار کردن یک درایور دیگر با ویژگیهای مشابه را میسر ساخت. این درایور بیش از یک سال پیش کشف شد، اما فایل آن در ژانویه سال ۲۰۰۸، یک سال قبل از ایجاد درایورهای استفاده شده به وسیله استاکس نت کامپایل شده بود. متخصصان آزمایشگاه کسپرسکی مجموعاً هفت نوع درایور با ویژگیهای مشابه را شناسایی کردند. لازم به ذکر است که هیچ اطلاعاتی تاکنون درباره سه مورد از آنها به دست نیامده است، به خصوص اینکه با کدام برنامه مخرب استفاده شدهاند.
الکساندر گوستف، متخصص ارشد امنیت در آزمایشگاه کسپرسکی، اظهار داشت: «درایورهای برنامههای مخربی که هنوز شناخته نشدهاند را نمیتوان به فعالیت تروجانهای استاکس نت و دوکو نسبت داد. شیوههای انتشار استاکس نت، ممکن است آلودگیهای بسیاری را با استفاده از این درایورها موجب شده باشد، و به دلیل تاریخ کامپایل، نمیتوان آنها را به تروجان هدفمندتر دوکو نیز نسبت داد. معتقدیم که این درایورها یا در نسخه قدیمیتر دوکو استفاده شدهاند و یا برای آلودگی با استفاده از برنامههای مخرب کاملاً متفاوتی به کار رفتهاند که گذشته از این، پلتفرم یکسانی دارند و احتمالاً توسط یک تیم ایجاد شدهاند.»
بر اساس تفسیر متخصصان آزمایشگاه کسپرسکی، تبهکاران سایبری که دوکو و استاکس نت را ایجاد کردهاند، نسخه جدید درایور را چند بار در سال ایجاد میکنند که برای بارگذاری ماژول اصلی برنامه مخرب استفاده میشود. به محض حملههای جدید برنامهریزی شده، چند پارامتر درایور مانند کلید رجیستری با کمک یک برنامه خاص تغییر داده میشود. این فایل بسته به نوع کار میتواند به وسیله یک گواهی دیجیتال حقوقی نیز امضا شود یا به طور کلی بدون امضاء باقی بماند.
بنابراین، دوکو و استاکس نت پروژههای جداگانهای هستند که بر اساس پلتفرمی به نام Tilded ایجاد شدهاند که حدوداً در اواخر سال ۲۰۰۷ و اوایل سال ۲۰۰۸ ایجاد شده است. این پروژه به احتمال زیاد تنها پروژه نبوده است، اما اهداف و کارهای انواع مختلف برنامه تروجان تاکنون شناخته نشده است. نمیتوان انکار کرد که این پلتفرم همچنان توسعه خواهد یافت. علاوه بر این، کشف دوکو توسط متخصصان امنیت بدین معناست که تغییرات بیشتری روی پلتفرم در حال انجام است یا در آینده انجام خواهد شد.
نسخه کامل گزارش الکساندر گوستف و ایگور سامنکوف در Securelist موجود است.
کد مطلب: 311