اوایل سال 2015 ، محققان کسپرسکی به نفوذ سایبری عواملی که سیستم های داخلی این شرکت را تحت تاثیر قرار می دهد، پی بردند.
به دنبال این کشف، تحقیقات بزرگی آغاز شد. نتیجه این تحقیقات کشف پلت فرم بدافزار جدیدی است که یکی از قدرتمندترین، پیچیده ترین و ماهرترین بدافزارها در دنیای APT ها می باشد. این بدافزار Duqu است. این بدافزار در سال 2012 ناپدید شد و محققان تحقیق روی این پروژه را تا کنون متوقف ساخته بودند. تجزیه و تحلیل تکنیکی این بدافزار محققان را به این نتیجه رسانده است که این بدافزار نسخه ی به روز شده ی duqu 2012 می باشد و در برخی موارد نیز مشابه stuxnet معرفی شده است.محققان کسپرسکی این بدافزار را duqu 2.0 نامیده اند.
برخی اقدامات duqu 2014 و 2015 به وقایع گروه 5+1 و مکانهای مربوط به توافقات هسته ای ایران ارتباط می یابد. به نظر می رسد تهدیدات پشت پرده ی duqu برای حمله به مکانهایی که برای این مذاکرات سطح بالا در نظر گرفته شده بود، طراحی شده است.
از نقطه نظر تهدیدات، هدف قرار دادن امنیت شرکت ها درسطح جهانی بسیار دشوار است.از یک سو به طور قطع به این معناست که این حمله انجام خواهد شد– که بسیار بعید به نظر می رسد که نهدید ناشناخته بماند. در نتیجه هدف قرار دادن شرکت های امنیتی نشان می دهد که یا آنها نسبت به در امان بودن از این چنین تهدیداتی مطمئن هستند، و یا شاید توجهی نسبت به هدف چنین تهدیداتی قرار گرفتن ندارند.با هدف قرار دادن آزمایشگاه کسپرسکی،شاید duqu به امید ناشناخته ماندن و ناپدید شدن، این حملات را پی ریزی کرده باشد.
این بدافزار در طول عملیات خود درایور های آلوده را بر روی فایروال ها، پرتال های ورودی و یا هر سرور دیگری که به صورت مستقیم به اینترنت دسترسی دارد از یکسو و شبکه های در دسترس از سوی دیگر،نصب می کند.به این ترتیب همزمان به چند هدف دسترسی می یابند: دسترسی به زیرساخت های شبکه از طریق اینترنت،اجتناب از ثبت ورود در سرورهای proxy سازمان و در نهایت حفظ فرم دائمی.
در اصل این درایور ها مجددا از طریق پرتال ورودی به جریان شبکه هدایت می شوند. به منظور برقراری ارتباط، مجرمان بایستی ابتدا از مکانیزم ” knocking” بر مبنای شبکه با استفاده از یک کلمه عبور بگذرند. آزمایشگاه کسپرسکی تاکنون دو کلمه عبور نمونه را کشف کرده است. romanian.antihacker و ugly.gorilla .
اجازه دهید به جزئیات مسئله بپردازیم. درایور به شبکه گوش سپرده و در انتظار یک کلمه عبور می ماند.( برای مثال Romanian.antihacker). پس از آن IP میزبان را ذخیره کرده و هدایت مجدد تمامی بسته ها از پورت 443 به 445 (SMB) یا 3389 (remote desktop) همان سرور را آغاز می کند. این کار مسلما اجازه ی tunnel SMB و همچنین کنترل صفحه نمایش از طریق سرور ورودی را در حالیکه مشابه ترافیک HTTPS می باشد را به مجرم می دهد.(port 443).
علاوه بر درایور Romanian.antihacker مورد مشابه دیگری نیز کشف شده است، اگرچه کانکشن های بیشتری را در مسیرهای کلی دیگری پشتیبانی می کند:
- اگر درایور کلمه ی عبور ugly.gorilla1 را تشخیص دهد، تمام ترافیک IP مجرم از پورت 443 (HTTPS ) به 445 ( SMB) دوباره هدایت خواهد شد.
- اگر درایور کلمه عبور ugly.gorilla2 را تشخیص دهد، تمام ترافیک IP مجرم از پورت 443 ( HTTPS) به 3389 ) RDP) دوباره هدایت خواهد شد.
- اگر درایور کلمه ی عبور ugly.gorilla3 را تشخیص دهد ، تمام ترافیک IP مجرم از 443 (HTTPS) به 135 (RPC) دوباره هدایت خواهد شد.
- اگر درایور کلمه ی عبورugly.gorilla4 را تشخیص دهد ، تمام ترافیک IP مجرم از 443 (HTTPS) به 139(NETBIOS) دوباره هدایت خواهد شد.
- اگر درایور کلمه ی عبورugly.gorilla5 را تشخیص دهد ، تمام ترافیک IP مجرم از 1723 (PPTP) به 445(SMB) دوباره هدایت خواهد شد.
- اگر درایور کلمه ی عبورugly.gorilla6 را تشخیص دهد ، تمام ترافیک IP مجرم از 443 (HTTPS) به 47012(که همچنان ناشناخته است) دوباره هدایت خواهد شد.
باید گفت پورت 47012 مشکوک می باشد. هیچ کدام از اجزای duqu 2.0 از این پورت استفاده نکرده اند، و یا حتی هیچ بدافزار دیگری با در پشتی و یا نرم افزارهای قانونی نیز مشاهده نشده است. اگرچه شماره ی این پورت برای بدافزارهای مخرب hardcoded می باشد، ممکن است نشانه ای از سازش با duqu 2.0 باشد.
درایور 64 بیتی دربردارنده ی نام DLL داخلی”termport.sys” می باشد، در حالیکه نام فایل در سیستم فایل “portserv.sys” بوده است. این به این معناست که مجرمان اسامی فایل ها را برای عملیات های مختلف تغییر می دهند و شناسایی این حمله نباید فقط با اتکا به نام فایل ها انجام گیرد.
شاید مهمترین قسمت استراتژی این حملات امضای دیجیتالی مورد استفاده بر درایور 64 بیتی باشد. به خاطر نیاز لاجرم سیستم های ویندوز 64 بیتی، درنتیجه درایور بایستی امضای دیجیتالی معتبر داشته باشد. امضا شده توسط “HON HAI PRECISION INDUSTRY CO. LTD.”
امضای دیجیتالی مجرمان
بر طبق اطلاعات درایور در ساعت 20:31 ، 19.02.2015 امضا شده است.
منبع: www.securelist.com
