Damsun Security

دولت آمريکا جاسوس افزاري به منظور سرقت داده‌هاي ذخيره شده در ديسک سخت توليد کرده است اين جاسوس افزار با استفاده از نقاط ضعف امنيتي سامانه کنترل کننده ديسک سخت مي‌تواند به کليه اطلاعات کاربران دسترسي پيدا کند.

آخرين نسخه جاسوس افزار ذکر شده توسط آزمايشگاه امنيت شرکت Kaspersky کشف شده است. از اين جاسوس افزار براي بهره برداري از اطلاعات ذخيره شده بر روي رايانه‌هاي موسسات نظامي، دولتي، شرکت‌هاي فعال در حوزه ارتباطات، انرژي هسته‌اي و بانک‌ها استفاده شده است.

جاسوس افزار مذکور در 30 کشور جهان شامل ايران، روسيه، پاکستان، افغانستان، چين، آفريقاي غربي، سوريه، يمن، الجزاير کشف شده است اما در ميان آنها تنها تعداد اندکي از سيستم‌ها که حاوي اطلاعات با ارزشي بوده‌اند آلوده گشته‌اند.

شرکت فوق از افشاي عمومي نام کشور مربوطه خودداري کرده است اما گفته مي‌شود که اين فعاليت ها به Stuxnet مربوط مي‌شود که ابزار سايبري آمريکاييست که از آن براي حمله به تجهيزات غني سازي اورانيوم استفاده مي‌شده است. گفته مي‌شود اين فناوري توسط آژانس امنيت بين المللي آمريکا ابداع شده است.

سامانه کنترل ديسک سخت از ارزش بالايي در ميان جاسوسان و هکرها برخوردار است زيرا نرم افزارهاي جاسوسي که در آنها جاسازي مي‌شود به طور خودکار همزمان با روشن شدن سيستم اجرا گشته و حذف کردن آن حتي با پاک کردن ديسک سخت نيز تقريباً غير ممکن مي‌باشد.

جاسوس افزارها بر روي اغلب ديسک‌هاي سخت شامل Western Digital ،Seagate ،Toshiba ،IBM ،Micron و Samsung قابل اجرا مي‌باشد. شرکت‌هاي Western Digital ،Seagate و Micron مي‌گويند که هيچ اطلاعاتي راجع به اين مطلب نداشتند، Samsung و IBM نيز تاکنون هيچ توضيح عمومي در اين باره ارائه نداده است.

يکي از خبره‌ترين مهاجمين سايبري گروهي به نام "Equation" مي‌باشد که به کد سامانه کنترل ديسک سخت سيستم قرباني دسترسي يافته و کنترل کامل آن از راه دور در دست مي‌گيرد. اين روش حيرت انگيزترين تکنيکي است که تا کنون در بين گروه‌هاي جاسوسي سايبري به کار رفته است.

بر اساس گزارش رويترز، آژانس امنيت ملي آمريکا گاهي توليد کنندگان تجهيزات رايانه‌اي را وادار به توليد کدهاي آسيب پذير براي اهداف جاسوسي مي‌نمايند و يا زمانيکه آژانس امنيت ملي آمريکا اقدام به بازرسي کدها از طرف پنتاگون مي‌نمايد، مي‌تواند نسخه‌اي از داده‌هاي مورد نظر را انتقال دهد. شرکت وسترن ديجيتال مي‌گويد که هرگز کدي را در اختيار آژانس قرار نداده و معلوم نيست کدام برند سازنده ديسک سخت اينکار را انجام داده است.

جاسوس افزارها علاوه بر حفره‌هاي امنيتي سايت‌ها مي‌توانند از طريق دستگاه‌ها و واسط‌هاي جانبي مانند CD براي انتشار جاسوس افزارها استفاده کنند. به عنوان نمونه، ارسال CD از طرف گروهي ناشناخته به محققي که در کنفرانسي بين المللي شرکت کرده است. اين CD حاوي 3 جاسوس افزار بود که 2 تاي آن ناشناخته بودند و مي‌توانست به اطلاعات حياتي رايانه شخص نفوذ نمايد.

روش ديگري که براي دستيابي به اينگونه اهداف جاسوسي به کار مي‌رود، بدافزار رايجي به نام Fanny مي‌باشد که در آن از 2 حفره ناشناخته که بعداً توسط بدافزار Stuxnet به کار گرفته شده، استفاده شده است.

تروجان‌ها و ديگر حملات فراگير تخريبي مشابه با نام‌هاي Equationlaser، Equationdrug، Doublefantasy، Triplefantasy و Grayfish شناخته مي‌شوند. هدف اصلي گروه Equation دسترسي به شبکه‌هاي ايزوله با بکارگيري مکانيزم کنترلي و دستورات خاص مي‌باشد که قادر است داده‌ها را از شبکه‌هاي ايزوله شده رد و بدل نمايد. بر اساس تحقيقات آزمايشگاه Kaspersky گروه مذکور از ابزارهايي کاملاً پيچيده و توسعه يافته براي ارسال جاسوس افزارها به سيستم قرباني استفاده مي‌کنند و فعاليت‌هايشان با توجه به قابليت‌هاي زير کاملاً منحصر به فرد مي‌باشد:

- پايداري و نامحسوس بودن:
تيم آناليز و تحقيقات جهاني GReAT موفق به طراحي 2 مدل گرديد که امکان برنامه ريزي مجدد سامانه کنترل ديسک‌هاي سخت شناخته شده را فراهم مي‌آورد. اين مدل اولين و يکي از قدرتمندترين ابزارهاي جاسوسي با قابليت نفوذ به ديسک سخت مي‌باشد.

گروه مذکور با برنامه نويسي مجدد سامانه کنترل ديسک سخت (به عنوان مثال نوشتن مجدد سيستم عامل ديسک سخت) به 2 هدف دست مي‌يابد:

1. زمان ماندگاري طولاني حتي با فرمت ديسک و نصب مجدد سيستم عامل.
   اگر بدافزار به سامانه کنترل ديسک سخت راه يابد مي‌تواند براي هميشه خودش را حفظ کند و از حذف سکتور خاص ديسک جلوگيري نموده و يا آن را با سکتور ديگري جايگزين نمايد.
   مسئله خطرناک ديگر، آلودگي ديسک سخت مي‌باشد، در اين شرايط پايش سامانه کنترلي ناممکن مي‌گردد و بيشتر ديسک‌هاي سخت توابعي براي نوشتن داده‌ها دارند اما هيچ تابعي براي خواندن داده‌ها ندارند. اين بدان معناست که درايوهاي آلوده به چنين بدافزارهايي قابل نمايش توسط سيستم نمي باشند.
2. قابليت ايجاد ناحيه پايدار غير محسوس در درايو ديسک سخت.
   از اين قابليت براي استخراج داده‌ها و همچنين شکستن قفل استفاده مي‌شود. با ورود به اکانت کاربري و با اطمينان از اينکه جاسوس افزار مورد نظر با شروع مجدد سيستم فعال شده است، دستيابي به کلمه رمز و نگهداري آن در جايگاه پنهاني امکان‌پذير خواهد بود.

- قابليت سرقت اطلاعات از شبکه هاي ايزوله:
شيوه استفاده از بدافزار Fanny توسط گروه Equationمتفاوت از کارکرد تعريف شده آن مي‌باشد. هدف اصلي استفاده از اين بدافزار دسترسي به شبکه‌هاي ايزوله و کشف توپولوژي آنها براي دستيابي به داده‌ها و ارسال آنها به خارج از شبکه‌هاي مذکور مي‌باشد. آسيب پذيري Fanny در جولاي 2008 توليد و در دسامبر 2008 شناسايي گرديد. در برخي موارد از USB براي قرار دادن دستورات در آن و نفوذ به سيستم‌هاي ايزوله که به بدافزار مذکور آلوده گرديده، استفاده مي‌شود. هنگاميکه USB به کامپيوتر ايزوله متصل مي‌گردد بدافزار فوق دستورات را تشخيص و آنها را اجرا مي‌نمايد.

- استفاده از روش‌هاي کلاسيک براي ارسال بدافزار
مهاجمين از ابزارهاي موجود متداول چه از طريق وب و چه از طريق دنياي فيزيکي براي آلوده‌سازي سيستم‌هاي مورد هدف استفاده مي‌کنند. دسترسي به اين هدف با جايگزين نمودن ابزارهاي فيزيکي با نسخه‌هاي ويروسي و آلوده امکان‌پذير مي‌باشد.

آزمايشگاه امنيت Kaspersky هفت گونه آسيب پذيري در جاسوس افزارهاي مورد استفاده گروه Equation کشف نموده است که 4 تاي آن ناشناخته بوده و در firefox17 و جستجوگر Tor بکار مي‌رفته است. گروه مذکور در مراحل نفوذ قادر به استفاده از 10 نوع آسيب پذيري مي‌باشند. اگر هر کدام از آسيب پذيري‌ها ناموفق بود، آسيب پذيري‌هاي بعدي تست مي‌شوند و اگر همه آنها با شکست مواجه شد نفوذ به سيستم مورد نظر لغو مي‌گردد. بسياري از اين حملات با فناوري جلوگيري بهره برداري خودکار Automatic Exploit Prevention شناسايي و متوقف مي‌گردد.

منابع: