‫ كشف پيشرفته‌ترين جاسوس‌افزار تاريخ

شماره: IRCNE2015022427
تاريخ: 29/11/93
 
يك گروه جاسوسي سايبري با مجموعه ابزاري مشابه ابزارهاي مورد استفاده توسط آژانس‌هاي امنيتي ايالات متحده، به مؤسسات كليدي در كشورهاي مختلف از جمله ايران و روسيه نفوذ كرده است.
روز دوشنبه كسپراسكاي گزارشي ارائه كرد كه بر اساس آن، اين ابزارها توسط گروه Equation ايجاد شده است كه به نظر مي‌آيد ارتباطي با آژانس امنيت ملي ايالات متحده دارد.
ابزارها، كدهاي سوء استفاده كننده و بدافزارهاي مورد استفاده توسط اين گروه، تشابه‌هاي زيادي با تكنيك‌هاي شرح داده شده در اسناد فوق سري آژانس امنيت ملي ايالات متحده كه در سال 2013 نشت يافت دارد.
كشورهايي كه بيشتر هدف Equation قرار گرفته‌اند عبارتند از ايران، روسيه، پاكستان، افغانستان، هند و چين. اهداف Equation در اين كشورها شامل مؤسسات نظامي، مخابراتي، هوا و فضا، انرژي، تحقيقات هسته‌اي، نفت و گاز، نانوتكنولوژي، مؤسات مالي، شركت‌هاي توليد كننده تكنولوژي‌هاي رمزنگاري، سفارتخانه‌ها، مؤسسات دولتي، مؤسسات تحقيقاتي و پژوهشگاه‌هاي اسلامي مي‌باشد.
يافته تكان دهنده كسپراسكاي اين است كه Equation قابليت آلوده كردن سفت‌افزار يك درايو سخت يا كد سطح پاييني كه نقش واسط بين سخت‌افزار و نرم‌افزار را بازي مي‌كند را داراست.
اين بدافزار سفت‌افزار درايو سخت را برنامه‌ريزي مجدد مي‌كند و سكتورهاي پنهاني روي درايو ايجاد مي‌كند كه فقط مي‌توانند از طريق يك API سري مورد دسترسي قرار گيرند. حذف اين بدافزار پس از نصب غيرممكن است، فرمت كردن ديسك و نصب مجدد سيستم عامل هيچ تأثيري بر روي آن ندارد و سكتورهاي پنهان همچنان باقي مي‌مانند.
مدير گروه تحقيق و تحليل جهاني كسپراسكاي (كاستين رايو) اظهار كرد: «ما به لحاظ تئوري از اين امكان آگاهي داشتيم، ولي اين تنها موردي است كه مشاهده شده است كه يك مهاجم، چنين قابليت پيشرفته وحشتناكي در اختيار دارد».
درايوهاي ساخته شده توسط سي‌گيت، وسترن ديجيتال، هيتاچي، سامسونگ، آي‌بي‌ام، ميكرون و توشيبا مي‌توانند توسط دو پلتفورم بدافزار Equation يعني Equationdrug و Grayfish دستكاري گردند.
بنا بر اين گزارش، Equation دانشي از اين درايوها در اختيار دارد كه بسيار بيشتر از اسناد عمومي منتشر شده توسط توليد كنندگان آنها است.
Equation مجموعه دستورات ATA يكتاي مورد استفاده توسط توليد كنندگان درايوهاي سخت را براي فرمت كردن محصولات آنها مي‌داند. اغلب دستورات ATA عمومي هستند، چرا كه از استانداردي استفاده مي‌كنند كه اين اطمينان را ايجاد مي‌كند كه درايو سخت با هر نوع كامپيوتري سازگار است. اما دستورات ATA ي غير مستندي وجود دارند كه توسط توليد كنندگان براي اعمالي مانند ذخيره‌سازي داخلي و تصحيح خطا به كار مي‌روند. در حقيقت، آنها يك سيستم عامل بسته هستند. دستيابي به چنين كدهاي ATA، نيازمند دسترسي به اين اسناد است كه هزينه زيادي در بر دارد. احتمال اينكه كسي بتواند با استفاده از اطلاعات عمومي، سيستم عامل درايو سخت را بازنويسي كند تقريباً صفر است.
بنا بر اظهارات رايو، قابليت برنامه‌ريزي مجدد سفت‌افزار فقط يك مدل درايو سخت به طرز باورنكردني پيچيده است. اما دارا بودن چنين قابليتي براي انواع زيادي از درايوها از توليدكنندگان مختلف تقريباً غيرممكن است.
به نظر مي‌رسد كه Equation بسيار بسيار جلوتر از صنعت امنيت است. تشخيص اين نوع نفوذ تقريباً غيرممكن است. پاك كردن كامل درايو يا تعويض سفت‌افزار آن نيز چندان مفيد نيست، چرا كه برخي از انواع ماژول‌ها در برخي سفت‌افزارها دائمي هستند و نمي‌توانند مجدداً فرمت گردند.
بر اساس گزارش كسپراسكاي، در طي تحقيقات تنها قربانيان كمي كه هدف اين بدافزار قرار گرفته بودند شناسايي شدند. اين نشان مي‌دهد كه اين بدافزار احتمالاً براي با ارزش‌ترين قربانيان و يا براي شرايط بسيار غيرمعمول در نظر گرفته شده است.
به گفته كسپراسكاي اين تهديد از حدود 20 سال پيش فعال بوده است و از لحاظ پيچيدگي تكنيك، بر تمام تهديدات شناخته شده برتري دارد. اين گروه از هر لحاظي يكتا است. آنها از ابزارهايي براي آلوده كردن قربانيان، بازيابي داده‌ها و پنهان كردن فعاليت‌هاي خود استفاده مي‌كنند كه توسعه آنها بسيار پيچيده و گران است.
به گزارش كسپراسكاي، اين گروه به استاكس‌نت وابستگي دارد. سازندگان اين جاسوس‌افزار بايد به كد منبع درايوهاي سخت آلوده دسترسي داشته باشند. چنين كدي مي‌تواند آسيب‌پذيري‌هايي را نشان دهد كه توسط نويسندگان اين نرم‌افزار مخرب مورد استفاده قرار گرفته‌اند.
يك سخنگوي وسترن ديجيتال اعلام كرد كه اين شركت كد منبع خود را در اختيار آژانس‌هاي دولتي قرار نداده است. يك سخنگوي سي‌گيت نيز گفت كه اين شركت معيارهاي امنيتي را براي محافظت در برابر نفوذ و يا مهندسي معكوس سفت‌افزار درايوهاي سخت خود در نظر مي‌گيرد.

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 29 بهمن 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0