شناسایی درب پشتی جدید در زیرساخت‌های خاورمیانه

به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت امنیتی ESET یک درب پشتی مخربی شناسایی کرده‌اند که متعلق به گروه جرائم سایبری Stealth Falcon است. این گروه فعالیت خود را از سال 2012 آغاز کرده و فعالین سیاسی و روزنامه‌نگاران خاورمیانه را موردتهاجم قرار می‌دهد. برخی تحلیلگران عملکرد این گروه را با Project Raven مرتبط می‌دانند که گفته می‌شود در آن کارکنان سابق آژانس امنیت ملی ایالات‌متحده نقش‌آفرینی می‌کنند. به‌تازگی بخشی از داده‌های فنی مربوط به Stealth Falcon من‌جمله درب پشتی مخرب PowerShell افشاء شده است که از طریق یک سند آلوده در ایمیل مخرب به رایانه انتقال می‌یابد. نفوذ گران از طریق این درب پشتی در امارات متحده عربی و عربستان سعودی، تایلند و هلند حملات بسیاری تدارک دیده‌اند. آخرین تهاجم مربوط به یک هیئت دیپلماتیک یکی از کشورهای خاورمیانه بوده است. 

گروه Win32 یا StealthFalcon از روشی نسبتاً غیرمعمول برای برقراری ارتباط با سرور فرمان خود استفاده میکند که از طریق بخشی از ویندوز تحت عنوان پس‌زمینه خدمات انتقال هوشمند (BITS) انجام می‌گیرد. در مقایسه با ارتباط از طریق توابع API، ارتباط با BITS به‌صورت مخفیانه و به کمک رابط COM صورت می‌گیرد. به‌این‌ترتیب فایروالها نمی‌توانند آن‌ها را مسدود کنند. این گروه علاوه بر ارتباط غیرمعمول با سرور C&C، چندین روش پیشرفته دیگر نیز برای جلوگیری از شناسایی و آنالیز شدن دارد.