معمایی به نام Duqu 2.0

۱۳۹۴/۳/۲۶مقالات علمی

به گزارش روابط عمومی شرکت تجارت الکترونیک ایرانیان(ایدکو)؛  اوایل سال میلادی جاری کسپرسکی در بررسی‌های خود متوجه یک نفوذ سایبری به چند سیستم داخلی خود شد.

کسپرسکی سپس تحقیقات بزرگی را آغاز کرد که به کشف یک پلتفرم بدافزاری بزرگ منجر شد. کسپرسکی دریافت که یکی از ماهرترین، قدرتمندترین و مرموزترین گروه‌های فعال در دنیای تهدیدات سایبری یعنی Duqu حمله به سیستم‌های این شرکت را ترتیب داده بود. رد فعالیت‌های خرابکارانه Duqu در سال 2012 کمرنگ شد و کارشناسان گمان کردند افراد پشت این پلتفرم بدافزاری دست از کار کشیده‌اند، اما کسپرسکی از فعالیت دوباره Duqu پرده برداشت. بررسی‌های فنی کسپرسکی حاکی از آن است که دور جدید حملات Duqu پیشرفته‌تر و خطرناک‌تر از سال 2011 است. بنابراین نسل جدید این پلتفرم بدافزاری – که آن را برادرخوانده Stuxnet هم می‌خوانند –Duqu 2.0 نام گرفت.

برخی از آلودگی‌های سایبری مربوط به حملات Duqu 2.0 در محل مذاکرات هسته‌ای ایران و گروه پنج+1 گزارش شده است. بررسی‌ها نشان می‌دهد کارگردانان Duqu 2.0 طی حملاتی محل این دیدارهای دیپلماتیک حساس را هدف قرار داده‌اند. علاوه بر این رد حملات مشابهی در مراسم هفتادمین سالگرد آزادسازی اردوگاه کار اجباری آشویتز-بیرکنو در لهستان نیز مشاهده شده است.

در مورد کسپرسکی، مهاجمان از آسیب‌پذیری ناشناخته در کرنل ویندوز، و احتمالا دو حفره دیگر برای نفوذ استفاده کرده بودند که حال وصله شده‌اند. بررسی این حمله نشان داد هدف اصلی مهاجمان جاسوسی از فناوری‌های کسپرسکی، تحقیقات جاری و آگاهی از فعالیت‌های درون‌سازمانی بوده است، اما موردی از اختلال در امور یا سیستم‌های کامپیوتری دیده نشد. جزئیات بیشتر درباره این حمله را در این لینکبخوانید.

با نگاه از دید کارگردانان Duqu 2.0، حمله به یک شرکت امنیت سایبری جهانی تصمیم بسیار سختی به‌نظر می‌رسد. عقل سلیم حکم می‌کند که هر نوع حمله‌ای دیر یا زود لو می‌رود و دست مهاجمان رو می‌شود. بنابراین تصمیم به انجام چنین عملیاتی حاکی از آن است که مهاجمان یا از مخفی ماندن خود کاملا اطمینان داشتند و یا آنکه لو رفتن عملیات اهمیتی برایشان نداشت. کارگردانان Duqu 2.0 با حمله به کسپرسکی دست به قمار بزرگی زدند، اما در نهایت بازنده شدند.

اصول حرفه‌ای کسپرسکی همواره بر شفافیت استوار بوده و از این رو کسپرسکی خبر حمله Duqu 2.0 را منتشر کرده است. کسپرسکی اطمینان می‌دهد که به محصولات، فناوری‌ها و خدمات این شرکت هیچ آسیبی وارد نشده و مشتریان و شرکای این شرکت کاملا در امان هستند.

Duqu 2.0 – Indicators of Compromise (IOCs)

MD5s

Action loaders:

089a14f69a31ea5e9a5b375dc0c46e45
16ed790940a701c813e0943b5a27c6c1
26c48a03a5f3218b4a10f2d3d9420b97
a6dcae1c11c0d4dd146937368050f655
acbf2d1f8a419528814b2efa9284ea8b
c04724afdb6063b640499b52623f09b5
e8eaec1f021a564b82b824af1dbe6c4d
10e16e36fe459f6f2899a8cea1303f06
48fb0166c5e2248b665f480deac9f5e1
520cd9ee4395ee85ccbe073a00649602
7699d7e0c7d6b2822992ad485caacb3e
84c2e7ff26e6dd500ec007d6d5d2255e
856752482c29bd93a5c2b62ff50df2f0
85f5feeed15b75cacb63f9935331cf4e
8783ac3cc0168ebaef9c448fbe7e937f
966953034b7d7501906d8b4cd3f90f6b
a14a6fb62d7efc114b99138a80b6dc7d
a6b2ac3ee683be6fbbbab0fa12d88f73
cc68fcc0a4fab798763632f9515b3f92

Cores:

3f52ea949f2bd98f1e6ee4ea1320e80d
c7c647a14cb1b8bc141b089775130834

C&C IPs

182.253.220.29
186.226.56.103

برای اطمینان از سلامت شبکه خود از آلودگی بدافزاری Duqu 2.0 می توانید از فایل باز IOC در این لینک استفاده کنید.

 

منبع: کسپرسکی آنلاین

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.