فا

‫ شناسايي حمله سايبري ‘Duqu’

شماره: IRCNE2015062538
تاريخ:03/21 /94
 
 
روز چهارشنبه، شركت امنيتي روسي كسپراسكي ميزبان يك كنفرانس مطبوعاتي بود كه در آن امريكا به راه اندازي حمله سايبري موفق با استفاده از صلاح سايبري پيشرفته با عنوان ‘Duqu 2.0’ متهم شد.
بايد اذعان داشت كه در اين كنفرانس نام امريكا به صراحت بيان نشده است بلكه تنها اشاره شده است كه بر اين باور هستند كه اين حملات توسط كشوري هدايت شده كه از APT يكسان استفاده مي كند و بدين طريق قصد دارد تا بر روي گفتگوهاي اخير هسته اي با ايران نظارت كند.
Duqu 1.0 نام كرمي است كه در سال 2011 براي اولين بار كشف شد و بعدها نه از لحاظ دسته بندي بلكه از لحاظ فارنسيكي به حملات استاكس نت مرتبط شد. اگر آزمايشگاه كسپراسكي اطمينان حاصل كند كه در حملات اخير از نسخه اي از Duqu استفاده شده است مشخص خواهد شد كه اين حملات توسط امريكا و اسرائيل صورت گرفته است.
در اين حمله پيچيده سطح بالا از سه آسيب پذيري اصلاح نشده استفاده شده است. براي پنهان ماندن اين حمله، بدافزار تنها در حافظه kernel مقيم شده است در نتيجه راه حل هاي ضد بدافزاري قادر به تشخيص آن نيستند.
اين بدافزار براي گرفتن دستورات مستقيما به يك سرور C&C متصل نشده است بلكه مهاجم فايروال ها و دروازه هاي ورودي شبكه را با نصب درايوهاي مخرب آلوده كرده و در نتيجه تمامي ترافيك شبكه خارجي به سرورهاي C&C مهاجم از طريق پروكسي منتقل شده است.
به نظر مي رسد كه بدافزار Duqu سال 2011 با Duqu سال 2015 در ارتباط است زيرا هر دو حاوي كدهاي مشترك زيادي هستند.
شركت سايمانتك اعلام كرد كه Duqu نسخه 2.0 يك ابزار سرقت اطلاعات با ويژگي هاي كامل است كه براي استفاده در دراز مدت طراحي شده است. به احتمال زياد سازندگان اين بدافزار از آن به عنوان يكي از ابزارهاي اصلي خود در كمپين هاي هوشمند جمع آوري اطلاعات استفاده مي كنند.
 

 

 
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 24 خرداد 1394

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0