به تازگی کارشناسان شرکت روسی «کسپرسکای» اعلام کردهاند که یک بدافزار جاسوسی از سالها قبل به سیستمهای کامیپوتری بیش از ۳۰ کشور جهان، از جمله ایران نفوذ کرده است.
به گزارش خبرگزاری رویترز، متخصصان امنیت دیجیتال شرکت کسپرسکای، در نشستی که شانزدهم فوریه سال جاری برگزار شد اعلام کردند که هارد دیسکهای کشورهای مورد اشاره از سالها پیش تحت نظارت آژانس امنیت ملی آمریکا (NSA) بوده است.
بر اساس این گزارش، موسسههای دولتی٬ سازمانهای نظامی٬ شرکتهای مخابراتی٬ بانکها، مراکز انرژی اتمی٬ رسانهها و فعالان اسلامگرا از مهمترین اهداف این پروژه جاسوسی بودهاند.
بررسی کد این بدافزار جاسوسی نشان میدهد که سالها از توسعه آن میگذرد و بیشترین میزان آلودگی به این بدافزار جاسوسی نیز در سیستمهای کامپیوتری ایران بوده است.
به نوشته رویترز « روسیه، الجزایر، سوریه، پاکستان، افغانستان، مالی و یمن» نیز از دیگر قربانیان این شیوه جاسوسی دیجیتال بودهاند.
در گزارش منتشر شده شرکت «کسپرسکای»، به کشور یا کشورهایی که ممکن است در توسعه این بدافزار جاسوسی نقشی داشته باشند اشاره نشده است اما کارشناسان کسپرسکای از ارتباط این بدافزار با «استاکس نت» سخن گفتهاند. استاکسنت بدافزاری بود که با نفوذ به تأسیسات غنیسازی اورانیوم ایران، مدتها چرخه کار در مراکز اتمی این کشور را مختل کرد.
شرکت کسپرسکای علاوه بر اعلام خبر وجود این بدافزار جاسوسی، جزئیات فنی مرتبط با این بدافزار را نیز منتشر کرده تا شرکتهایی که سیستمهای آنها به آن آلوده است٬ بتوانند خود را پالایش کنند.
گزارش شده که برخی از سیستمها از سال ۲۰۰۱ به این بدافزار آلوده بودهاند و از قربانیان قدیمی این پروژه محسوب میشوند.
برای جزئیات بیشتر از این بدافزار «ایران وایر» گفتگویی را با آرش آبادپور، کارشناس امنیت شبکه و اینترنت انجام داده که در ادامه میخوانید:
آقای آبادپور، ممکن است یک توضیح کلی دربارهی شیوهی کار این بدافزار به زبان ساده برای مخاطبان ما بدهید؟
گزارش کسپراسکای یکی از طولانیترین و پرجزییاتترین مدارکی است که در سالهای اخیر دربارهی ابزارهای جمعآوری اطلاعات سایبری خواندهایم. بنابرگزارش منتشر شده، گروه Equation از مجموعهای از بدافزارها، که کسپراسکای به آنها نامهایی نظیر EQUATIONDRUG و DOUBLEFANTASY داده است، استفاده میکند و از دو مسیر هدفمند و مبتنی بر جستجو، برای پیدا کردن قربانیانش استفاده میکند. این یعنی ممکن است سختافزاری مورد حمله قرار بگیرد به این دلیل که مثلا گروه میدانستهاست که یک سفیر، شخصیت سیاسی مهم، یا دانشمند هستهای از این ابزار استفاده میکند. از طرف دیگر، افراد زیادی توسط بدافزار مورد حمله قرار میگیرند و سپس دربارهی اهمیت آنها تصمیمگیری میشود. ممکن است بدافزار تصمیم بگیرد که قربانی اهمیت ویژهای ندارد و از روی سختافزار او پاک شود.
از نگاه دیگر، ما عملا با بدافزاری روبرو نیستیم که مثلا روی سیستم عامل نصب میشود و عملیات Keyloggerی انجام میدهد (keylogger کلیدهای فشرده شده توسط قربانی را به سروری میفرستد). گروه Equation یک بستر بدافزاری تولید کردهاست که کنترل سیستم عامل را در دست میگیرد و با تغییر نرمافزار مدیریت هارددیسک امکان تولید یک فایلسیستم مجازی و مخفی را میدهد. این یعنی، بدافزار عملا لایهای بین سیستم عامل و سختافزار تشکیل میدهد و بسته به میزان اهمیت کاربر از نظر حملهکنندگان، رفتار او را تحت نظارت کامل قرار میدهد.
و همینجاست که گروه Equation و روشهای مورد استفادهی آن را باید دقیقتر بررسی کرد. نکتهی مهم دربارهی گزارش کسپراسکای این است که دیگر دوران بدافزارهای تنهایی که با سعی و خطا به سختافزارها حمله میکنند و تلاش میکنند اطلاعات بانکی بدزدند و یا با رمزکردن هارد قربانی پولی طلب کنند گذشته است. در گزارش میخوانیم که بدافزار علاوه بر استفاده از وبسایتها و تبلیغات آلودهی اینترنتی، از USB Stick و CD برای انتقال خود استفاده میکردهاست. و همینجاست که میتوان از میزان قدرت گروه تصویری پیدا کرد. در یک مورد، برای شرکتکنندگان در کنفرانس در هوستون، که بدلیلی برای گروه جالب توجه بود، بعد از کنفرانس CDهایی ارسال شد که حاوی بدافزارهای گروه بود. واضح است که این بدافزارها در دسترس کسی جز گردانندگان نهاد توسعه دهندهی آن نیستند. کسپراسکای حدس میزند که ممکن است مواردی وجود داشته باشد که کسی که CD بصورت آنلاین سفارش دادهاست و بسته در مسیر تغییر داده شده و به بدافزار آلوده شده است. استفاده از وبسایتهای «جهادی» یکی دیگر از روشهای مورد استفادهی گروه Equation بوده است.
به این ترتیب، گزارش کسپراسکای تصویری از یک بدافزار بسیار پیچیده ترسیم میکند که منابع مالی و انسانی فراوانی برای توسعهی آن هزینه شدهاست و نهاد توسعهدهنده دسترسی آزادی به روشهای اعمال قدرت در فضای بیرون داشته است. به این دلایل، تصور اینکه این بدافزار توسط کسی جز نهادهای دولتی در یکی از کشورهای بزرگ توسعه داده شده باشد سخت است.
گزارش شده که این بدافزار با تکنیک بسیار پیچیده و پیشرفتهای در هارد دیسکها پنهان شده بوده و میتوانسته در طول زمان روشن بودن رایانه از راه دور به کلیه اطلاعات ذخیره شده دسترسی داشته باشد. پرسش این است که اساسا این بدافزار چگونه وارد هارددیسکها شده است؟
یکی از فرضهای اساسی برای مبارزه با هر بدافزاری این است که کافی است سیستمعامل کامپیوتر را از نو نصب کنیم تا سختافزاری سالم داشته باشیم. پیشنهاد ِ دیگر، فرمتکردن کامل هارددیسک است. اینجاست که گزارش کسپراسکای جالب توجه میشود. بدافزارهای گروه Equation با تغییر نرمافزار مدیریت کنندهی هارددیسک، این امکان را به آن میدادهاند که فایلهای بدافزار در سناریوهایی نظیر تغییر سیستمعامل و حتی فرمتشدن خدشهای نخورند. بهاین ترتیب، دسترسی این بدافزار به هارددیسک، صرفا بهدلیل دزدیدن اطلاعات نیست. این بدافزار با کنترل هارددیسک از خود محافظت میکند.
با توجه به گزارش، قربانیان از طرف وبسایتهای آلوده، USB Stick و CD آلوده میشدهاند.
کسپراسکای در گزارش خود از ارتباط این بدافزار با «استاکسنس» خبر داده است. این ارتباط چه پیامی میتواند داشته باشد؟
یکی از نکات مهم در بحث امنیت دیجیتال، کشف نقطهی صفر شروع اپیدمیهای بزرگ است. این عملا خیلی شبیه پیدا کردن اولین اشخاصی است که دچار بیماریای مانند ابولا میشوند. با پیدا کردن این افراد میتوان دربارهی منشا بیماری و روشهای انتقال آن اطلاعات مهمی پیدا کرد. کسپراسکای در تحقیقاتش متوجه شده است که تعدادی از سیستمهای مبتلا به استاکسنت، توسط گروه Equation مورد حمله قرار گرفته بودهاند. با توجه به بحثی که دربارهی روش مورد استفادهی گروه برای انتخاب قربانیانش کردیم، این احتمال ِ قابل توجهی است که ممکن است بدافزارهای گروه Equation برای انتقال استاکسنت به سیستمهای هدف مورد استفاده قرار گرفته باشد. نکتهی مهم این است که در فهرست پلاگینهای EQUATIONDRUG، که یکی از بدافزارهای گروه است، ابزارهای مناسبی برای آلوده کردن سختافزارها به کدی که سرور مرکزی میفرستد وجود دارد. به این ترتیب، یکی از نتیجهگیریهای کسپراسکای این است که بدافزار کشف شده عملا بعنوان یک سکوی پرتاب برای بدافزارهای دیگر هم عمل میکرده است. حقیقت این است که کد بدافزاری مانند استاکسنت را صرفا میتوان از نهادی که آن را توسعه داده است گرفت. این فرضیه، که بسیار قابل دفاع بهنظر میرسد، در عمل میگوید ارتباط نزدیکی بین Equation و کشورهای غربی که متهم اول تولید استاکسنت هستند وجود دارد.
با انتشار چنین خبری، بسیاری از کاربران نسبت به شرکتهای سازنده رایانه و هارددیسک، مشکوک خواهند شد. مثلا همین الان که من دارم این پرسش را از شما میپرسم، از لپتاپ «مک بوک» شرکت اپل استفاده میکنم و این پرسش به ذهنم خطور کرده که ممکن است من نیز هماینک قربانی جاسوسی شرکت اپل باشم. چنین چیزی امکانپذیر است؟
ما در دنیایی زندگی میکنیم که با کد احاطه شدهاست. هر ابزاری که دربرابر ما واکنشی نشان میدهد و در چند سال اخیر ساخته شدهاست، احتمالا حاوی میزانی کد است. کد یعنی چیزی مثل «اگر... آنگاه...» یا «این اطلاع را در آن فایل قرار بده». حتی اگر من و تو کدنویس هم باشیم، اغلب تنها کاری که از ما برمیآید اعتماد به سازندهی سختافزار و نویسندهی نرمافزار است. ما چارهای نداریم جز اینکه اعتماد کنیم که دهها هزار خط کدی که هارددیسک لپتاپ ما را مدیریت میکند و میلیونها خط کدی که محیطی مانند ویندوز را میسازد، دقیقا همان کاری را میکنند که روی وبسایت ادعا شده است. نکتهی کلیدی این است که حالا دیگر تنها منشا خطر، سازندگان ابزارها نیستند و ممکن است بیدقتی آنها باعث بازشدن درهای پشتیای برای گروههایی مانند Equation شود که نرمافزارها را تغییر میدهند.
از طرف دیگر، باید کمکم بپذیریم که مفهوم کنترل روی اطلاعات شخصی، از وضعیتی سیاه و سفید به موقعیتی خاکستری تبدیل شده است. یا اینطور بگویم، دیگر موضوع این نیست که آیا اطلاعات شخصی من صرفا در اختیار من است یا خیر. اغلب فایلهای اطلاعاتی مهم ما جایی در فضاهای ابری هستند یا روی شبکهی WiFi جابهجا میشوند. در عمل، اتفاق از این جلوتر رفته است. مثلا، اگر ماشین شما یک سیستم Navigation دارد که امکان پخش موسیقی، فرستادن پیامهای صوتی و احتمالا استفاده از نقشه را میدهد، این نرمافزار اطلاعات زیادی دربارهی رانندگی شما جمعآوری میکند. مثل اگر دیروز در اتوبانی چند لحظه با سرعت ۱۵۰ کیلومتر در ساعت رانندگی کردید، این نرمافزار آن را میداند. به این دلیل، سوال مهم این است که چه کسی به اطلاعات من دسترسی دارد و با آن چه خواهد کرد.
من دارم این جملات را در Word مینویسم که اخیرا تصمیم گرفتهاست من را مجبور کند login کنم. این یعنی Word میداند که شخص من دارد این خطوط را مینویسد و با توجه به اینکه سختافزار من به خط اینترنت متصل است، این اطلاع کاملا ممکن است بهدلایلی خیرخواهانه، مثلا backup گرفتن یا امکان ویرایش فایل در محیطهای مختلف، برای سرور دیگری هم فرستاده شود. اگر مضمون این متن فعالیتی باشد که در کشوری که ساکن آن هستم مشکوک تلقی میشود، آیا کسی جایی متن را بدون اجازهی من نخواهد خواند؟ دقیقترین جواب به این سوال «نمیدانم» است.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر