about-3 back-contact back-deep eitaa کانال روبیکاخبرگزاری سایبربان
مطالب پربازدید
جایزه
1404/03/25 - 08:09- تروریسم سایبری

جایزه 10 میلیون دلاری برای گروه هکری نجات دهنده سامانه‌های پدافندی

ایالات متحده اخیراً با اعلام بیانیه‌ای از تعیین جایزه 10 میلیون دلاری برای مرموزترین دشمن سایبری خود به نام مِستر سول خبر داد.

اعتراف
1404/03/28 - 09:08- تروریسم سایبری

اعتراف منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده

منابع صهیونیستی به نفوذ سایبری ایران در پخش تصاویر پشت‌پرده اعتراف کردند.

پژوهشگران امنیتی شرکت الفبت، موفق به شناسایی بازیگر جدیدی شده‌اند که در توسعه بدافزار استاکس نت نقش داشت.

به گزارش کارگروه حملات سایبری سایبربان؛ حدود یک دهه از حمله‌ی بدافزار استاکس نت به تأسیسات هسته‌ای ایران می‌گذرد و تحقیقات پیرامون این نرم‌افزار ویرانگر صنعتی همچنان ادامه دارد. 2 پژوهشگر کرونیکل (Chronicle)، بازوی امنیتی الفبت (شرکت مادر گوگل) به نام‌های جوان آندرس گرورو ساد (Juan Andres Guerrero Saad) و سیلاس کاتلر (Silas Cutler) با حضور در اجلاس تجزیه‌وتحلیل امنیتی 2019 کسپرسکی (Security Analyst Summit 2019)، اطلاعات جدیدی را پیرامون این «APT» ارائه دادند.

این پژوهشگران، از مهاجمان، با عنوان «گوسیپ گرل» (GOSSIP GIRL) یاد کرده و توضیح دادند که در گذشته، 3 گروه توسعه‌دهنده داکو (Duqu)، فلیم (Flame) و اکویشن (Equation) شناسایی شده بودند. محققان در نشست یادشده اعلام کردند؛ به تازگی گروه چهارمی را به نام «فلاورشاپ» (Flowershop) شناسایی کرده‌اند که در توسعه استاکس نت نقش داشته است.

تحقیقات نام برده، مدارک نوینی را ارائه می‌دهند که میان بدافزار ماژولار جاسوسی سایبری فلیم و بازیگران دولتی استاکس نت، ارتباط برقرار می‌کند. همچنین اعلام شد که اکویشن، دیکو و فلیم، به ترتیب با «NSA»، اسرائیل و همکاری مشترک میان تلاش‌های اطلاعاتی آمریکا و رژیم صهیونیستی، مرتبط هستند؛ اما با توجه به یافته‌های کرونیکل، به نظر می‌رسد که گروه فلاورشاپ نیز در توسعه استاکس نت دخالت داشته‌اند.

Paragraphs
انتشار
انتشار جدیدترین اسناد از بدافزار استاکس نت

گروه فلاورشاپ، بدافزاری قدیمی، با همین نام را توسعه و در بازه زمانی سال 2002، تا 2013، آسیای غربی را به کمک آن هدف قرار داد. کدهای این بدافزار را می‌توان در کامپوننت خاصی از استاکس نت با نام «Stuxshop» مشاهده کرد. استاکس شاپ، عملکردهای مختلفی دارد که یکی از آن‌ها، برقراری ارتباط با سرورهای فرماندهی و کنترل (C2) به شمار می‌آید.

ساد و کاتر در گزارش فنی خود گفتند:

یافته‌های اخیر، به 2 دلیل ارزشمند هستند. اول؛ نشان می‌دهند که گروه ناشناخته دیگری نیز به کمک نرم‌افزار مخرب خود، در توسعه استاکس نت نقش داشت. دوم؛ از این دیدگاه پشتیبانی می‌کنند که استاکس نت، درحقیقت محصولی توسعه یافته بر پایه یک چارچوب ماژولار به شمار می‌رود که نشان‌دهنده همکاری میان چندین بازیگر گوناگون تهدید است.

2 محقق بالا ادامه دادند:

یافته‌های اخیر ما، در کنار بخش‌هایی برجسته و از تحلیل‌های گذشته، گروه چهارمی را به نام فلاورشاپ، در کنار اکویشن، فلیم و داکو قرار می‌دهند. این تیم، در توسعه فازهای مختلف استاکس نت -که احتمالاً از سال 2006 فعالیت آن آغاز شد- نقش داشت.

تحقیقات بیشتر نشان داد؛ بدافزار فلیم -که پس از کشف و عمومی شدنش در می 2012 ناپدید شده بود- 2 سال بعد، به صورت محرمانه فعالیت خود را تحت عنوان فلیم 2 (Flame 2) از سر گرفت. فلیم که با نام «sKyWlper» نیز از آن یاد می‌شود، به رایانه‌های ویندوزی در ایران، حمله کرده بود. این جاسوس‌افزار، به احتمال فراوان، در بازه زمانی 2014، تا 2016 فعال و به جمع‌آوری اطلاعات مشغول بود. همچنین می‌توانست از طریق «Windows Update»، یک درب پشتی را ایجاد کرده، آن را در سراسر شرکت‌ها گسترش دهد.

در گزارش پژوهشگران آمده است:

فلیم 2 نیز عملکردی بسیار مشابه با نسخه‌ی اصلی خود داشت. این بدافزار، به آلوده سازی ماژول‌های فرعی -که مستقیماً با اورکستر اصلی ارتباط داشته، در «Lua VM» جاسازشده مرتبط بودند- ادامه می‌دهد.

با وجود این، فلیم 2 به منظور رمزنگاری منابع موجود در سطح دوم، به جای «1.0’s XOR»، از «AES-256» استفاده کرد؛ اما همچنان به وضوح مشخص نیست که درنهایت چه محتوایی منتقل گردید.

محققان در طول تحقیقات خود، نسخه‌ای ناشناخته از داکو را شناسایی کرده‌اند که از روی استاکس نت، ساخته شده بود. از این بدافزار، برای سرقت اطلاعات کاربردی و حمله به سامانه‌های کنترل صنعتی، بهره گرفته می‌شود. این نسخه داکو، 1.5 (Duqu 1.5) نام دارد. این نسخه، به طور خاص، به عنوان پل ارتباطی نسخه‌های یک و 2 عمل می‌کند که دفاتر شرکت کسپراسکی و گروه 1+5 را در زمان صحبت در رابطه با توافق هسته‌ای در هلند، مورد حمله قرار داده بود.

کرونیکل همچنین اشاره کرد که پویش‌های گذشته داکو، در گذشته، از شرکت‌های اروپایی، آفریقایی و آسیای غربی نیز جاسوسی کرده‌اند.

نسخه 1.5، فعالیت خود را با سوء استفاده از درایور کرنل فلاپی، سرقت گواهی‌نامه‌ها و آلوده سازی و بارگذاری آن‌ها در سیستم فایل مجازی (VFS) شروع می‌کند. بارگذاری یک واسط گرافیکی در حافظه که پس از آن، روی سامانه فایل مجازی قرار می‌گیرد. این اقدام، به منظور راه‌اندازی مجموعه‌ای از افزونه‌ها صورت می‌گیرد که درب پشتی را گسترش داده، دسترسی به سامانه‌های آلوده بیشتر را فراهم می‌کند.

تازه ترین ها
سوءاستفاده
1404/05/21 - 16:29- آسیب پذیری

سوءاستفاده از آسیب‌پذیری‌های WinRAR در کارزارهای جاسوسی سایبری

پژوهشگران دریافته‌اند که دو عامل تهدید متفاوت، از جمله یک گروه جاسوسی سایبری همسو با روسیه، تابستان امسال از آسیب‌پذیری‌های موجود در نرم‌افزار محبوب بایگانی فایل WinRAR بهره‌برداری کرده‌اند.

پیروزی
1404/05/21 - 15:57- اقیانوسیه

پیروزی نسبی برای اپیک گیمز در مقابل اپل و گوگل

دادگاه استرالیا در پرونده شکایت اپیک گیمز، تا حدودی علیه اپل و گوگل رأی داد.

دیدار
1404/05/21 - 12:20- آمریکا

دیدار ترامپ با مدیرعامل اینتل

ترامپ پس از درخواست استعفای مدیرعامل اینتل، جلسه‌ای مهم با او برگزار کرد.

مطالب مرتبط

در این بخش مطالبی که از نظر دسته بندی و تگ بندی مرتبط با محتوای جاری می باشند نمایش داده می‌شوند.