Damsun Security

چندين سوال کليدي درباره اهداف پشت پرده حملات سايبري به سرورهاي آزمايشگاه امنيت شرکت Kaspersky، شرکاي بين المللي در مذاکرات هسته‌اي و ساير شرکت‌هاي بزرگ مطرح مي‌باشد.
اخيراً آزمايشگاه امنيت Kaspersky اعلام کرد که توسط گروهي از مهاجمان سايبري مورد حمله قرار گرفته است. ظاهراً هدف مهاجمان آگاهي از پ‍ژوهش‌هاي انجام شده توسط اين آزمايشگاه و جديدترين فناوري‌هاي بدست آمده در خنثي کردن حملات مربوط به تعاملات سياسي و امنيتي توسط مهاجمان بوده است.
اگرچه بررسي و تحليل عميقي از کد و تأثيرات تخريبي با استفاده از بد افزار Duqu 2.0 وجود دارد، اما همچنان ابهامات کليدي اندکي وجود دارد که آزمايشگاه امنيت Kaspersky و ديگر متخصصين امنيت جوابي براي آن پيدا نکرده‌اند هر چند که انگشت اتهام به سمت اسرائيل نشانه رفته است اما اين مهم هنوز توسط پژوهشگران تأييد نشده است.

در کنار پاسخ‌هاي ارائه شده پرسش‌هاي بزرگ بي‌پاسخ ديگري نيز درباره کمپين جاسوسي سايبري وجود دارد:

پرسش اول: آيا شرکت‌هاي امنيتي ديگر نيز در کنار آزمايشگاه امنيت Kaspersky مورد حمله قرار گرفته‌اند؟

شرکت‌هاي Symantec ،Fire Eye و TrendMicro همگي به سايت خبري Dark Reading اعلام کردند که مورد حمله Duqu2.0 قرار نگرفته‌اند و همچنين هيچ شرکت تأمين کننده امنيت ديگري نيز خبري از چنين حملات گزارش نکرده‌اند. اما با توجه به شيوه حملات Duqu 2.0 که در حافظه اجرا و پس از شروع مجدد سيستم ناپديد مي‌شود، چگونه مي‌توان مطمئن بود که شرکت‌هاي مذکور حقيقتاً از چنين حملاتي مصون بوده‌اند؟!
آگن کسپرسکي مي‌گويد: "تقريباً به علت نبود فايل بر روي ديسک، عدم تغيير در رجيستري و يا موارد ديگر، امکان تشخيص نفوذ به سيستم ممکن نمي‌باشد." او همچنين اضافه کرد که چندين ماه طول کشيد تا محققين متوجه اثر مشکوکي شدند و تحقيقاتشان را براي دستيابي به راه حل مناسب آغاز نمودند.
کورت بامگارتنر، رييس آزمايشگاه امنيت Kaspersky که شاخص شناسايي حملات را کشف نموده است مي‌گويد: "مطمئناً قرباني‌هاي ديگري براي اين حملات وجود دارد و بدون شک اين بدافزارها گستره جغرافيايي وسيعتر و هدف‌هاي بيشتري را مورد حمله قرار داده است. او همچنين اعلام کرد که: "با توجه به اطلاعاتي که آزمايشگاه امنيت Kasper بدست آورده، از Duqu2.0 براي جاسوسي و دست‌يابي به پيچيده‌ترين اهداف سياسي منطقه‌اي استفاده شده است."

پرسش دوم: از چه نوع آسيب zero–day در اولين مرحله نفوذ به Kaspersky استفاده شده است؟

پژوهشگران آزمايشگاه امنيت Kaspersky قادر به شناسايي 2 آسيب پذيري zero-day از سه آسيب پذيري که در حملات Duqu2.0 مورد بهره برداري قرار گرفته است، شده‌اند. پژوهشگران آزمايشگاه امنيت Kaspersky اعلام داشتند که همچنان در حال بررسي براي شناسايي و کشف آسيب پذيري‌هاي ديگري که در سيستم قرباني مورد استفاده قرار گرفته است، مي‌باشند. قرباني اوليه اين حملات به شرکت Kaspersky، کارمندي در منطقه Asia Pasific بوده که توسط حمله فيشينگ مورد نفوذ قرار گرفته بود.
بامگارتنر اعلام کرد که حمله مذکور از آسيب پذيري CVE-2014-4148 بهره برداري مي‌کند. اين آسيب پذيري امکان دسترسي به kernel سيستم عامل را با استفاده از اسناد Word براي مهاجمان فراهم مي‌کند، اما جزييات مولفه اصلي حملات هنوز مشخص نمي‌باشد.

ويکرام تاکور مدير ارشد بخش امنيت شرکت Symantec مي‌گويد: "بزرگترين مشکلي که وجود دارد آنست که هنوز مولفه اصلي نفوذ Duqu 2.0 شناخته شده نيست. ما همچنان در حال بررسي نحوه نفوذ به کاربران هستيم."

پرسش سوم: مهاجمان دقيقاً چه اطلاعاتي را به سرقت مي‌برند؟

بر اساس اعلام نظر آگن کسپرسکي، اطلاعات دقيقي از اهداف مهاجمان Duqu 2.0 در اين حملات و اينکه آنها دقيقاً دنبال چه چيزي هستند در دسترس نمي‌باشد.
تاکور مي‌گويد نکته‌اي که بيش از هرچيز در مورد Duqu 2.0 برجسته است، توانايي آن در ورود به سيستم و ناپديد شدن مي‌باشد. اين آسيب پذيري هيچگونه فايلي در کامپيوتر يا فايل‌هاي سيستم باقي نمي‌گذارد و با شروع مجدد سيستم ناپديد مي‌شود. او همچنين مي‌گويد: "مهاجمان اينکار را با برنامه از پيش تعيين شده انجام داده‌اند به گونه‌اي که مي‌توانند اطلاعات مورد نياز را در زمان روشن بودن و حتي هنگام خاموشي ماشين به سرقت ببرند.
تاکور مي‌گويد تيم امنيتي شرکت در حال بررسي و تحليل ماژول‌هاي بدافزار Duqu 2.0 مي‌باشد تا به نحوه نفوذ مهاجمان به سيستم قرباني پي ببرند.
متخصصان امنيت اعلام مي‌دارند با توجه به نحوه عملکرد بدافزار Duqu 2.0، آزمايشگاه امنيت Kaspersky و ديگر قرباني‌ها نمي‌توانند به طور دقيق بگويند که چه اطلاعاتي به سرقت رفته است، حتي ممکن است قادر به تشخيص تمامي داده‌هاي به سرقت رفته و سيستم‌هاي آسيب ديده نباشند.
گاتام آگاروال رييس بازرگاني شرکت Dynamics Bay مي‌گويد که احتمالاً مهاجمان در حال جستجوي آسيب‌پذيري در محصولات امنيتي APT (Advanced Persistent threat) شرکت Kaspersky مي‌باشند. طبق گفته مديران شرکت، واقعيتي که حمله سايبري Duqu 2.0 در خاطره ثبت مي‌کند آنست که، چون هيچ فايلي در سطح ديسک ايجاد و يا تغيير داده نمي‌شود تقريباً شناسايي Duqu 2.0 را غير ممکن مي‌سازد.
به محض اينکه مهاجمان از آسيب‌پذيري‌هاي موجود در محصولات و راهکارهاي امنيتي شرکت Kaspersky آگاهي پيدا کنند، امکان نفوذ و بهره برداري از اطلاعات کاربر ممکن مي‌شود.
به دليل نقش اصلي آزمايشگاه امنيت Kaspersky در حل مخاطرات ناشي از حمله مهاجمان در سال 2011، شرکت Kaspersky مورد هدف حملات بعدي مهاجمان قرار گرفت. به نظر مي‌رسد که تيم مهاجمان APT از آزمايشگاه امنيت Kaspersky به عنوان نقطه آغاز حمله Duqu 2.0 با نفوذ در سيستم دفاعي، استفاده مي‌کرده است. او همچنين معتقد است که آزمايشگاه Kaspersky براي شروع اين حملات در نظر گرفته شده بوده و انتظار مي‌رود موسسات ديگري نيز هدف حملات بعدي آنها باشد.

پرسش چهارم: ماژول‌هاي مبهم که به نظر مي‌رسد نشاني از ICS/SCADA داشته باشد کدامند؟

کاستين رايو مدير تيم آناليز و تحقيقات آزمايشگاه امنيت Kaspersky تصاويري از نام فايل‌هاي موجود در يکي از ماژول‌هاي Duqu 2.0 را منتشر نمود و از کاربران خواست در صورت مشاهده اين فايل‌ها و مسيرهاي مرتبط توسط ماژول‌هاي Duqu 2، آزمايشگاه امنيت را در جريان امر قرار دهند. محققان در حال بررسي نمونه‌هاي موجود مي‌باشند. در روند بررسي‌هاي مربوطه نام “HMI” در فايل‌ها مشاهده مي‌شود که مي‌تواند نشاني از ارتباطات با سيستم ICS/SCADA باشد. “HMI” مخفف human-machine interface، به معني واسطه بين انسان و ماشين در بخش محصولات صنعتي مي‌باشد.