مشاهده سوابق کاربر

متن کامل خبر

بد افزار Gauss حساب بانکی مردم عادی را هدف گرفته است

آرشیو

طبق گفته های متخصصین کسپر اسکای این بدافزار ساختار پیچیده ای دارد که مطمئنا یک دولت – ملت پشتیبانی این ابزار جاسوسی سایبری را بر عهده دارد چراکه شباهتهای زیادی با بد افزار Flame دارد....

1391/05/26 05:18:02 ق.ظ

طبق انتظار کارشناسان یک بد افزار جدید دیگربه منظور انجام عملیات جاسوسی سایبری توسط تیم تحقیقاتی کسپر اسکی شناسایی شد. بعداز بد افزارهای Dugu , Flame و Madiاین ابزار جاسوسی سایبری نیز در منطقه خاورمیانه مشاهده شد و مانند نمونههای مشابه قبلی قادر است داده های حساسی را نظیر اعتبارهای بانکی انلاین و رمز ورودجستجوگر ها و تنظیمات حساس سیستم را شناسایی و سرقت نماید.

نام این بد افزار از نام ریاضی دان آلمانی یوهان کارل فردریچ گاووس گرفته شده و نکته جالباینست که ظاهرا این بدافزار با Stuxnet لینکشده و متخصصان معتفدند Gaussهم توسط همان کارخانه تولید کننده Stuxnetتولید شده است. Gauss درخلال بازرسی انجمن بین المللی ارتباطات (ITU)به منظور کاهش ریسکهای تحمیلی از ناحیه تهدیدات سایبری کشف شد. نگاه به جزئیات ساختار این بد افزار نشان میدهد که ماژولهای بسیاریهستند که با نامهای ریاضی دانان و فلاسفه مشهوریچون کورت گودل، جان کارل فردریچ گاووس و جوزف لوئیس لاگرانژ نام گذاری شده و ماژولمرکزی که فرایند سرقت اطلاعات را انجام میدهد به اسم گاووس نامگذاری شده استو

نام ماژول	وظیفه ماژول
Cosmos	جمع آوری اطلاعات درباره CMOS و BIOS
Kurt, Godel	آلوده کردن درایور های USB به همراه ماژول سرقت داده ها
Tailor	جمع آوری اطلاعاتی درباره رابطهای شبکه
McDomain	جمع آوری اطلاعاتی درباره دامنه کاربرها
UsbDir	جمع آوری اطلاعاتی درباره درایو های رایانه
Lagrange	نصب فونت "Palida Narrow”
Gauss	نصب پلاگینهای مرورگر که کوکی ها و اسامی رمز را جمع آوری میکنند
ShellHW	بارگذاری اصلی و ماژول ارتباطی

گاووس به لطف تحقیقاتی که برای شناسایی بدافزارFlame صورت گرفته بودکشف شد، مطابق بازرسی های صورت گرفته گاووس در سپتامبر سال 2011 گسترش یافته و درماه ژوئن 2012 شناسایی شد و در ماه جولای فرماندهیو کنترل زیرساختها توسط این نرم افزار بسته شده است. نکته جالب در این میان کشف بدافزار Dugu در یک آزمایشگاه Crysys در کشور مجارستان در همین بازه زمانیست.محققان کسپر اسکای می گویند:

دقیقا نمی دانیم که افرادی که بد افزارDurgu را طراحی کردند در آن زمان به سراغGauss رفتند یا نه اما تقریبا مطمئن هستیم که آنها با هم در ارتباطند. Gauss ارتباط نزدیکی باFlame دارد، Flame باStuxnet مرتبط است و Stuxnetنیز رابطه تنگاتنگی باDugu دارد. بنابر اینGauss هم با Dugu مرتبط است

مسیر ذخیره سازی بد افزار	انواع مختلف
d:\projects\gauss	August 2011
d:\projects\gauss_for_macis_2	October 2011
c:\documents and settings\flamer\desktop\gauss_white_1	Dec 2011-Jan 2012

کارشناسان شرکت کسپراسکی اطلاعات اشکال زدایی شده در چند نمونه کشفی جزئیاتیرا در مسیری که پروژه ها در آن ذخیره میشوند یافته اند که بر این واقعیت دلالت داردکه هدف اصلی حملات کشور لبنان بوده است چراکه اولا نرخ بسیار بالایی از ابتلا به اینبد افزار در این کشور مشاهده شده ( بیش از 1600 قربانی) و در ثانی وجود عبارت" سفید" (White) در کد داده هایاشکال زدایی شده است چراکه نام کشور لبناناز ریشه سامی لبن به معنای سفید (احتمالا به دلیل کوههای پوشیده از برف) گرفتهشده است.

بسته شدن موقتی فرماندهی و کنترل بد افزار گاووس به این معنی نیست کهبه طور قطعی این بدافزار از بین رفته بلکه به نظر میرسد به خواب کوتاهی فرو رفته ومنتظر است تا سرورش مجددا فعال شود

گاووس چیست و اهداف اصلی اش کدامست؟

گاووس یک تهدید سایبری است که در ابتدا برای مانیتور کردن حسابهای بانکیانلاین طراحی شده و همانطور که بیان شد اغلب کاربران مبتلا شده به این بد افزار درخاور میانه هستند، روش گسترش این بدافزار هنوز مشخص نیست. طبق گفته های متخصصین کسپراسکای این بدافزار ساختار پیچیده ای دارد که مطمئنا یک دولت – ملت پشتیبانیاین ابزار جاسوسی سایبری را بر عهده دارد چراکه شباهتهای زیادی با بد افزار Flame دارد.

ماژول Winshell در بدافزارGauss سرقت اعتبارنامه برای ایجاد دسترسی به فرایندهای بانکی آنلاینرا انجام میدهد حسابهایی از چندین بانک لبنانی نظیر بانک بیروت، بیبلوس و فرانسابانکاز جمله آن حسابهای مبتلا شده هستند. لازم به ذکر است که این نخستین تروجانی است کهبا پشتیبانی یک دولت – ملتبرای فعالیتهای بانکی و عمومی طراحی شده است

سیستم امنیتی ابر پایه در آزمایشگاههای کسپر اسکای این بدافزار را اواخرمه 2012 کشف کرده اند، بیش از 2500 سیستم آلوده شده نشان از این واقعیت داشت که احتمالاده ها هزار قربانی در حال الوده شدن هستند که در سطحی پایین تر از انتشار بد افزار Stuxnet اما بیشتر از تعداد حملات در Flame و Duguاست

نام بد افزار	حوادث مشاهده شده توسط آزمایشگاه کسپراسکی	تعداد کل حوادث به شکل تقریبی
Stuxnet	100 000 بیش از	300 000 بیش از
Gauss	~ 2500	نا مشخص
Flame	~ 700	~5000-6000
Duqu	~20	~50-60

Gaussداده های قربانی را با نیت ارسال به تیم حمله کنندهجمع اوری می کند این داده های جمع اوری شده میتوانند اطلاعات رابطهای شبکه، مشخصات BIOS و جزئیات درایو رایانه ها باشد. همچنیناین بد افزار نیز Stuxnetو Flame با بهره برداریاز ضعف (CVE-2012-2568) با سرقت داده هااز طریق اتصال USB موجب آلودگی سیستمقربانی میشود.

در همان زمان فرایند آلوده سازی اتصالUSB هوشیارانه تر و موثرتر اتفاق می افتد چراکه Gauss قادراست درایو را در موقعیت های خواص ضد عفونی کند و از رسانه حذف شدنی برای ذخیره اطلاعاتجمع اوری شده در یک فایل مخفی استفاده کند. این توانایی در جمع آوری اطلاعات در یکفایل مخفی در درایو های USB بخوبی در بد افزار Flame همتعبیه شده بود.

کشف بد افزار Gauss این اجازه را بهمتخصصان میدهد تا باور کنند که در حال حاضر بدافزارهای فراوان دیگری در جاسوسی سایبریوجود دارد که واقعا عملیاتی هستند و بسیاری دیگر در آینده نزدیک توسعه خواهند یافتو این نشانیست از شروع یک جنگ واقعی در سرقت اطلاعات حساس در سکوت و در بازه زمانیبلند. اگرچه هنوز برخی از کارشناسان این شیوه را به عنوان یک سلاح سایبری جنگی نمیشناسندولی به واقع روز به روز کاربرد این بد افزار ها در عملیات نظامی از قبیل جاسوسی و یاانجام حملات موثر غیر قابل جایگزین با هر متد دیگری میشود. البته بسیاری از کارشناسانمنکر توسعه جنبه های ماژولی و کسب ماژولهای تکمیلی میشوند که قادر است در ایندههدایت عملیات جنگی علیه زیرساختهای حیاتی و مراکز اطلاعاتی فوق سری را بدست بگیرندولی همانطور که توسط تیم کارشناسان شرکت کسپراسکی مطرح شده است: " تنشهای موجوددر خاورمیانه تنها نشانه هایی از شدت این تکنولوژی در جنگهای سایبری و جاسوسی سایبریدر حال گسترش است."

منابع:

http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_and_ITU_Discover_Gauss_A_New_Complex_Cyber_Threat_Designed_to_Monitor_Online_Banking_Accounts

http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution

http://www.wired.com/threatlevel/2012/08/gauss-espionage-tool

منبع : عصر ایران

به این خبر امتیاز بدهید :

برچسب های خبر: