افشای بیسابقهترین حمله سایبری به 39 کشور/ «اکتبر قرمز» از «می 2007»
ه.کرهای ناشناس با حمله به صدها نهاد دیپلماتیک و دولتی در سراسر جهان موفق به سرقت حجم قابل توجهی از اسناد حساس شده اند.
به گزارش فارس به نقل از آی دی جی، موفقیت این حملات که حتی سازمان های تحقیقاتی و موسسات نظامی را نیز شامل می شود، نشانگر ضعف جدی در حفاظت سایبری از زیرساخت های رایانه ای در سراسر دنیا است.
حملات یاد شده از شش سال قبل آغاز شده بود و برای این کار از بدافزار پیچیده و به دقت طراحی شده ای به منظور سرقت اطلاعات بهره گرفته شد. کاسپراسکای بررسی این حملات را در قالب عملیاتی موسوم به اکتبر قرمز از اکتبر سال 2012 آغاز کرد.
محققان شرکت امنیتی روسی کاسپراسکای که این حملات را کشف کرده اند می گویند بررسی فنی اسناد موجود و همین طور اسامی دامنه ای که به همین منظور ثبت شده اند نشان می دهد این حملات از ماه می سال 2007 آغاز شده اند.
از جمله نهادهایی که در سراسر جهان مورد حمله قرار گرفته اند می توان به سفارتخانه ها، نهادهای دولتی، تاسیسات نظامی، موسسات تحقیقات هسته ای و هوا- فضا، شرکت های نفت و گاز و دیگر موسسات مهم و حساس در دهها کشور جهان اشاره کرد.
به دنبال این حملات صدها رایانه در نقاط مختلف دنیا به بدافزار عامل این حمله آلوده شده اند. بخش اعظم سازمان های آلوده شده به این بدافزار از جمهوری های شوروی سابق هستند. از جمله این کشورها می توان به روسیه، اوکراین، بلاروس، قزاقستان، قرقیزستان، تاجیکستان، ترکمنستان، ارمنستان و آذربایجان اشاره کرد.
البته قربانیان این حملات صرفا محدود به کشورهای یاد شده نبوده و کشورهای دیگری مانند ایران، افغانستان، آمریکا، برزیل، هند، بلژیک،فرانسه، آفریقای جنوبی، ترکیه، پاکستان، سوییس، آلمان، ایتالیا، یونان و ... را در بر می گیرند. تاکنون موردی از آلودگی به بدافزار یاد شده در چین شناسایی نشده است.
تعداد کل کشورهای مورد حمله 39 کشور است که روسیه و قزاقستان از نظر شدت حملات درصدر هستند و ایران نیز از جمله کشورهایی است که میزان حمله و آلودگی آن در سطح متوسط می باشد.
کارشناسان کاسپراسکای بر این باورند که هدف اصلی از اجرای این عملیات سرقت اطلاعات طبقه بندی شده ای بوده که کاربردهای ژئوپلتیک دارد. هنوز مدرکی در دست نیست که نشان دهد یک دولت پشتیبان اجرایی این خرابکاری سایبری باشد، اما حجم بالای اطلاعات سرقت شده و گستردگی دامنه عملیات این گمانه زنی را تقویت می کند. همچنین ممکن است این اطلاعات با هدف فروخته شده به یک دولت سرقت گردیده باشد.
برای آلوده کردن رایانه ها در جریان این حملات از روش قدیمی ارسال ایمیل های دارای ضمائم آلوده استفاده شده است. این ایمیل ها حاوی ضمائمی بوده اند که در ظاهر فایل های word و Excel مایکروسافت بوده اند، اما در صورت بارگذاری و اجرا بدافزار سارق را بر روی رایانه ها نصب می کردند.
بررسی های اولیه نشان می دهد زبان رایانه هایی که این بدافزار بر روی آنها طراحی شده چینی بوده، البته این امر به معنای مقصر بودن چین در این زمینه نیست و چه بسا فردی که دست به این کار زده برای رد گم کردن و منحرف کردن کارشناسان امنیتی دست به چنین کاری زده است. کارشناسان کاسپراسکای معتقدند دلایل محکمی وجود دارد که نشان می دهد این بدافزار ممکن است در کشورهای روس زبان طراحی شده باشد.
اگر چه بدافزاری که برای سرقت اطلاعات در این حمله مورد استفاده قرار گرفته، بدافزاری قدیمی و به روز شده است، اما برخی ضدویروس ها قادر به شناسایی آن نیستند و همین مساله زمینه را برای نفوذ و خرابکاری گسترده این بدافزار آماده کرده است.
بدافزار مذکور پس از نصب بر روی رایانه ها قادر به بارگذاری و اجرای ماژول های رمزگذاری شده جدیدی است که هر یک از انها کارکردهای خاصی دارند. بیش از 1000 ماژول که با همین هدف طراحی شده اند تاکنون از سوی کارشناسان امنیتی کاسپراسکای شناسایی شده اند.
این بدافزار نه تنها اطلاعات موجود در رایانه های آلوده شده را سرقت می کند، بلکه در صورت اتصال حافظه های فلاش می تواند اطلاعات آنها را هم سرقت کند. دسترسی به تاریخچه استفاده از مرورگر ، اطلاعات FTP و ایمیل ها از جمله کارکردهای مخرب این بدافزار است.
از جمله اقدامات این بدافزار که تاکنون شناسایی شده می توان به بازیابی فایل های پاک شده از هارد رایانه ها و حافظه های فلاش، بارگذاری فهرست تماس های کاربر، سوابق تماس وی، اطلاعات درج شده در تقویم الکترونیک، پیامک های ویندوز موبایل، آیفون و نوکیا، سرقت ایمیل ها از اوت لوک و سرورهای IMAP/POP3، تهیه عکس از نمایشگر و سرقت کلمات عبور از طریق بررسی عملکرد صفحه کلید اشاره کرد.
یکی از ماژول های جانبی که توسط این بدافزار فعال می شود می تواند شبکه متصل به یک رایانه آلوده شده را اسکن کرده و آسیب پذیری های احتمالی را شناسایی کند. بارگذاری اطلاعات پیکربندی روترها، دسترسی به سرورهای محلی FTP و در نهایت سرقت اطلاعات ذخیره شده در سرورها از جمله دیگر کارکردهای این ماژول است.
این بدافزار طیف گسترده ای از فایل ها با پسوند txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr و acidssa. را مورد هدف قرار می دهد.
در این میان هدف گرفتن فایل های دارای پسوند acidتوسط این بدافزار در نوع خود جالب تودجه است. این پسوند مربوط به فایل های تولید شده توسط یک نرم افزار موسوم به Acid Cryptofiler برای طبقه بندی اطلاعات محرمانه است. نرم افزار مذکور به طور گسترده توسط اتحادیه اروپا و ناتو مورد استفاده قرار می گیرد.
نکته نگران کننده تداوم شش ساله این حمله و نگرانی از مخفی ماندن دیگر ابعاد نامکشوف آن است. مدیران کاسپراسکای می گویند این حمله سایبری از تمامی حملات سایبری دیگری که در طول تاریخ رخ داده خطرناک تر، گسترده تر و پیچیده تر بوده است. این شرکت بیش از 60 دامنه را شناسایی کرده که از آنها برای کنترل و هدایت حملات یاد شده استفاده شده است.
سرورهای این دامنه ها در روسیه، آلمان و چند کشور دیگر واقع است.
