انتشار جدیدترین اسناد درباره بدافزار استاکس نت
به گزارش کارگروه حملات سایبری سایبربان؛ حدود یک دهه از حملهی بدافزار استاکس نت به تأسیسات هستهای ایران میگذرد و تحقیقات پیرامون این نرمافزار ویرانگر صنعتی همچنان ادامه دارد. 2 پژوهشگر کرونیکل (Chronicle)، بازوی امنیتی الفبت (شرکت مادر گوگل) به نامهای جوان آندرس گرورو ساد (Juan Andres Guerrero Saad) و سیلاس کاتلر (Silas Cutler) با حضور در اجلاس تجزیهوتحلیل امنیتی 2019 کسپرسکی (Security Analyst Summit 2019)، اطلاعات جدیدی را پیرامون این «APT» ارائه دادند.
این پژوهشگران، از مهاجمان، با عنوان «گوسیپ گرل» (GOSSIP GIRL) یاد کرده و توضیح دادند که در گذشته، 3 گروه توسعهدهنده داکو (Duqu)، فلیم (Flame) و اکویشن (Equation) شناسایی شده بودند. محققان در نشست یادشده اعلام کردند؛ به تازگی گروه چهارمی را به نام «فلاورشاپ» (Flowershop) شناسایی کردهاند که در توسعه استاکس نت نقش داشته است.
تحقیقات نام برده، مدارک نوینی را ارائه میدهند که میان بدافزار ماژولار جاسوسی سایبری فلیم و بازیگران دولتی استاکس نت، ارتباط برقرار میکند. همچنین اعلام شد که اکویشن، دیکو و فلیم، به ترتیب با «NSA»، اسرائیل و همکاری مشترک میان تلاشهای اطلاعاتی آمریکا و رژیم صهیونیستی، مرتبط هستند؛ اما با توجه به یافتههای کرونیکل، به نظر میرسد که گروه فلاورشاپ نیز در توسعه استاکس نت دخالت داشتهاند.
گروه فلاورشاپ، بدافزاری قدیمی، با همین نام را توسعه و در بازه زمانی سال 2002، تا 2013، آسیای غربی را به کمک آن هدف قرار داد. کدهای این بدافزار را میتوان در کامپوننت خاصی از استاکس نت با نام «Stuxshop» مشاهده کرد. استاکس شاپ، عملکردهای مختلفی دارد که یکی از آنها، برقراری ارتباط با سرورهای فرماندهی و کنترل (C2) به شمار میآید.
ساد و کاتر در گزارش فنی خود گفتند:
یافتههای اخیر، به 2 دلیل ارزشمند هستند. اول؛ نشان میدهند که گروه ناشناخته دیگری نیز به کمک نرمافزار مخرب خود، در توسعه استاکس نت نقش داشت. دوم؛ از این دیدگاه پشتیبانی میکنند که استاکس نت، درحقیقت محصولی توسعه یافته بر پایه یک چارچوب ماژولار به شمار میرود که نشاندهنده همکاری میان چندین بازیگر گوناگون تهدید است.
2 محقق بالا ادامه دادند:
یافتههای اخیر ما، در کنار بخشهایی برجسته و از تحلیلهای گذشته، گروه چهارمی را به نام فلاورشاپ، در کنار اکویشن، فلیم و داکو قرار میدهند. این تیم، در توسعه فازهای مختلف استاکس نت -که احتمالاً از سال 2006 فعالیت آن آغاز شد- نقش داشت.
تحقیقات بیشتر نشان داد؛ بدافزار فلیم -که پس از کشف و عمومی شدنش در می 2012 ناپدید شده بود- 2 سال بعد، به صورت محرمانه فعالیت خود را تحت عنوان فلیم 2 (Flame 2) از سر گرفت. فلیم که با نام «sKyWlper» نیز از آن یاد میشود، به رایانههای ویندوزی در ایران، حمله کرده بود. این جاسوسافزار، به احتمال فراوان، در بازه زمانی 2014، تا 2016 فعال و به جمعآوری اطلاعات مشغول بود. همچنین میتوانست از طریق «Windows Update»، یک درب پشتی را ایجاد کرده، آن را در سراسر شرکتها گسترش دهد.
در گزارش پژوهشگران آمده است:
فلیم 2 نیز عملکردی بسیار مشابه با نسخهی اصلی خود داشت. این بدافزار، به آلوده سازی ماژولهای فرعی -که مستقیماً با اورکستر اصلی ارتباط داشته، در «Lua VM» جاسازشده مرتبط بودند- ادامه میدهد.
با وجود این، فلیم 2 به منظور رمزنگاری منابع موجود در سطح دوم، به جای «1.0’s XOR»، از «AES-256» استفاده کرد؛ اما همچنان به وضوح مشخص نیست که درنهایت چه محتوایی منتقل گردید.
محققان در طول تحقیقات خود، نسخهای ناشناخته از داکو را شناسایی کردهاند که از روی استاکس نت، ساخته شده بود. از این بدافزار، برای سرقت اطلاعات کاربردی و حمله به سامانههای کنترل صنعتی، بهره گرفته میشود. این نسخه داکو، 1.5 (Duqu 1.5) نام دارد. این نسخه، به طور خاص، به عنوان پل ارتباطی نسخههای یک و 2 عمل میکند که دفاتر شرکت کسپراسکی و گروه 1+5 را در زمان صحبت در رابطه با توافق هستهای در هلند، مورد حمله قرار داده بود.
کرونیکل همچنین اشاره کرد که پویشهای گذشته داکو، در گذشته، از شرکتهای اروپایی، آفریقایی و آسیای غربی نیز جاسوسی کردهاند.
نسخه 1.5، فعالیت خود را با سوء استفاده از درایور کرنل فلاپی، سرقت گواهینامهها و آلوده سازی و بارگذاری آنها در سیستم فایل مجازی (VFS) شروع میکند. بارگذاری یک واسط گرافیکی در حافظه که پس از آن، روی سامانه فایل مجازی قرار میگیرد. این اقدام، به منظور راهاندازی مجموعهای از افزونهها صورت میگیرد که درب پشتی را گسترش داده، دسترسی به سامانههای آلوده بیشتر را فراهم میکند.
