افشای بی‌ سابقه‌ترین حمله سایبری جهان

موفقیت این حملات که حتی سازمانای تحقیقاتی و موسسات نظامی رو هم شامل می شه، بیان کننده ضعف جدی در حفاظت سایبری از زیرساختای رایانه ای در سراسر دنیا هستش.

حملات یاد شده از شش سال قبل شروع شده بود و واسه این کار از بدافزار پیچیده و به دقت طراحی شده ای به خاطر سرقت اطلاعات استفاده کرده شد. کاسپراسکای بررسی این حملات رو به شکل عملیاتی موسوم به اکتبر قرمز از اکتبر سال ۲۰۱۲ شروع کرد.

محققان شرکت امنیتی روسی کاسپراسکای که این حملات رو کشف کردن می گن بررسی فنی اسناد موجود و همین طور اسامی دامنه ای که به همین منظور ثبت شدن نشون میده این حملات از ماه می سال ۲۰۰۷ شروع شدن.

از جمله نهادهایی که در سراسر جهان مورد حمله قرار گرفتن میشه به سفارتخانه ها، نهادهای دولتی، تاسیسات نظامی، موسسات تحقیقات هسته ای و هوا- فضا، شرکتای نفت و گاز و دیگه موسسات مهم و حساس در ده ها کشور جهان اشاره کرد.

به دنبال این حملات صدها رایانه در نقاط جور واجور دنیا به بدافزار عامل این حمله آلوده شدن. بخش بزرگ سازمانای آلوده شده به این بدافزار از جمهوریای شوروی قبلی هستن. از جمله این کشورها میشه به روسیه، اوکراین، بلاروس، قزاقستان، قرقیزستان، تاجیکستان، ترکمنستان، ارمنستان و آذربایجان اشاره کرد.

البته قربانیان این حملات فقط محدود به کشورای یاد شده نبوده و کشورای دیگری مانند ایران، افغانستان، آمریکا، برزیل، هند، بلژیک،فرانسه، آفریقای جنوبی، ترکیه، پاکستان، سوییس، آلمان، ایتالیا، یونان و … رو در بر می گیرن. تا الان موردی از آلودگی به بدافزار یاد شده در چین شناسایی نشده.

تعداد کل کشورای مورد حمله ۳۹ کشوره که روسیه و قزاقستان از نظر شدت حملات درصدر هستن و ایران هم از جمله کشورهاییه که اندازه حمله و آلودگی اون در سطح متوسطه.

کارشناسان کاسپراسکای می گن که هدف اصلی از اجرای این عملیات سرقت اطلاعات طبقه بندی شده ای بوده که کاربرده های ژئوپلتیک داره. هنوز مدرکی در دست نیس که نشون بده یه دولت پشتیبان اجرایی این خرابکاری سایبری باشه، اما حجم بالای اطلاعات سرقت شده و گستردگی دامنه عملیات این گمانه زنی رو تقویت می کنه. هم اینکه ممکنه این اطلاعات با هدف فروخته شده به یه دولت سرقت گردیده باشه.

واسه آلوده کردن رایانه ها در جریان این حملات از راه قدیمی ارسال ایمیلای دارای ضمائم آلوده استفاده شده. این ایمیلا شامل ضمائمی بودن که در ظاهر فایلای word و Excel مایکروسافت بودن، اما در صورت بارگذاری و اجرا بدافزار دزد رو روی رایانه ها نصب می کردن.

بررسیای اولیه نشون میده زبون رایانه هایی که این بدافزار روی اونا طراحی شده چینی بوده، البته این به معنی مقصر بودن چین در این مورد نیس و چه بسا فردی که دست به این کار زده واسه رد گم کردن و منحرف کردن کارشناسان امنیتی دست به اینجور کاری زده. کارشناسان کاسپراسکای فکر می کنند دلایل محکمی هست که نشون میده این بدافزار ممکنه در کشورای روس زبون طراحی شده باشه.

هر چند بدافزاری که واسه سرقت اطلاعات در این حمله مورد استفاده قرار گرفته، بدافزاری قدیمی و به روز شده، اما بعضی ضدویروسا قادر به شناسایی اون نیستن و همین موضوع زمینه رو واسه نفوذ و خرابکاری گسترده این بدافزار آماده کرده.

بدافزار نامبرده پس از نصب روی رایانه ها قادر به بارگذاری و اجرای ماژولای رمزگذاری شده جدیدیه که هر کدوم از اونا کارکردهای خاصی دارن. بیشتر از ۱۰۰۰ ماژول که با همین هدف طراحی شدن تا الان از طرف کارشناسان امنیتی کاسپراسکای شناسایی شدن.

این بدافزار نه فقط اطلاعات موجود در رایانه های آلوده شده رو سرقت می کنه، بلکه در صورت اتصال حافظه های فلاش می تونه اطلاعات اونا رو هم سرقت کنه.  دسترسی به گذشته به کار گیری مرورگر ، اطلاعات FTP و ایمیلا از جمله کارکردهای داغون کننده این بدافزاره.

از جمله اقدامات این بدافزار که تا الان شناسایی شده میشه به بازیابی فایلای پاک شده از هارد رایانه ها و حافظه های فلاش، بارگذاری فهرست تماسای کاربر، سوابق تماس ایشون، اطلاعات درج شده در تقویم الکترونیک، پیامکای ویندوز موبایل، آیفون و نوکیا، سرقت ایمیلا از اوت لوک و سرورهای IMAP/POP3، جفت و جور عکس از نمایشگر و سرقت کلمات عبور از راه بررسی کارکرد صفحه کلید اشاره کرد.

یکی از ماژولای جانبی که بوسیله این بدافزار فعال می شه می تونه شبکه وصل به یه رایانه آلوده شده رو اسکن کرده و آسیب پذیریای احتمالی رو شناسایی کنه. بارگذاری اطلاعات پیکربندی روترها، دسترسی به سرورهای محلی FTP و در آخر سرقت اطلاعات ذخیره شده در سرورها از جمله دیگه کارکردهای این ماژوله.

این بدافزار طیف خیلی از فایلا با پسوند txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr  و acidssa. رو مورد هدف قرار میده.

این وسط هدف گرفتن فایلای دارای پسوند acidتوسط این بدافزار باحال تودجهه. این پسوند مربوط به فایلای تولید شده بوسیله یه نرم افزار موسوم به Acid Cryptofiler واسه طبقه بندی اطلاعات محرمانه س. نرم افزار نامبرده به طور گسترده بوسیله اتحادیه اروپا و ناتو استفاده میشن.

نکته نگران کننده موندگاری شش ساله این حمله و نگرانی از مخفی موندن دیگه ابعاد نامعلوم اون هستش. مدیران کاسپراسکای می گن این حمله سایبری از همه حملات سایبری دیگری که در طول تاریخ اتفاق افتاده خطرناک تر، گسترده تر و سخت تر بوده. این شرکت بیشتر از ۶۰ دامنه رو شناسایی کرده که از اونا واسه کنترل و هدایت حملات یاد شده استفاده شده.

سرورهای این دامنه ها در روسیه، آلمان و چند کشور دیگه واقعه.