سازمانهای ایران در تنگنای جاسوسی سایبری جدید
خبرگزاری تسنیم: مؤسسات نظامی، مخابراتی، هوا و فضا، انرژی، تحقیقات هستهای، نفت و گاز، نانوتکنولوژی، مؤسات مالی، شرکتهای تولید کننده تکنولوژیهای رمزنگاری، سفارتخانهها، مؤسسات دولتی، مؤسسات تحقیقاتی و پژوهشگاههای اسلامی در معرض جاسوسی قرار گرفتند.
به گزارش خبرنگار فناوری اطلاعات و ارتباطات خبرگزاری تسنیم، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای اعلام کرده که یک گروه جاسوسی سایبری با مجموعه ابزاری مشابه ابزارهای مورد استفاده توسط آژانسهای امنیتی ایالات متحده، به مؤسسات کلیدی در کشورهای مختلف از جمله ایران و روسیه نفوذ کرده است.
هفته گذشته کسپراسکای گزارشی ارائه کرد که بر اساس آن، این ابزارها توسط گروه Equation ایجاد شده است که به نظر میآید ارتباطی با آژانس امنیت ملی ایالات متحده دارد.
ابزارها، کدهای سوء استفاده کننده و بدافزارهای مورد استفاده توسط این گروه، تشابههای زیادی با تکنیکهای شرح داده شده در اسناد فوق سری آژانس امنیت ملی ایالات متحده که در سال 2013 نشت یافت دارد.
کشورهایی که بیشتر هدف Equation قرار گرفتهاند عبارتند از ایران، روسیه، پاکستان، افغانستان، هند و چین. اهداف Equation در این کشورها شامل مؤسسات نظامی، مخابراتی، هوا و فضا، انرژی، تحقیقات هستهای، نفت و گاز، نانوتکنولوژی، مؤسسات مالی، شرکتهای تولید کننده تکنولوژیهای رمزنگاری، سفارتخانهها، مؤسسات دولتی، مؤسسات تحقیقاتی و پژوهشگاههای اسلامی است.
یافته تکان دهنده کسپراسکای این است که Equation قابلیت آلوده کردن سفتافزار یک درایو سخت یا کد سطح پایینی که نقش واسط بین سختافزار و نرمافزار را بازی میکند، داراست.
این بدافزار سفتافزار درایو سخت را برنامهریزی مجدد و سکتورهای پنهانی روی درایو ایجاد میکند که فقط میتوانند از طریق یک API سری مورد دسترسی قرار گیرند.
ماهر گفته که حذف این بدافزار پس از نصب غیرممکن است، فرمت کردن دیسک و نصب مجدد سیستم عامل هیچ تأثیری بر روی آن ندارد و سکتورهای پنهان همچنان باقی میمانند.
مدیر گروه تحقیق و تحلیل جهانی کسپراسکای (کاستین رایو) اظهار کرد: «ما به لحاظ تئوری از این امکان آگاهی داشتیم، ولی این تنها موردی است که مشاهده شده است که یک مهاجم، چنین قابلیت پیشرفته وحشتناکی در اختیار دارد».
درایوهای ساخته شده توسط سیگیت، وسترن دیجیتال، هیتاچی، سامسونگ، آیبیام، میکرون و توشیبا میتوانند توسط دو پلتفرم بدافزار Equation یعنی Equationdrug و Grayfish دستکاری گردند.
Equation دانشی از این درایوها در اختیار دارد که بسیار بیشتر از اسناد عمومی منتشر شده توسط تولیدکنندگان آنها است.
Equation مجموعه دستورات ATA یکتای مورد استفاده توسط تولید کنندگان درایوهای سخت را برای فرمت کردن محصولات آنها میداند. اغلب دستورات ATA عمومی هستند، چرا که از استانداردی استفاده میکنند که این اطمینان را ایجاد میکند که درایو سخت با هر نوع کامپیوتری سازگار است.
اما دستورات ATAی غیر مستندی وجود دارند که توسط تولید کنندگان برای اعمالی مانند ذخیرهسازی داخلی و تصحیح خطا به کار میروند. در حقیقت، آنها یک سیستم عامل بسته هستند. دستیابی به چنین کدهای ATA، نیازمند دسترسی به این اسناد است که هزینه زیادی در بر دارد. احتمال اینکه کسی بتواند با استفاده از اطلاعات عمومی، سیستم عامل درایو سخت را بازنویسی کند تقریباً صفر است.
بنا بر اظهارات رایو، قابلیت برنامهریزی مجدد سفتافزار فقط یک مدل درایو سخت به طرز باورنکردنی پیچیده است. اما دارا بودن چنین قابلیتی برای انواع زیادی از درایوها از تولیدکنندگان مختلف تقریباً غیرممکن است.
به نظر میرسد که Equation بسیار بسیار جلوتر از صنعت امنیت است. تشخیص این نوع نفوذ تقریباً غیرممکن است. پاک کردن کامل درایو یا تعویض سفتافزار آن نیز چندان مفید نیست، چرا که برخی از انواع ماژولها در برخی سفتافزارها دائمی هستند و نمیتوانند مجدداً فرمت گردند.
بر اساس گزارش کسپراسکای، در طی تحقیقات تنها قربانیان کمی که هدف این بدافزار قرار گرفته بودند شناسایی شدند. این نشان میدهد که این بدافزار احتمالاً برای با ارزشترین قربانیان یا برای شرایط بسیار غیرمعمول در نظر گرفته شده است.
به گفته کسپراسکای این تهدید از حدود 20 سال پیش فعال بوده است و از لحاظ پیچیدگی تکنیک، بر تمام تهدیدات شناخته شده برتری دارد. این گروه از هر لحاظی یکتا است. آنها از ابزارهایی برای آلوده کردن قربانیان، بازیابی دادهها و پنهان کردن فعالیتهای خود استفاده میکنند که توسعه آنها بسیار پیچیده و گران است.
این گروه به استاکسنت وابستگی دارد. سازندگان این جاسوسافزار باید به کد منبع درایوهای سخت آلوده دسترسی داشته باشند. چنین کدی میتواند آسیبپذیریهایی را نشان دهد که توسط نویسندگان این نرمافزار مخرب مورد استفاده قرار گرفتهاند.
یک سخنگوی وسترن دیجیتال اعلام کرد که این شرکت کد منبع خود را در اختیار آژانسهای دولتی قرار نداده است. یک سخنگوی سیگیت نیز گفت که این شرکت معیارهای امنیتی را برای محافظت در برابر نفوذ یا مهندسی معکوس سفتافزار درایوهای سخت خود در نظر میگیرد.
انتهای پیام/