تداوم حملات یک جاسوس‌افزار به شرکت‌ها

 
کارشناسان معاونت بررسی مرکز افتا از همه کاربران خواسته‌اند تا ایمیل‌های ناشناس را به‌هیچ وجه باز نکنند تا در دام ایمیل‌های فیشینگ گرفتار نشوند. مهاجمان سایبری با استفاده از نسخه جدیدی از یک جاسوس‌افزار قدیمی به نام Separ اطلاعات ۲۰۰ شرکت را در ۱۰ کشور سرقت کردند.
 
 مرکز مدیریت راهبردی افتای ریاست جمهوری به نقل از پایگاه اینترنتی BleepingComputer، اعلام کرد که جاسوس افزار Separ پس از نصب، اطلاعات احراز هویت مرورگرها و نرم‌افزارهای مدیریت‌کننده ایمیل را سرقت و اسناد بالقوه بااهیمت را بر اساس پسوند آنها جست‌وجو و شناسایی می کند.
 
تمامی داده‌های جمع‌آوری شده این جاسوس افزار، با استفاده از پودمان FTP به یک سرویس‌دهنده رایگان میزبانی وب به نشانی freehostia[.]com ارسال می‌شود.
بدافزار Separ داده‌های ثبت ورود (Login) را از مرورگرها و نرم‌افزارهای مدیریت‌کننده ایمیل استخراج کرده و به همراه مستندات و تصاویر با پسوندهای خاص به مهاجمان ارسال می‌کند.
جاسوس افزار Separ از قابلیت Autorun برای ماندگار کردن خود بعد از راه‌اندازی سیستم قربانی استفاده می کند. مهاجمان این کارزار از ایمیل‌های فیشینگ هدفمند  (Spear-phishing) که کدهایی مخرب در قالب فایل PDF به آن‌ها پیوست شده برای رخنه به سیستم‌ها و آلوده‌سازی آن‌ها به بدافزار بهره می‌گیرند.
 
در این عملیات جاسوسی سایبری، تاکنون حداقل ۲۰۰ دستگاه در حدود ۱۰ کشور قربانی و آلوده شده است که تقریباً ۶۰ درصد از این قربانیان شرکت‌هایی در کره جنوبی هستند که در حوزه مهندسی، ساخت‌وساز، فولاد، مواد شیمیایی و ساخت لوله و شیرآلات فعالیت دارند.
 
تایلند و چین به‌ترتیب با ۱۲.۹ و ۵.۹ درصد در جایگاه‌های دوم و سوم کشورهای آلوده به این عملیات جاسوسی سایبری قرار دارند. ژاپن، اندونزی، ترکیه، اکوادور، آلمان و انگلیس دیگر قربانیان این حملات هستند.
 
ایمیل‌های فیشینگ ارسالی از سوی این مهاجمان به نحوی کاملاً خاص و حرفه‌ای، ویژه هر هدف طراحی شده است. در یکی از آن‌ها این طور وانمود شده که ارسال‌کننده کارمند یکی از شرکت‌های تابعه زیمنس است و درخواست پیشنهاد قیمت برای طراحی نیروگاهی در جمهوری چک را دارد. در پیوست پیام ارسالی این مهاجم سایبری، نمودار و مقاله‌ای فنی (که البته به‌صورت عمومی در اینترنت نیز قابل دسترس است) در خصوص نحوه راه‌اندازی یک پالایشگاه تولید بنزین به چشم می‌خورد. یا در یک درخواست پیشنهاد قیمت جعلی دیگر، مهاجم به ساخت یک نیروگاه ذغال‌سنگ در اندونزی اشاره و تظاهر می‌کند که از بخش مهندسی یک شرکت صاحب‌نامِ خوشه‌ای در ژاپن ایمیل ارسال شده است.

جاسوسی بدافزار آمریکایی از نیروگاه برق روسیه

علیرغم ادعاهای آمریکا در مورد جاسوسی های سایبری روسیه، خود این کشور با کاشت بدافزار در درون یک نیروگاه برق روسیه برای آسیب زدن به آن تلاش کرده است.
 
به گزارش یاهونیوز، علیرغم ادعاهای آمریکا در مورد جاسوسی های سایبری روسیه، خود این کشور با کاشت بدافزار در درون یک نیروگاه برق روسیه برای آسیب زدن به آن تلاش کرده است. بدافزار یادشده نه تنها برای کنترل و نظارت بر فعالیت های این نیروگاه به کار گرفته شده، بلکه می تواند به دیگر بخش های شبکه توزیع برق روسیه نیز نفوذ کند و در صورت لزوم خساراتی به آن وارد کند.
 
آمریکا از سال 2012 این بدافزار را علیه روسیه به کار گرفته است و مشخص نیست از این طریق تا به حال چه خسارات مادی و معنوی به روسیه وارد شده است.
 
بر اساس قوانین داخلی آمریکا، نظامیان این کشور مجاز به طراحی حملات سایبری علیه کشورهای متخاصم به طور مخفیانه بوده و حتی می توانند حملات خود را به طور پیش دستانه و بدون موافقت رئیس جمهور این کشور انجام دهند. پیش از این ترامپ رئیس جمهور امریکا تصریح کرده بود که روس ها حملات سایبری را متوقف کرده اند، اما ظاهرا نظامیان این کشور چنین اعتقادی ندارند.
 
اگر چه این خبر اولین بار از طریق روزنامه نیویورک تایمز به رسانه ها درج کرده و مقامات آمریکایی به طور رسمی در این زمینه موضع نگرفته اند، اما جان بولتون مشاور امنیت ملی ترامپ این هفته تصریح کرده بود که آمریکا در حال توسعه اهداف بالقوه آنلاین خود است تا به روسیه و دیگر کشورهای دشمن در مورد امکان انتقام گیری از آنها هشدار دهد.
 

جاسوسی بدافزار آمریکایی از نیروگاه برق روسیه

علیرغم ادعاهای آمریکا در مورد جاسوسی های سایبری روسیه، خود این کشور با کاشت بدافزار در درون یک نیروگاه برق روسیه برای آسیب زدن به آن تلاش کرده است.
 
به گزارش یاهونیوز، علیرغم ادعاهای آمریکا در مورد جاسوسی های سایبری روسیه، خود این کشور با کاشت بدافزار در درون یک نیروگاه برق روسیه برای آسیب زدن به آن تلاش کرده است. بدافزار یادشده نه تنها برای کنترل و نظارت بر فعالیت های این نیروگاه به کار گرفته شده، بلکه می تواند به دیگر بخش های شبکه توزیع برق روسیه نیز نفوذ کند و در صورت لزوم خساراتی به آن وارد کند.
 
آمریکا از سال 2012 این بدافزار را علیه روسیه به کار گرفته است و مشخص نیست از این طریق تا به حال چه خسارات مادی و معنوی به روسیه وارد شده است.
 
بر اساس قوانین داخلی آمریکا، نظامیان این کشور مجاز به طراحی حملات سایبری علیه کشورهای متخاصم به طور مخفیانه بوده و حتی می توانند حملات خود را به طور پیش دستانه و بدون موافقت رئیس جمهور این کشور انجام دهند. پیش از این ترامپ رئیس جمهور امریکا تصریح کرده بود که روس ها حملات سایبری را متوقف کرده اند، اما ظاهرا نظامیان این کشور چنین اعتقادی ندارند.
 
اگر چه این خبر اولین بار از طریق روزنامه نیویورک تایمز به رسانه ها درج کرده و مقامات آمریکایی به طور رسمی در این زمینه موضع نگرفته اند، اما جان بولتون مشاور امنیت ملی ترامپ این هفته تصریح کرده بود که آمریکا در حال توسعه اهداف بالقوه آنلاین خود است تا به روسیه و دیگر کشورهای دشمن در مورد امکان انتقام گیری از آنها هشدار دهد.
 

نحوه سوءاستفاده از واتس‌اپ برای نصب جاسوس‌افزار

اخیرا جاسوس‌افزاری از طریق نقص در واتس‌اپ شناسایی شد که می‌تواند مکالمات را ضبط کند، پیام‌های خصوصی را به سرقت ببرد، عکس‌ها را پاک و داده‌های موقعیت مکانی را جمع‌آوری کند. البته این آسیب‌پذیری در حال حاضر برطرف شده و برای جلوگیری از آن کاربران باید آخرین نسخه واتس‌اپ را دانلود کنند.
 
واتس‌اپ جزئیات مربوط به یک آسیب‌پذیری جدی در برنامه‌ی پیام‌رسان خود را افشا کرده است که به کلاه‌برداران این امکان را می‌دهد تا از راه دور، جاسوس‌افزاری را در دستگاه‌های آیفون و اندروید به‌سادگی و با برقراری تماس تلفنی با هدف، تزریق کنند.
 
این اشکال که توسط فیس‌بوک کشف شده است، یک آسیب‌پذیری سرریز بافر در تابع VOIP واتس‌اپ است. در این روش که جزئیات آن در مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانه‌ای) آمده است، مهاجم باید با هدف، تماس بگیرد و بسته‌های پروتکل حمل‌ونقل امن (SRTP) را به تلفن ارسال کند تا بتواند از نقص حافظه‌ی موجود در تابع VOIP در واتس‌اپ برای تزریق نرم‌افزارهای جاسوسی و کنترل دستگاه استفاده کند. برای تزریق نرم‌افزار جاسوسی حتی نیازی به پاسخ هدف به تماس نیست و تماس اغلب از ورودی‌های مربوط به تماس پاک می‌شود.
 
سرقت پیام‌های خصوصی
 
در حالی که واتس‌اپ از رمزگذاری سرتاسری (end-to-end) پشتیبانی می‌کند که باید از محتوای ارتباطات بین کاربران محافظت کند، اما اگر دستگاه با نرم‌افزارهای مخرب سازش پیدا کند، این اقدام امنیتی می‌تواند تضعیف شود. این نرم‌افزار مخرب می‌تواند مکالمات را ضبط کند، پیام‌های خصوصی را به سرقت ببرد، عکس‌ها را پاک کند، دوربین گوشی را روشن و داده‌های موقعیت مکانی را جمع‌آوری کند.
 
این نرم‌افزار جاسوسی از گروه NSO (یک شرکت در رژیم صهیونیستی) است که متهم به فروش نرم‌افزارهای جاسوسی خود به دولت‌هایی با پرونده‌های مشکوک حقوق بشر است. محصول پیشگام گروه NSO ، ابزاری به نام پگاسوس (Pegasus) است. این ابزار مخرب، نه‌تنها برای مبارزه با جرایم و تروریسم محلی بلکه برای نظارت بر مرزهای بین‌المللی نیز استفاده می‌شود.
 
به گفته‌ی مهندسین واتس‌اپ، این آسیب‌پذیری چندی پیش برای نصب بدافزار پگاسوس مورد استفاده قرار گرفت و چند روز بعد یک وصله برای کاربران نهایی عرضه کرد. نقص VOIP در واتس‌اپ روی نسخه‌های قدیمی در سیستم عامل اندروید و آی‌اواس و ویندوز فون تأثیر می‌گذارد. البته این آسیب‌پذیری در حال حاضر رفع شده و به همین دلیل لازم است که کاربران واتس‌اپ آخرین نسخه از این نرم‌افزار را دانلود کنند.
 

کشف نرم‌افزار جاسوسی که تصاویر و صدای قربانیان را ضبط می‌کند

محققان امنیتی یک نمونه پیچیده از نرم‌افزارهای جاسوسی را کشف کرده‌اند که در پنج سال گذشته به‌شدت مورد استفاده هکرها و خرابکاران قرار گرفته و تعداد زیادی از اهداف موردنظر خرابکاران را در روسیه و اوکراین آلوده کرده است.
 
درحالی‌که منشأ این حمله و خرابکاری جدید به نام InvisiMole هنوز تعیین نشده است، اعتقاد بر این است که یک ابزار پیشرفته جاسوسی سایبری است که به‌احتمال‌ زیاد طبق شواهد به‌دست‌آمده برای دولت‌های ملی یا باهدف حمله به زیرساخت‌های مالی این کشورها ایجادشده است.
 
واقعیتی که در بررسی‌های میدانی در این باره به‌دست‌ آمده نشان‌دهنده این است که فعالیت این برنامه مخرب به‌صورت کاملاً مخفیانه انجام می‌گیرد که به‌صورت محدود در فقط چند رایانه آلوده یافت شده است، اما این برنامه مخرب به دلیل قابلیت‌های وسیعی که دارد و بعد از ورود به رایانه قربانی چند ماه طول می‌کشد تا خود را توسعه دهد و کشف آن کاری غیرعادی بوده و توسط افراد مبتدی قابل‌کشف نیست.
 
به‌جز چند پرونده که به‌صورت باینری یا دودویی در این خصوص کشف‌شده اطلاعات خاصی در خصوص کمپین، نحوه انتشار و افراد پشت پرده این بدافزار اطلاعات دیگری در دست نیست. یک محقق شرکت آنتی‌ویروس ESET که اخیراً گزارش کاملی درباره این بدافزار جدید نوشته می‌گوید: بررسی‌های ما نشان می‌دهد که بازیگران و افراد خرابکار پشت پردهٔ این بدافزار مخرب حداقل از سال 2013 بر روی این پروژه کارکرده‌اند، تا زمانی که آخرین به‌روزرسانی‌های آنتی‌ویروس ESET برروی کامپیوترهای آلوده در اوکراین و روسیه قرار داده نشود هرگز ردی از این بدافزار یافت نمی‌شد.
 
سوزانا هرامکوا همچنین اضافه کرد: همه بردها و دستگاه‌های متصل به رایانه آلوده در معرض خطر این بدافزار قرار دارند، نصب، راه‌اندازی و دسترسی فیزیکی به دستگاه آلوده امکان انتشار بدافزار را تسهیل می‌کند.
 
بدافزارهای معمولی که در حملات بسیار هدفمند در این مورد خاص استفاده‌شده‌اند، از بسیاری از سرنخ‌هایی که می‌تواند محققان را به سمت طراحان و افراد پشت پرده هدایت کند، مخفی بوده و در خفا فعالیت می‌کنند. بر اساس اطلاعات سایت پلیس فتا، به‌استثنای یک پرونده (به تاریخ 13 اکتبر 2013)، تمام تاریخ‌های تدوین‌شده توسط بدافزار حذف‌شده و یا با صفر جایگزین شده‌اند، سرنخ‌های کمی در مورد زمان‌بندی و طول عمر آن ارائه‌شده است.
 
علاوه بر این، نرم‌افزارهای مخرب جزئی از برنامه‌نویسی هوشمندانه خود هستند و از دو بخش کاملاً مجزا تشکیل‌ شده‌اند که هر دو قسمت ویژگی‌های جاسوسی خاص خود رادارند اما می‌توانند با کمک هم فایل‌های exfiltrating را ایجاد کنند.
 
اولین ماژول اصلی در این بدافزار InvisiMole RC2FM نامیده می‌شود. این ماژول کوچک‌ترین بوده و تنها 15 دستور را پشتیبانی می‌کند که این دستورات ترکیبی از توابع برای تغییر سیستم محلی هستند که برای جستجو و سرقت داده‌ها مورداستفاده قرار می‌گیرند.
 
این ماژول به‌عنوان دومین ماژول پیشرفته مورداستفاده قرار گرفته که جدیدترین ویژگی آن دارای توانایی استخراج تنظیمات پروکسی از مرورگرها و استفاده از آن تنظیمات برای ارسال داده‌ها و کنترل سرور خود وب‌سایت و با تنظیم شبکه محلی مانع از ارتباط بین ماژول کاربر و سرور اصلی می‌شود.
 
بعضی از دستورات این ماژول به بدافزار این امکان را می‌دهد تا میکروفون کاربر را روشن کند، صدای او را ضبط کند و آن را به‌عنوان یک فایل صوتی با فرمت MP3 ذخیره و آن را به سرور InvisiMole C & C ارسال کند.
 
ماژول RC2FM همچنین می‌تواند وب کم کاربر را فعال کند و از محیط اطراف فیلم و عکس تهیه کند. همچنین می‌تواند درایوهای محلی را نظارت کند، اطلاعات سیستم را بازیابی کند و تغییرات پیکربندی سیستم کاربر را کنترل کند.
 
دومین ماژول بدافزار InvisiMole پیشرفته‌تر از انواع قبلی است. این ماژول از 84 دستور backdoor پشتیبانی می‌کند و شامل تقریباً تمام قابلیت‌هایی است که شما از یک بدافزار جاسوسی پیشرفته انتظار دارید.
 
این ماژول شامل پشتیبانی از اجرای دستورات پوسته سیستم‌عامل از راه دور است که شامل دست‌کاری کلیدی رجیستری، اجرای فایل‌های اجرایی، گرفتن فهرستی از برنامه‌های محلی، بارگیری درایورها، گرفتن اطلاعات شبکه رایانه قربانی، غیرفعال کردن UAC، خاموش کردن فایروال ویندوز و غیره است. RC2CL همچنین می‌تواند از طریق میکروفون صدا را ضبط کند و از طریق وب کم عکس‌ها را مشاهده کند، درست مانند ماژول اول.
 
اما به گفته سوزانا هرامکوا این ماژول دارای برخی از ویژگی‌های منحصربه‌فرد است. یکی از این‌ها قابلیت ذخیره فایل‌های خود پس از جمع‌آوری داده‌هاست. این مرحله برای جلوگیری از دسترسی ابزارهای قانونی مانند آنتی‌ویروس‌ها و دیوارهای آتش ویندوز (فایروال‌ها) برای شناسایی فایل‌های کپی بر روی دیسک است و بدافزار بعد از جمع‌آوری آن‌ها را به سرور C & C ارسال می‌کند.
 
یکی دیگر از ویژگی‌های منحصربه‌فرد این بدافزار، توانایی RC2CL است که می‌تواند خود را به یک پروکسی تبدیل کند و ارتباطات بین اولین ماژول و سرور C & C مهاجم را تسهیل کند. این‌یک ویژگی منحصربه‌فرد این بدافزار جاسوسی است، زیرا این قابلیت در بدافزارهای دیگر بسیار کم و به‌صورت محدود تعبیه‌شده است. در کل، شما با یک بدافزار بسیار هوشمند و پیچیده روبه‌رو هستید، که به‌وضوح یک ابزار قدرتمند جاسوسی سایبری است و احتمالاً یکی از بهترین‌ها در حال حاضر است.
 

نشانه‌های آلودگی به جاسوس‌افزارها

جاسوس‌افزارها اگرچه به تخریب اطلاعات کاربر اقدام نمی‌کنند، اما آنها را جمع‌آوری کرده و برای هکرها می‌فرستند. بنابراین لازم است با به‌روز نگه داشتن نرم‌افزارهای امنیتی و سیستم عامل و همچنین باز نکردن لینک‌های مشکوک، از نفوذ آنها جلوگیری شود.
 
جاسوس‌افزار (spyware) مانند ویروس و کرم، نوعی بدافزار است، این نوع بدافزارها دارای ماهیت تخریبی نبوده بلکه تنها اقدام به جمع‌آوری اطلاعات از روی سیستم رایانه شما و ارسال آن برای نفوذگر می‌کند. درنهایت این اطلاعات برای مقاصد خاص فرستاده می‌شود تا از آنها جهت اهداف تجاری، تبلیغی، نظامی و نظارتی و... استفاده شود.
 
جاسوس‌افزار می‌تواند حریم خصوصی کاربران را به خطر بیندازد. این بدافزار بدون اجازه کاربر برروی سیستم کامپیوتری وی نصب شده، کنترل آن را از فرد می‌گیرد و پس از اجرا روی رایانه می‌تواند پیام‌های کاربر را خوانده، مکالمات را شنود کرده و وب‌کم را فعال کند و این اطلاعات شخصی را برای یک شخص ثالث می‌فرستد. در گزارشی که در وب‌سایت پلیس فتا آمده، شیوه نفوذ و راه‌های جلوگیری از نفوذ جاسوس‌افزارها و همچنین نحوه مقابله با آنها تشریح شده است.
 
نشانه‌های آلودگی به جاسوس‌افزارها
 
کندی در هنگام اجرای برنامه‌ها، مشاهده پیغام خطاهای نامفهوم، فعالیت‌های تایید هویت نشده در اشتراک‌های آنلاین از علائم احتمالی آلودگی به جاسوس‌افزارها هستند.
 
از آنجایی که جاسوس‌افزار یک برنامه‌ است، برای اجرا شدن به حافظه و پردازنده نیاز دارد و سرعت کامپیوتر را کاهش می‌دهد. همچنین جاسوس‌افزار برای این که به راحتی اطلاعات کاربر را برای شخص ثالث ارسال کند و تنظیمات سیستم کامپیوتری را تغییر دهد، اغلب بدون اطلاع کاربر دیوار آتش و ضدویروس را غیرفعال می‌کند تا به اهداف خود دست یابد.
 
ظاهر شدن مداوم پنجره‌های پاپ‌آپ نیز از علائم حضور یک جاسوس‌افزار است. بنابراین اگر فرد به صورت مکرر و مداوم با پنجره‌های پاپ آپ مواجه شود، امکان وجود جاسوس‌افزار در سیستم کامپیوتری وی زیاد است. از طرفی بعضی جاسوس افزارها طوری تنظیمات مرورگر را تغییر می‌دهند که برخلاف میل کاربر و بدون توجه به آدرس وارد شده در نوار آدرس و یا نوار جستجو صفحاتی را به وی نشان دهد که در جهت اهداف تبلیغاتی طراحان آن جاسوس‌افزار است.
 
برای محافظت از سیستم در برابر جاسوس‌افزارها راه‌های گوناگونی وجود دارد، از جمله اینکه باید اطمینان حاصل کنید نرم‌افزار امنیتی و سیستم عامل رایانه شما به‌روز است. زیرا بسیاری از نفوذهای امنیتی به دلیل به‌روز نبودن سیستم‌ها اتفاق می‌افتد. به علاوه لازم است مرورگر خود را به‌روز نگه دارید و آن را به گونه‌ای تنظیم کنید که در صورت باز شدن صفحه و یا دانلود به شما اطلاع‌رسانی کند.
 
باید هنگام وب‌گردی محتاط باشید و از کلیک کردن روی لینک‌های مشکوک خودداری کنید. همچنین هرگز رو لینک‌هایی که در ایمیل‌های ناشناس مشاهده می‌کنید، کلیک نکنید. بسیاری از هکرها لینک‌های مخرب را جاسازی می‌کنند و کاربرانی که به این موضوع توجه نداشته باشند، ناخواسته راه را برای هکرها و بدافزارها باز می‌کنند.
 
از جمله راهکارهای امنیتی دیگر این است که اطمینان حاصل کنید فایروال سیستم شما فعال است، برنامه‌های مورد نیاز خود را از منابع مطمئن دانلود کنید و همچنین وب‌کم رایانه خود را در زمانی که از آن استفاده نمی‌کنید بپوشانید.
 
در صورت آلوده شدن رایانه چه باید کرد؟
 
یک نرم‌افزار امنیتی نصب کنید. پس از این که از حذف شدن جاسوس‌افزار مطمئن شدید تمامی رمزهای عبور مربوط به اشتراکات آنلاین خود را تغییر دهید. همچنین با استفاده از نرم‌افزار امنیتی نصب‌شده تمام سیستم خود را اسکن کنید.
 
در نهایت با توجه به راهی که این بدافزارها همواره برای دسترسی به اطلاعات کاربران در پیش می‌گیرند، اگر اقدامات امنیتی را رعایت نکنید، همچنان احتمال آلودگی به این نوع از بدافزارها وجود دارد. بنابراین از آنجایی که بهترین راه مقابله با آنها پیشگیری است، توصیه می‌شود در آینده بیشتر مواظب باشید و اقدامات ایمنی را بیشتر رعایت کنید.