كشف نرم افزار جاسوسی كه تصاویر و صدای قربانیان را ضبط می كند
كمك وب: محققان امنیتی یك نمونه پیچیده از نرم افزارهای جاسوسی را كشف كرده اند كه در پنج سال قبل به شدت مورد استفاده هكرها و خرابكاران قرار گرفته و تعداد زیادی از اهداف موردنظر خرابكاران را در روسیه و اوكراین آلوده كرده است.
به گزارش كمك وب به نقل از ایسنا، درحالی كه منشأ این حمله و خرابكاری جدید به نام InvisiMole هنوز تعیین نشده است، اعتقاد بر این است كه یك ابزار پیشرفته جاسوسی سایبری است كه به احتمال زیاد طبق شواهد به دست آمده برای دولت های ملی یا باهدف حمله به زیرساخت های مالی این كشورها ایجادشده است.
واقعیتی كه در بررسی های میدانی در این باره به دست آمده نشان دهنده این است كه فعالیت این برنامه مخرب به صورت كاملاً مخفیانه انجام می گیرد كه به صورت محدود در فقط چند كامپیوتر آلوده یافت شده است، اما این برنامه مخرب به علت قابلیت های وسیعی كه دارد و پس از ورود به كامپیوتر قربانی چند ماه طول می كشد تا خویش را توسعه دهد و كشف آن كاری غیرعادی بوده و توسط افراد مبتدی قابل كشف نیست.
به جز چند پرونده كه به صورت باینری یا دودویی در این خصوص كشف شده اطلاعات خاصی در مورد كمپین، نحوه انتشار و افراد پشت پرده این بدافزار اطلاعات دیگری در دست نیست. یك محقق شركت آنتی ویروس ESET كه اخیراً گزارش كاملی درباره این بدافزار جدید نوشته می گوید: بررسی های ما نشان داده است كه بازیگران و افراد خرابكار پشت پردهٔ این بدافزار مخرب حداقل از سال 2013 بر روی این پروژه كاركرده اند، تا زمانی كه آخرین به روزرسانی های آنتی ویروس ESET برروی كامپیوترهای آلوده در اوكراین و روسیه قرار داده نشود هیچگاه ردی از این بدافزار یافت نمی شد.
سوزانا هرامكوا همینطور افزود: همه بردها و دستگاه های متصل به كامپیوتر آلوده در معرض خطر این بدافزار قرار دارند، نصب، راه اندازی و دسترسی فیزیكی به دستگاه آلوده امكان انتشار بدافزار را تسهیل می كند.
بدافزارهای معمولی كه در حملات بسیار هدفمند در این مورد خاص استفاده شده اند، از خیلی از سرنخ هایی كه می تواند محققان را به سمت طراحان و افراد پشت پرده هدایت كند، مخفی بوده و در خفا فعالیت می نمایند. بر مبنای اطلاعات سایت پلیس فتا، به استثنای یك پرونده (به تاریخ 13 اكتبر 2013)، تمام تاریخ های تدوین شده توسط بدافزار حذف شده و یا با صفر جایگزین شده اند، سرنخ های كمی در مورد زمان بندی و طول عمر آن عرضه شده است.
علاوه بر این، نرم افزارهای مخرب جزئی از برنامه نویسی هوشمندانه خود هستند و از دو بخش كاملاً مجزا تشكیل شده اند كه هر دو قسمت خصوصیت های جاسوسی خاص خود رادارند اما می توانند با كمك هم فایل های exfiltrating را تولید كنند.
نخستین ماژول اصلی در این بدافزار InvisiMole RC2FM نامیده می گردد. این ماژول كوچك ترین بوده و تنها 15 دستور را پشتیبانی می كند كه این دستورات تركیبی از توابع برای تغییر سیستم محلی هستند كه برای جستجو و سرقت داده ها مورداستفاده قرار می گیرند.
این ماژول بعنوان دومین ماژول پیشرفته مورداستفاده قرار گرفته كه جدیدترین خصوصیت آن دارای توانایی استخراج تنظیمات پروكسی از مرورگرها و استفاده از آن تنظیمات برای ارسال داده ها و كنترل سرور خود وب سایت و با تنظیم شبكه محلی مانع از ارتباط بین ماژول كاربر و سرور اصلی می گردد.
برخی از دستورات این ماژول به بدافزار این امكان را می دهد تا میكروفون كاربر را روشن كند، صدای او را ضبط كند و آن را بعنوان یك فایل صوتی با فرمت MP3 ذخیره و آن را به سرور InvisiMole C & C ارسال نماید.
ماژول RC2FM همینطور می تواند وب كم كاربر را فعال كند و از محیط اطراف فیلم و عكس تهیه نماید. همینطور می تواند درایوهای محلی را نظارت كند، اطلاعات سیستم را بازیابی كند و تغییرات پیكربندی سیستم كاربر را كنترل كند.
دومین ماژول بدافزار InvisiMole پیشرفته تر از انواع قبلی است. این ماژول از 84 دستور backdoor پشتیبانی می كند و شامل تقریباً تمام قابلیت هایی است كه شما از یك بدافزار جاسوسی پیشرفته انتظار دارید.
این ماژول شامل پشتیبانی از اجرای دستورات پوسته سیستم عامل از طریق دور است كه شامل دست كاری كلیدی رجیستری، اجرای فایل های اجرایی، گرفتن فهرستی از برنامه های محلی، بارگیری درایورها، گرفتن اطلاعات شبكه كامپیوتر قربانی، غیرفعال كردن UAC، خاموش كردن فایروال ویندوز و غیره است. RC2CL همینطور می تواند با استفاده از میكروفون صدا را ضبط كند و با استفاده از وب كم عكس ها را مشاهده كند، درست مانند ماژول اول.
اما به قول سوزانا هرامكوا این ماژول دارای بعضی از خصوصیت های منحصربه فرد است. یكی از این ها قابلیت ذخیره فایل های خود بعد از جمع آوری داده هاست. این مرحله برای جلوگیری از دسترسی ابزارهای قانونی مانند آنتی ویروس ها و دیوارهای آتش ویندوز (فایروال ها) برای شناسایی فایل های كپی بر روی دیسك است و بدافزار پس از جمع آوری آن ها را به سرور C & C ارسال می كند.
یكی دیگر از خصوصیت های منحصربه فرد این بدافزار، توانایی RC2CL است كه می تواند خویش را به یك پروكسی تبدیل كند و ارتباطات بین نخستین ماژول و سرور C & C مهاجم را تسهیل كند. این یك خصوصیت منحصربه فرد این بدافزار جاسوسی است، زیرا این قابلیت در بدافزارهای دیگر بسیار كم و به صورت محدود تعبیه شده است. در كل، شما با یك بدافزار بسیار هوشمند و پیچیده روبه رو هستید، كه به وضوح یك ابزار قدرتمند جاسوسی سایبری است و احتمالاً یكی از بهترین ها هم اكنون است.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب