افتانا - ظهور دوباره استاكس‌نت و خطرناك‌ترين بدافزار مكينتاش

ظهور دوباره استاكس‌نت و خطرناك‌ترين بدافزار مكينتاش

در ماه اكتبر شاهد ظهور تروجان Trojan-Downloader.OSX.Flashfake.d بوديم كه نسخه‌اي جديد از تروجان Flashfake براي Mac Os X مي‌باشد، كه تظاهر به يك فايل نصب Adobe Flash Player مي‌كند

به گزارش افتانا به نقل از موسسه دیده بان آی تی، روابط عمومی کسپرسکی در ایران، در این گزارش به فعالیت های دوکو و همچنین تهدیدات جدید دنیای سایبر اشاره شده است.

دوكو
ستاره صحنه نمايش در ماه اكتبر بي‌شك تروجان دوكو بود. شباهت‌هاي متعدد آن به سلف سايبري اش، كرم استاكس‌نت، توجه‌ها را بيش از پيش به اين بدافزار تازه كشف شده جلب كرد. تطابق‌هاي قابل توجه بين اين دو برنامه خطرناك نشان مي‌دهند كه هردو توسط یک گروه نوشته شده‌اند و يا از كد منبع استاكس‌نت (كه هيچ‌وقت در دسترس عموم قرار نگرفت) استفاده شده است.

با اين حال، تمايزهاي برجسته‌اي هم بين اين دو برنامه وجود دارد. به طور خاص، دوكو برعكس استاكس‌نت شامل هيچ كاربرد با هدف سيستم هاي صنعتي نيست. علاوه بر ماژول اصلي، فايل‌هاي دوكو حاوي يك ماژول ديگر تروجان – جاسوس نيز هستند كه قادر به قرار گرفتن بر سر راه داده‌هاي وارد شده از طريق صفحه كليد، عكس گرفتن از صفحه نمايش، جمع‌آوري اطلاعات سيستم و كارهايي اينچنيني مي‌باشد. تمام اينها نشان مي‌دهد هدف و منظور اصلي آن جاسوسي صنعتي است و نه خرابكاري صنعتي.

تحقيقات بيشتر متخصصان كسپرسكي منجر به شناسايي قربانيان جديد دوكو، در وهله نخست در ايران شد كه اين نيز بار ديگر همساني دوكو با استاكس‌نت را تداعي مي‌كند.

الكساندر گوستف، رئيس بخش امنيت آزمايشگاه كسپرسكي مي‌گويد:« همچنين ما فايل‌هاي جديدي از دوكو يافتيم كه قبلا ناشناخته بودند. اين موضوع ترديد ما را در اين‌باره كه افراد در پس قضيه دوكو، در حال تداوم فعاليت‌ها و حملات خود هستند و (برخلاف آلودگي انبوه ايجادشده توسط استاكس‌نت) با دقت قربانيان برگزيده‌اي را هدف‌گذاري كرده‌اند، ثابت مي‌كند. مجموعه منحصر به فردي از فايل‌ها براي هر حمله هدف‌دار مورد استفاده قرار مي‌گيرد. اين امكان هم وجود دارد كه ماژول‌هاي ديگر در حال استفاده باشند؛ نه فقط يك تروجان – جاسوس، بلكه ماژول‌هايي با گستره‌اي از ديگر كاربردها.»

بوندس‌تروجان!
پنج ايالت فدرال آلمان اذعان كردند كه در ماه گذشته طي تجسس‌هاي خود از تروجان Backdoor.Win۳۲.R۲D۲ استفاده كرده‌اند. قوانين فدرال اين كشور به پليس اجازه مي‌دهد فقط در ترافيك اسكايپ شهروندان تجسس كند؛ اما اين بدافزار قادر به جاسوسي از بسياري برنامه‌هاي ديگر مي‌باشد.

بررسي‌هاي انجام شده يك جامعه هكري آلماني به نام Chaos Computer Club كه بعدتر شامل متخصصان كسپرسكي در آلمان هم شد، نشان داد كه جداي از اسكايپ، اين تروجان در پيام‌هاي تمام مرورگرهاي معروف، سرويس‌هاي پيغام فوري مختلف و برنامه‌هاي VoIP از جمله: ICQ, MSN Messenger, Low-Rate Voip, paltalk, SimpPro, sipgate X-Lite, VoipBuster و ياهومسنجر، ورود داشته است. همچنين مشخص شده كه اين backdoor قادر به فعاليت روي نسخه‌هاي ۶۴ بيتي ويندوز هم هست.

اين مورد بار ديگر پرسش‌هايي درباره تروجان‌هاي به اصطلاح دولتي و مباحثي قانوني درباره استفاده از اين برنامه‌ها مطرح كرد. گفتني است كه لابراتوار كسپرسكي، به مانند ديگر فروشندگان آنتي‌ويروس، همه برنامه‌هاي خطرناك را شناسايي مي‌کند ؛ بدون توجه به اينكه چه كساني به چه منظور آنها را ايجاد كرده‌اند.

آندرويد؛ بر صدر فهرست قربانيان
ماه اكتبر را بايد نقطه بازگشتي براي تهديدهاي موبايل در جهان دانست. داده‌هاي كسپرسكي نشان مي‌دهد كه مجموع تعداد برنامه‌هاي خطرناك براي سيستم عامل آندرويد، براي نخستين بار از نسخه ميكروي Java۲ پيشي گرفت. بدافزارهاي مخصوص جاوا طي دوسال گذشته رايج‌ترين در بين تهديدهاي موبايلي بودند. دنيس ماسلنيكوف، تحليل‌گر ارشد بدافزارها در لابراتوار كسپرسكي در اين باره مي‌گويد:« اين حقيقت درباره رشد ناگهاني بدافزار‌هاي آندرويد نشان مي‌دهد در حال حاضر احتمالا ويروس‌نويس‌ها عمده تمركز خود را براين سيستم عامل نهاده‌اند.»

خطرناك‌ترين تروجان مكينتاش
در ماه اكتبر شاهد ظهور تروجان Trojan-Downloader.OSX.Flashfake.d بوديم كه نسخه‌اي جديد از تروجان Flashfake براي Mac Os X مي‌باشد، كه تظاهر به يك فايل نصب Adobe Flash Player مي‌كند. كاركرد اصلي اين اسب تروا به مانند پيشينيانش، دانلود يك سري فايل است.

گرچه قابليت نويي هم به آن اضافه شده كه XProtect سيستم محافظت داخلي مكينتاش را كه شامل يك اسكنر امضاي ساده مي‌گردد كه به طور روزانه بروز مي‌شود، از كار مي‌اندازد. باغير فعال شدن سيستم حفاظتي، ديگر نمي‌تواند آپديت‌ها را از سايت‌ اپل دريافت كند و عملا بلا‌استفاده مي‌شود.

اين واقعيت كه توسعه‌دهندگان اين سيستم در قرار دادن يك سازوكار دفاع از خود در آن عاجز بودند، باعث شده است غيرفعال سازي XProtect ميسر شود.

پس از اجراي Trojan-Downloader.OSX.Flashfake.d روي كامپيوتر، اين تروجان نه فقط از خود دربرابر شناسايي شدن محافظت مي‌كند بلكه براي ديگر برنامه‌هاي خطرناكي هم كه توسط سيستم حفاظتي شناسايي شده بودند، يك نقطه آسيب‌پذيري در سيستم ايجاد مي‌كند. در نتيجه، اين تروجان خاص را مي‌توان بسيار خطرناك‌تر از ديگر بدافزارهاي Os X دانست.

حمله به شبكه‌هاي شركتي و دولتي
اگر بخواهيم درباره حملات صورت گرفته به سازمان‌هاي دولتي و شركتي صحبت كنيم، بايد بگوييم ماه اكتبر مملو از قضاياي اين چنيني بود؛ خصوصا موسسات واقع در ژاپن و آمريكا.

اول از همه، حمله به اعضاي مجلس عوام ژاپن بود. در نتيجه، بسيار محتمل است كه هكرها به اسناد داخلي و ايميل‌هاي نمايندگان مورد هجوم، دست پيدا كرده باشند. همچنين در تعدادي از سفارتخانه‌هاي ژاپن در نقاط مختلف دنيا بدافزارهايي مشاهده شد. اين برنامه‌هاي مخرب با دو سرور واقع در چين كه سابقا در حمله به گوگل هم مورد استفاده قرار گرفته بودند، در ارتباط بودند.

به علاوه اطلاعات بيشتري درباره حمله ماه آگوست به صنايع سنگين ميتسوبيشي منتشر شد. تحقيقات پليس توكيو نشان داد كه حدود ۵۰ برنامه مخرب گوناگون روي ۸۳ رايانه مورد هدف در اين حمله يافت شده است. سيستم‌هاي آلوده بيش از ۳۰۰هزار بار توسط هكرها مورد دسترسي قرار گرفته بودند.

جستجو درباره منشا اين حمله فعلا منتهي به يك رايانه آلوده ديگر شده است كه متعلق به جامعه شركت‌هاي هوافضاي ژاپن (SJAC) مي‌باشد. هكرها براي فرستادن ايميل‌هاي مخرب به صنايع سنگين ميتسوبيشي و كاوازاكي از اين كامپيوتر استفاده كرده‌اند و با دسترسي به سيستم موجود در SJAC از طريق يك سرور پروكسي ناشناس در ايالات متحده، ردپاي خود را مخفي كرده‌اند.

با تمام اين احوال متخصصان ژاپني در حال كار روي اين نظريه هستند كه خاستگاه هكر‌ها از چين است.
داستان ويروس يافته شده روي سيستم‌هاي كنترل زميني هواپيماهاي بدون سرنشين در يك پايگاه هوايي ايالات متحده شايد كمي دراماتيك به نظر برسد؛ اما اين موضوع بار ديگر سطوح غيرقابل قبول و بالاي اهمال در زمينه امنيت تاسيسات مهم را برجسته كرد.

به گفته يك منبع ناشناسي در دپارتمان دفاع ايالات متحده، اين تروجان براي سرقت اطلاعات كاربران تعدادي از بازي‌هاي آنلاين طراحي شده بوده است. و به احتمال زياد از سر حادثه و نه به عنوان بخشي از يك حمله از اين پايگاه هوايي سر برآورده است.

ده تهديد مهم اينترنتي ماه اكتبر

1	آدرس های اینترنتی خطرناك	82.47%	رتبه نسبت به ماه قبل
2	Trojan.Script.Iframer	2.25%	+1
3	Trojan.Win32.Generic	1.41%	+4
4	Trojan.Script.Generic	1.18%	=
5	Exploit.Script.Generic	1.03%	+2
6	AdWare.Win32.Shopper.il	0.46%	جديد
7	Trojan-Downloader.Script.Generic	0.46%	+1
8	AdWare.Win32.Eorezo.heur	0.32%	-3
9	Trojan.JS.Popupper.aw	0.27%	جديد
10	AdWare.Win32.Shopper.jq	0.23%	جديد

اطلاعات بيشتر درباره تهديدهاي آي‌تي شناسايي شده توسط لابراتوار كسپرسكي در محيط اينترنت و روي رايانه‌هاي كاربران در ماه اكتبر سال ۲۰۱۱ در نشاني www.securelist.com/en موجود است.