توليد جاسوس افزار نفوذگر به سامانه کنترل ديسک سخت توسط دولت آمريکا

Closeup of an open computer hard drive

دولت آمريکا جاسوس افزاری به منظور سرقت داده‌های ذخيره شده در ديسک سخت توليد کرده است اين جاسوس افزار با استفاده از نقاط ضعف امنيتی سامانه کنترل کننده ديسک سخت می‌تواند به کليه اطلاعات کاربران دسترسی پيدا کند.

آخرين نسخه جاسوس افزار ذکر شده توسط آزمايشگاه امنيت شرکت Kaspersky کشف شده است. از اين جاسوس افزار برای بهره برداری از اطلاعات ذخيره شده بر روی رايانه‌های موسسات نظامی، دولتی، شرکت‌های فعال در حوزه ارتباطات، انرژی هسته‌ای و بانک‌ها استفاده شده است.

جاسوس افزار مذکور در 30 کشور جهان شامل ايران، روسيه، پاکستان، افغانستان، چين، آفريقای غربی، سوريه، يمن، الجزاير کشف شده است اما در ميان آنها تنها تعداد اندکی از سيستم‌ها که حاوی اطلاعات با ارزشی بوده‌اند آلوده گشته‌اند.

شرکت فوق از افشای عمومی نام کشور مربوطه خودداری کرده است اما گفته می‌شود که اين فعاليت ها به Stuxnet مربوط می‌شود که ابزار سايبری آمريکاييست که از آن برای حمله به تجهيزات غنی سازی اورانيوم استفاده می‌شده است. گفته می‌شود اين فناوری توسط آژانس امنيت بين المللی آمريکا ابداع شده است.

سامانه کنترل ديسک سخت از ارزش بالايی در ميان جاسوسان و هکرها برخوردار است زيرا نرم افزارهای جاسوسی که در آنها جاسازی می‌شود به طور خودکار همزمان با روشن شدن سيستم اجرا گشته و حذف کردن آن حتی با پاک کردن ديسک سخت نيز تقريباً غير ممکن می‌باشد.

جاسوس افزارها بر روی اغلب ديسک‌های سخت شامل Western Digital ،Seagate ،Toshiba ،IBM ،Micron و Samsung قابل اجرا می‌باشد. شرکت‌های Western Digital ،Seagate و Micron می‌گويند که هيچ اطلاعاتی راجع به اين مطلب نداشتند، Samsung و IBM نيز تاکنون هيچ توضيح عمومی در اين باره ارائه نداده است.

يکی از خبره‌ترين مهاجمين سايبری گروهی به نام "Equation" می‌باشد که به کد سامانه کنترل ديسک سخت سيستم قربانی دسترسی يافته و کنترل کامل آن از راه دور در دست می‌گيرد. اين روش حيرت انگيزترين تکنيکی است که تا کنون در بين گروه‌های جاسوسی سايبری به کار رفته است.

بر اساس گزارش رويترز، آژانس امنيت ملی آمريکا گاهی توليد کنندگان تجهيزات رايانه‌ای را وادار به توليد کدهای آسيب پذير برای اهداف جاسوسی می‌نمايند و يا زمانيکه آژانس امنيت ملی آمريکا اقدام به بازرسی کدها از طرف پنتاگون می‌نمايد، می‌تواند نسخه‌ای از داده‌های مورد نظر را انتقال دهد. شرکت وسترن ديجيتال می‌گويد که هرگز کدی را در اختيار آژانس قرار نداده و معلوم نيست کدام برند سازنده ديسک سخت اينکار را انجام داده است.

جاسوس افزارها علاوه بر حفره‌های امنيتی سايت‌ها می‌توانند از طريق دستگاه‌ها و واسط‌های جانبی مانند CD برای انتشار جاسوس افزارها استفاده کنند. به عنوان نمونه، ارسال CD از طرف گروهی ناشناخته به محققی که در کنفرانسی بين المللی شرکت کرده است. اين CD حاوی 3 جاسوس افزار بود که 2 تای آن ناشناخته بودند و می‌توانست به اطلاعات حياتی رايانه شخص نفوذ نمايد.

روش ديگری که برای دستيابی به اينگونه اهداف جاسوسی به کار می‌رود، بدافزار رايجی به نام Fanny می‌باشد که در آن از 2 حفره ناشناخته که بعداً توسط بدافزار Stuxnet به کار گرفته شده، استفاده شده است.

تروجان‌ها و ديگر حملات فراگير تخريبی مشابه با نام‌های Equationlaser، Equationdrug، Doublefantasy، Triplefantasy و Grayfish شناخته می‌شوند. هدف اصلی گروه Equation دسترسی به شبکه‌های ايزوله با بکارگيری مکانيزم کنترلی و دستورات خاص می‌باشد که قادر است داده‌ها را از شبکه‌های ايزوله شده رد و بدل نمايد. بر اساس تحقيقات آزمايشگاه Kaspersky گروه مذکور از ابزارهايی کاملاً پيچيده و توسعه يافته برای ارسال جاسوس افزارها به سيستم قربانی استفاده می‌کنند و فعاليت‌هايشان با توجه به قابليت‌های زير کاملاً منحصر به فرد می‌باشد:

- پايداری و نامحسوس بودن:
تيم آناليز و تحقيقات جهانی GReAT موفق به طراحی 2 مدل گرديد که امکان برنامه ريزی مجدد سامانه کنترل ديسک‌های سخت شناخته شده را فراهم می‌آورد. اين مدل اولين و يکی از قدرتمندترين ابزارهای جاسوسی با قابليت نفوذ به ديسک سخت می‌باشد.

گروه مذکور با برنامه نويسی مجدد سامانه کنترل ديسک سخت (به عنوان مثال نوشتن مجدد سيستم عامل ديسک سخت) به 2 هدف دست می‌يابد:

  1. زمان ماندگاری طولانی حتی با فرمت ديسک و نصب مجدد سيستم عامل.
    اگر بدافزار به سامانه کنترل ديسک سخت راه يابد می‌تواند برای هميشه خودش را حفظ کند و از حذف سکتور خاص ديسک جلوگيری نموده و يا آن را با سکتور ديگری جايگزين نمايد.
    مسئله خطرناک ديگر، آلودگی ديسک سخت می‌باشد، در اين شرايط پايش سامانه کنترلی ناممکن می‌گردد و بيشتر ديسک‌های سخت توابعی برای نوشتن داده‌ها دارند اما هيچ تابعی برای خواندن داده‌ها ندارند. اين بدان معناست که درايوهای آلوده به چنين بدافزارهايی قابل نمايش توسط سيستم نمی باشند.
  2. قابليت ايجاد ناحيه پايدار غير محسوس در درايو ديسک سخت.
    از اين قابليت برای استخراج داده‌ها و همچنين شکستن قفل استفاده می‌شود. با ورود به اکانت کاربری و با اطمينان از اينکه جاسوس افزار مورد نظر با شروع مجدد سيستم فعال شده است، دستيابی به کلمه رمز و نگهداری آن در جايگاه پنهانی امکان‌پذير خواهد بود.

- قابليت سرقت اطلاعات از شبکه های ايزوله:
شيوه استفاده از بدافزار Fanny توسط گروه Equationمتفاوت از کارکرد تعريف شده آن می‌باشد. هدف اصلی استفاده از اين بدافزار دسترسی به شبکه‌های ايزوله و کشف توپولوژی آنها برای دستيابی به داده‌ها و ارسال آنها به خارج از شبکه‌های مذکور می‌باشد. آسيب پذيری Fanny در جولای 2008 توليد و در دسامبر 2008 شناسايی گرديد. در برخی موارد از USB برای قرار دادن دستورات در آن و نفوذ به سيستم‌های ايزوله که به بدافزار مذکور آلوده گرديده، استفاده می‌شود. هنگاميکه USB به کامپيوتر ايزوله متصل می‌گردد بدافزار فوق دستورات را تشخيص و آنها را اجرا می‌نمايد.

- استفاده از روش‌های کلاسيک برای ارسال بدافزار
مهاجمين از ابزارهای موجود متداول چه از طريق وب و چه از طريق دنيای فيزيکی برای آلوده‌سازی سيستم‌های مورد هدف استفاده می‌کنند. دسترسی به اين هدف با جايگزين نمودن ابزارهای فيزيکی با نسخه‌های ويروسی و آلوده امکان‌پذير می‌باشد.

آزمايشگاه امنيت Kaspersky هفت گونه آسيب پذيری در جاسوس افزارهای مورد استفاده گروه Equation کشف نموده است که 4 تای آن ناشناخته بوده و در firefox17 و جستجوگر Tor بکار می‌رفته است. گروه مذکور در مراحل نفوذ قادر به استفاده از 10 نوع آسيب پذيری می‌باشند. اگر هر کدام از آسيب پذيری‌ها ناموفق بود، آسيب پذيری‌های بعدی تست می‌شوند و اگر همه آنها با شکست مواجه شد نفوذ به سيستم مورد نظر لغو می‌گردد. بسياری از اين حملات با فناوری جلوگيری بهره برداری خودکار Automatic Exploit Prevention شناسايی و متوقف می‌گردد.

منابع:

تاريخ: دوشنبه 11 اسفند 1393  ساعت: 10:34

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm