بازگشت دوباره بدافزار مینی دوکو

18 تیر 1393 3962 بازدید

محققین امنیتی کسپرسکی طی هفته جاری از پیدایش دوباره بدافزار جاسوسی مینی دوکو (Miniduke)  و حملات وسیع آن به کاربران هشدارد دادند. به گزارش ایدکو، این بدافزار جاسوسی که یک API یا تهدید پیشرفته مستمر* به شمار میرود، فوریه سال گذشته از سوی محققین آزمایشگاه کسپرسکی و همچنین آزمایشگاه CrySys شناخته شد که از مهمترین اهداف حملات آن بیشتر دولت ها و جاسوسی از آنها بوده و فعالیت آن از اوایل دهه 2000 میلادی آغاز شد که پس از یکسال کنترل با ظاهری جدیدتر و پیشرفته تر وارد دنیای امنیت اطلاعات شد.

یوجین کسپرسکی موسس و مدیرعامل شرکت کسپرسکی در خصوص این بدافزار گفته بود :«ما از نویسندگان این بدافزار تعجب می کنیم که در دهه اول سال 2000 برای مدت زیادی در خاموشی بسر می بردند، اما به یک باره فعال و عضو گروه های پیچیده ای از مجرمان سایبری دنیا شدند. این بدافزارنویسان کهنه کار و کاربلد در گذشته مهارت فراوانی در تولید ویروس های بسیار پیچیده داشته و امروزه نیز با بهره گیری از راهکارهای پیشرفته دور زدن سیستم های امنیتی سندباکس، سازمان های دولتی و موسسه های تحقیقاتی چندین کشور را هدف حملات خود قرار داده اند.»

وی همزمان با گزارش اخیر محققین کسپرسکی در این مورد افزود: «این بدافزار با ظاهر و فرآیند اجرایی جدید خود دامنه حمله خود را نیز بسیار وسیع تر از قبل نموده که اینبار علاوه بر سازمان های دولتی اروپا، گروه های متنوع دیگری را نیز مورد حمله قرار داده است که از عجیب ترین موارد گزارش شده میتوان به چند باند فروش آنلاین مواد مخدر اشاره نمود.»

طی گزارشات و تحقیقات آزمایشگاههای عنوان شده این بدافزار APT عموماً سازمان های دولتی کشورهای مختلفی از سراسر دنیا از جمله اتریش، فرانسه، آلمان، مجارستان، هلند، اسپانیا، و ایالات متحده را مورد حمله قرار قرار داده بود و بنا به یافته های اخیر محققین آزمایشگاه کسپرسکی نوع قدیمی این بدافزار هنوز در برخی کشورها فعال بوده و برخی موسسات و سازمان های دولتی را هدف قرار می دهد. بهرحال، همانطور که در گفته های یوجین کسپرسکی نیز عنوان شد فعالیت این بدافزار پیچیده تر شده است و با backdoor جدید (که CosmicDuke یا TinyBaron نامیده میشود) تعبیه شده در نسخه های اخیر مینی دوکو این بدافزار میتواند آسانتر از گذشته و با روشهایی نظیر ثبت کلیدها و عبارات تایپی، استخراج و ذخیره داده های clipboard، سرقت کلمه عبور Skype، G-talk، مرورگرها و میل کلاینت های مختلف، و ...  به سرقت داده های گوناگون بپردازد. این نسخه از بدافزار همچنین قادر است سیستم های بروزرسانی نرم افزارهای مهمی نظیر Java، Chrome، و Adobe را در سیستم های آلوده فریب داده و بنوعی بروزرسانی آنها را از کار بیاندازند.

توضیح بیشتر در مورد APT یا تهدید پیشرفته مستمر:

تهدید پیشرفته مستمر (Advanced persistent threat) منظور روشهای پیشرفته و معمولاً مخفی برای بدست آوردن مستمراطلاعات در مورد فرد یا گروهی از افراد از جمله دولتهای خارجی است.

در حوزه امنیت اطلاعات، منظور زیرمجموعه‌ای از تهدیدهاست که در یک الگوی دراز مدت حملات نفوذی پیچیده علیه دولت‌ها، شرکت‌ها و فعالان سیاسی استفاده می‌شود. این اصطلاح به گروهی که پشت این حملات است نیز اشاره می‌کند. تصور غلط رایج درباره APT این است که این نوع تهدیدها بطور ویژه دولت‌ها را هدف قرار داده‌است. فناوری ('اینترنتی') APT توسط حمله کنندگان در بسیاری از کشورها استفاده می‌شود به عنوان وسیله‌ای برای جمع آوری اطلاعات از فرد، گروه و افراد مشخص گفته می‌شود که برخی از گروه‌های درگیر در APT توسط منابع متعدد دولتی به طور مستقیم یا غیر مستقیم حمایت می‌شوند.

تعریف متفاوتی از APT ارائه شده‌است. اما می‌توان بر اساس اجزای نام آنرا توضیح داد:

تهدید -- بدین معنی است که سطحی از همکاری انسانها در انجام این حملات وجود دارد به جای اینکه برنامه کامپیوتری بطور خودکار انجام دهند. عاملین یک هدف خاص دارند و ماهر، با انگیزه، سازمان یافته و خوب تامین شده هستند.

پیشرفته -- حمله کنندگان در پشت تهدید از طیف کاملی از تکنیک‌های جمع آوری اطلاعات استفاده می‌کنند. این ممکن است شامل تکنیک‌های پیشرفته نفوذ باشد، اما همچنین ممکن است شامل تکنیک‌های جمع آوری اطلاعات متداول از قبیل فناوری‌های استراق سمع تلفن و تصویربرداری ماهواره‌ای باشد. در حالی که بعضی از ابزار حمله ممکن است "پیشرفته" دسته بندی نشوند (مثلاً نرم‌افزارهای مخرب معمول که در دسترس عموم است) ولی عاملین حمله معمولاً امکان دسترسی و توسعه بیشتر ابزارهای پیشرفته مورد نیاز را دارند. آنها از روش‌ها و ابزار مختلف حمله جهت رسیدن به هدف خود استفاده می‌کنند.

مستمر -- عاملین حمله هدف خاصی را در اولویت قرار می‌دهند و به دنبال بدست آوردن نفع مالی فوری نیستند. این نوع تهدیدها نشان بر این است که حمله کنندگان توسط موجودیتهای پشت پرده هدایت می‌شوند. حمله از طریق نظارت مستمر و تعامل به منظور دستیابی به اهداف تعریف شده‌است. منظور حملات مداوم و به روز رسانی نرم‌افزارهای مخرب نیست. در واقع روش "آهسته و پیوسته" روش معمولاً موفق تری است.