4 ابهام حل نشده درباره حمله بد افزار Duqu 2.0

چندين سوال کليدی درباره اهداف پشت پرده حملات سايبری به سرورهای آزمايشگاه امنيت شرکت Kaspersky، شرکای بين المللی در مذاکرات هسته‌ای و ساير شرکت‌های بزرگ مطرح می‌باشد.
اخيراً آزمايشگاه امنيت Kaspersky اعلام کرد که توسط گروهی از مهاجمان سايبری مورد حمله قرار گرفته است. ظاهراً هدف مهاجمان آگاهی از پ‍ژوهش‌های انجام شده توسط اين آزمايشگاه و جديدترين فناوری‌های بدست آمده در خنثی کردن حملات مربوط به تعاملات سياسی و امنيتی توسط مهاجمان بوده است.
اگرچه بررسی و تحليل عميقی از کد و تأثيرات تخريبی با استفاده از بد افزار Duqu 2.0 وجود دارد، اما همچنان ابهامات کليدی اندکی وجود دارد که آزمايشگاه امنيت Kaspersky و ديگر متخصصين امنيت جوابی برای آن پيدا نکرده‌اند هر چند که انگشت اتهام به سمت اسرائيل نشانه رفته است اما اين مهم هنوز توسط پژوهشگران تأييد نشده است.

در کنار پاسخ‌های ارائه شده پرسش‌های بزرگ بی‌پاسخ ديگری نيز درباره کمپين جاسوسی سايبری وجود دارد:

پرسش اول: آيا شرکت‌های امنيتی ديگر نيز در کنار آزمايشگاه امنيت Kaspersky مورد حمله قرار گرفته‌اند؟

شرکت‌های Symantec ،Fire Eye و TrendMicro همگی به سايت خبری Dark Reading اعلام کردند که مورد حمله Duqu2.0 قرار نگرفته‌اند و همچنين هيچ شرکت تأمين کننده امنيت ديگری نيز خبری از چنين حملات گزارش نکرده‌اند. اما با توجه به شيوه حملات Duqu 2.0 که در حافظه اجرا و پس از شروع مجدد سيستم ناپديد می‌شود، چگونه می‌توان مطمئن بود که شرکت‌های مذکور حقيقتاً از چنين حملاتی مصون بوده‌اند؟!
آگن کسپرسکی می‌گويد: "تقريباً به علت نبود فايل بر روی ديسک، عدم تغيير در رجيستری و يا موارد ديگر، امکان تشخيص نفوذ به سيستم ممکن نمی‌باشد." او همچنين اضافه کرد که چندين ماه طول کشيد تا محققين متوجه اثر مشکوکی شدند و تحقيقاتشان را برای دستيابی به راه حل مناسب آغاز نمودند.
کورت بامگارتنر، رييس آزمايشگاه امنيت Kaspersky که شاخص شناسايی حملات را کشف نموده است می‌گويد: "مطمئناً قربانی‌های ديگری برای اين حملات وجود دارد و بدون شک اين بدافزارها گستره جغرافيايی وسيعتر و هدف‌های بيشتری را مورد حمله قرار داده است. او همچنين اعلام کرد که: "با توجه به اطلاعاتی که آزمايشگاه امنيت Kasper بدست آورده، از Duqu2.0 برای جاسوسی و دست‌يابی به پيچيده‌ترين اهداف سياسی منطقه‌ای استفاده شده است."

پرسش دوم: از چه نوع آسيب zero–day در اولين مرحله نفوذ به Kaspersky استفاده شده است؟

پژوهشگران آزمايشگاه امنيت Kaspersky قادر به شناسايی 2 آسيب پذيری zero-day از سه آسيب پذيری که در حملات Duqu2.0 مورد بهره برداری قرار گرفته است، شده‌اند. پژوهشگران آزمايشگاه امنيت Kaspersky اعلام داشتند که همچنان در حال بررسی برای شناسايی و کشف آسيب پذيری‌های ديگری که در سيستم قربانی مورد استفاده قرار گرفته است، می‌باشند. قربانی اوليه اين حملات به شرکت Kaspersky، کارمندی در منطقه Asia Pasific بوده که توسط حمله فيشينگ مورد نفوذ قرار گرفته بود.
بامگارتنر اعلام کرد که حمله مذکور از آسيب پذيری CVE-2014-4148 بهره برداری می‌کند. اين آسيب پذيری امکان دسترسی به kernel سيستم عامل را با استفاده از اسناد Word برای مهاجمان فراهم می‌کند، اما جزييات مولفه اصلی حملات هنوز مشخص نمی‌باشد.

ويکرام تاکور مدير ارشد بخش امنيت شرکت Symantec می‌گويد: "بزرگترين مشکلی که وجود دارد آنست که هنوز مولفه اصلی نفوذ Duqu 2.0 شناخته شده نيست. ما همچنان در حال بررسی نحوه نفوذ به کاربران هستيم."

پرسش سوم: مهاجمان دقيقاً چه اطلاعاتی را به سرقت می‌برند؟

بر اساس اعلام نظر آگن کسپرسکی، اطلاعات دقيقی از اهداف مهاجمان Duqu 2.0 در اين حملات و اينکه آنها دقيقاً دنبال چه چيزی هستند در دسترس نمی‌باشد.
تاکور می‌گويد نکته‌ای که بيش از هرچيز در مورد Duqu 2.0 برجسته است، توانايی آن در ورود به سيستم و ناپديد شدن می‌باشد. اين آسيب پذيری هيچگونه فايلی در کامپيوتر يا فايل‌های سيستم باقی نمی‌گذارد و با شروع مجدد سيستم ناپديد می‌شود. او همچنين می‌گويد: "مهاجمان اينکار را با برنامه از پيش تعيين شده انجام داده‌اند به گونه‌اي که می‌توانند اطلاعات مورد نياز را در زمان روشن بودن و حتی هنگام خاموشی ماشين به سرقت ببرند.
تاکور می‌گويد تيم امنيتی شرکت در حال بررسی و تحليل ماژول‌های بدافزار Duqu 2.0 می‌باشد تا به نحوه نفوذ مهاجمان به سيستم قربانی پی ببرند.
متخصصان امنيت اعلام می‌دارند با توجه به نحوه عملکرد بدافزار Duqu 2.0، آزمايشگاه امنيت Kaspersky و ديگر قربانی‌ها نمی‌توانند به طور دقيق بگويند که چه اطلاعاتی به سرقت رفته است، حتی ممکن است قادر به تشخيص تمامی داده‌های به سرقت رفته و سيستم‌های آسيب ديده نباشند.
گاتام آگاروال رييس بازرگانی شرکت Dynamics Bay می‌گويد که احتمالاً مهاجمان در حال جستجوی آسيب‌پذيری در محصولات امنيتی APT (Advanced Persistent threat) شرکت Kaspersky می‌باشند. طبق گفته مديران شرکت، واقعيتی که حمله سايبری Duqu 2.0 در خاطره ثبت می‌کند آنست که، چون هيچ فايلی در سطح ديسک ايجاد و يا تغيير داده نمی‌شود تقريباً شناسايی Duqu 2.0 را غير ممکن می‌سازد.
به محض اينکه مهاجمان از آسيب‌پذيری‌های موجود در محصولات و راهکارهای امنيتی شرکت Kaspersky آگاهی پيدا کنند، امکان نفوذ و بهره برداری از اطلاعات کاربر ممکن می‌شود.
به دليل نقش اصلی آزمايشگاه امنيت Kaspersky در حل مخاطرات ناشی از حمله مهاجمان در سال 2011، شرکت Kaspersky مورد هدف حملات بعدی مهاجمان قرار گرفت. به نظر می‌رسد که تيم مهاجمان APT از آزمايشگاه امنيت Kaspersky به عنوان نقطه آغاز حمله Duqu 2.0 با نفوذ در سيستم دفاعی، استفاده می‌کرده است. او همچنين معتقد است که آزمايشگاه Kaspersky برای شروع اين حملات در نظر گرفته شده بوده و انتظار می‌رود موسسات ديگری نيز هدف حملات بعدی آنها باشد.

پرسش چهارم: ماژول‌های مبهم که به نظر می‌رسد نشانی از ICS/SCADA داشته باشد کدامند؟

کاستين رايو مدير تيم آناليز و تحقيقات آزمايشگاه امنيت Kaspersky تصاويری از نام فايل‌های موجود در يکی از ماژول‌های Duqu 2.0 را منتشر نمود و از کاربران خواست در صورت مشاهده اين فايل‌ها و مسيرهای مرتبط توسط ماژول‌های Duqu 2، آزمايشگاه امنيت را در جريان امر قرار دهند. محققان در حال بررسی نمونه‌های موجود می‌باشند. در روند بررسی‌های مربوطه نام “HMI” در فايل‌ها مشاهده می‌شود که می‌تواند نشانی از ارتباطات با سيستم ICS/SCADA باشد. “HMI” مخفف human-machine interface، به معنی واسطه بين انسان و ماشين در بخش محصولات صنعتی می‌باشد.

تاريخ: دوشنبه 29 تير 1394  ساعت: 10:20

پشتيباني مشتريان

دريافت نرم‌افزار

نظرسنجي

از چه ديواره آتشي استفاده مي‌كنيد؟
Cisco PIX

Netscreen

Watchguard

Packet Alarm