fanavaran
آخرین اخبار
   
    کد خبر : 5455
    تاریخ انتشار : 9 بهمن 1390 10:59
    تعداد بازدید : 390

    زوایای خطرناک دیگر استاکس نت و دوکو

    آزمايشگاه كسپرسكي، شركت پيشرو در ارایه راه حل هاي امنيت اطلاعات اعلام كرد، اطلاعات جدید درباره آلودگی به اسب های تروای دوکو و استاکس نت موید آن است که یک تیم روی این خانواده از برنامه های مخرب کار می کند و همچنین این فرض را ممکن می سازد که از پلات فورمی استفاده شده باشد که با هدف های خاص به طور انعطاف پذیر قابل انطباق است.

    فناوران - علاوه بر این، این پلات‌فورم ممکن است مدت‌ها قبل از انتشار استاکس‌نت ایجاد شده باشد و بسیار فعال‌تر از آنچه تاکنون فرض شده است، مورد استفاده قرار گرفته باشد. متخصصان کسپرسکی این نتیجه‌گیری را بر اساس تجزیه و تحلیل دقیق درایورهای استفاده شده برای آلوده کردن سیستم‌ها به دوکو و استاکس‌نت و نیز برخی برنامه‌های مخرب که جزییات آنها تاکنون شناخته نشده است، عنوان کرده‌اند.
    به اعتقاد متخصصان آزمایشگاه کسپرسکی، این پلات‌فورم که Tilded نامگذاری شده است (به دلیل تمایل ایجادکننده‌های آن به استفاده از فایل‌هایی که با نماد نویسه tilde (~) شروع می‌شوند)، برای ایجاد استاکس‌نت و دوکو و نیز برنامه‌های مخرب دیگر استفاده شده است.
    ارتباط بین دوکو و استاکس‌نت در حین تجزیه و تحلیل یکی از رویدادهای مرتبط با دوکو آشکار شد. در حین بررسی سیستم آلوده که گمان می‌رفت در اوت سال 2011 مورد حمله قرار گرفته باشد، یک درایور شناسایی شد که با درایور استفاده شده به وسیله یکی از نسخه‌های استاکس‌نت مشابه بود.
     گرچه شباهت آشکاری بین دو درایور وجود داشت، تفاوت‌هایی نیز در جزییات آنها مانند تاریخ امضای گواهی دیجیتال وجود داشت. فایل‌های دیگری که امکان نسبت دادن آنها به فعالیت استاکس‌نت وجود داشته باشد، شناسایی نشد، اما نشانه‌هایی از فعالیت دوکو وجود داشت.
    پردازش اطلاعات به دست آمده و جست‌وجوی بیشتر در پایگاه داده برنامه‌های مخرب آزمایشگاه کسپرسکی امکان آشکار کردن یک درایور دیگر با ویژگی‌های مشابه را میسر ساخت. این درایور بیش از یک سال پیش کشف شد، اما فایل آن در ژانویه سال 2008، یک سال قبل از ایجاد درایورهای استفاده شده به وسیله استاکس‌نت کامپایل شده بود. متخصصان آزمایشگاه کسپرسکی مجموعا هفت نوع درایور با ویژگی‌های مشابه را شناسایی کردند.
     لازم به ذکر است که هیچ اطلاعاتی تاکنون درباره سه مورد از آنها به دست نیامده است، به خصوص اینکه با کدام برنامه مخرب استفاده شده‌اند.
    الکساندر گوستف، متخصص ارشد امنیت در آزمایشگاه کسپرسکی، گفت: درایورهای برنامه‌های مخربی که هنوز شناخته نشده‌اند را نمی‌توان به فعالیت تروجان‌های استاکس نت و دوکو نسبت داد. شیوه‌های انتشار استاکس نت، ممکن است آلودگی‌های بسیاری را با استفاده از این درایورها موجب شده باشد و به دلیل تاریخ کامپایل، نمی‌توان آنها را به تروجان هدفمندتر دوکو نیز نسبت داد.
    وی افزود: معتقدیم که این درایورها یا در نسخه قدیمی‌تر دوکو استفاده شده‌اند و یا برای آلودگی با استفاده از برنامه‌های مخرب کاملا متفاوتی به کار رفته‌اند که گذشته از این، پلات‌فرم یکسانی دارند و احتمالا توسط یک تیم ایجاد شده‌اند.
    بر اساس تفسیر متخصصان آزمایشگاه کسپرسکی، تبهکاران سایبری که دوکو و استاکس‌نت را ایجاد کرده‌اند، نسخه جدید درایور را چند بار در سال ایجاد می‌کنند که برای بارگذاری ماژول اصلی برنامه مخرب استفاده می‌شود. به محض حمله‌های جدید برنامه‌ریزی شده، چند پارامتر درایور مانند کلید رجیستری با کمک یک برنامه خاص تغییر داده می‌شود. این فایل بسته به نوع کار می‌تواند به وسیله یک گواهی دیجیتال حقوقی نیز امضا شود یا به طور کلی بدون امضا باقی بماند.
    بنابراین، دوکو و استاکس‌نت پروژه‌های جداگانه‌ای هستند که بر اساس پلات‌فورمی به نام Tilded ایجاد شده‌اند که حدودا در اواخر سال 2007 و اوایل سال 2008 ایجاد شده است. این پروژه به احتمال زیاد تنها پروژه نبوده است، اما اهداف و کارهای انواع مختلف برنامه اسب تروا تاکنون شناخته نشده است. نمی‌توان انکار کرد که این پلا‌ت‌فورم همچنان توسعه خواهد یافت.
     علاوه بر این، کشف دوکو توسط متخصصان امنیت بدین معناست که تغییرات بیشتری روی پلا‌ت‌فورم در حال انجام است یا در آینده انجام خواهد شد.
    نسخه کامل گزارش الکساندر گوستف و ایگور سامنکوف در Securelist موجود است.


    نظر شما



    نمایش غیر عمومی
    تصویر امنیتی :