مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

انتشار شده در تاریخ 1394/03/26 - 11:22

استفاده از گواهی‌نامه‌های معتبر، علت عبور Stuxnet و Duqu 2.0

گواهی‌نامه یا Certificate، به‌مانند ویزا در دنیای واقعی عمل می‌کند و توسط شرکت‌های ارائه‌دهنده گواهینامه معتبر مانند وری‌ساین (Verisign) ارائه می‌شود. گواهی‌نامه تا زمان معینی معتبر است و اگر یک نرم‌افزار به‌عنوان یک بدافزار عمل کرد، گواهی‌نامه آن باطل می‌شود. این شرکت‌های ارائه‌دهنده گواهی‌نامه آمریکایی بوده و قطعاً دولت امریکا می‌تواند این گواهی‌نامه‌ها را از آن‌ها درخواست کند.

بدافزار Duqu 2.0 توانست با استفاده از گواهی‌نامه معتبر فاکسکان ((Foxconn خود را قانونی معرفی کند و سامانه‌های امنیتی عبور کند. فاکسکان یک شرکت تولیدکننده محصولات اپل، بلک‌بری، دل و دیگر شرکت‌های مطرح است.

محققان امنیتی کسپرسکی که بدافزار Duau 2.0 را شناسایی کردند، گزارش دادند، استفاده از گواهی‌نامه معتبر توانایی ارسال داده مخرب و دریافت آن از طریق شبکه را به بدافزار می‌دهد. بدافزار Duqu 2.0 دارای قابلیت‌های معمول بدافزارها به‌منظور پایدار ماندن در سامانه قربانی نیست. به همین دلیل هکرها از روش‌های مختلفی استفاده کرده‌اند تا مطمئن شوند، بدافزار به سامانه‌های قربانی دسترسی خواهد داشت. یکی از این روش‌ها نصب درایور مخرب بر روی تجهیزات شبکه شامل دیوارآتش (Firewall) است. سپس بدافزار با استفاده از این تجهیزات، می‌تواند ترافیک شبکه را هدایت کند.

استفاده از گواهی‌نامه قبلاً نیز توسط بدافزار استاکس‌نت پیاده‌سازی شده بود. استاکس‌نت از گواهی‌نامه‌های Realtek و JMicron استفاده می‌کرد. اصولاً بدافزارهای سطح بالا از گواهی‌نامه‌های معتبر استفاده می‌کنند تا از بسیاری سامانه امنیتی به‌راحتی عبور کنند. این‌یکی از روش‌های اصلی هکرها برای عبور بدافزار از سامانه‌های امنیتی است.

گواهی‌نامه Duqu 2.0 نیز برای شرکت فاکسکان است که در 25 اوت 2012 توسط وری‌ساین صادرشده بود. کسپرسکی بعید می‌داند شرکت فاکسکان قبلاً آلوده‌شده باشد و گواهی‌نامه از این طریق سرقت شده باشد.

نحوه استفاده Duqu 2.0 از گواهی‌نامه عجیب به نظر می‌رسد. زیرا به‌جای استفاده از یک گواهی‌نامه برای درایورها یا ماژول‌های مختلف از هرکدام تنها یک‌بار استفاده می‌کند. این نشان از دسترسی گروه هکر Duqu به کش گواهی‌نامه‌های معتبر بسیاری است.

مسئله دیگر عدم درز گواهی‌نامه توسط دیگر بدافزارها و گروه‌های هک است. این نشان از این است که گروه هک Duqu تنها افرادی بودند که به گواهی‌نامه‌ها دسترسی داشته‌اند که این ظن که آن‌ها مستقیماً شرکت‌های ارائه‌دهنده گواهی‌نامه را هک کرده‌اند یا شاید از آن‌ها مستقیماً درخواست کرده‌اند را بیشتر می‌کند!

باوجوداین شواهد می‌توان مطمئن بود که بار دیگر Duqu با نسخه‌های دیگر به همراه گواهی‌نامه‌های منحصربه‌فرد دیگر دوباره بتواند جاسوسی کند. این بدافزار توانست اعتبار شرکت‌های ارائه‌دهنده گواهی‌نامه که آمریکایی هم هستند را نیز زیر سؤال ببرد.

تازه ترین ها