امنیت

فناوری اطلاعات

February 21, 2015
12:31 شنبه، 2ام اسفندماه 1393
کد خبر: 67667

کسپرسکی زنگ خطر را بصدا درآورد، کرم Fanny اولین نشانه بدافزار بر روی میان افزار هارددیسک های دستگاه های رایانه ای

در چند روز گذشته پرده از گروه حرفه ای برداشته شده است که مسئول بسیاری از پیشرفته ترین حملات سایبری در جهان بوده است. ویژگی متمایز این گروه که توسط کسپرسکی Equation Group لقب گرفته اند، مخفی ماندن در طول سالیان متمادی و همچنین استفاده از پیشرفته ترین سلاح های سایبری بوده است.
یکی از این سلاح های پیشرفته دستکاری در میان افزار هارد دیسک های کاربران، و استفاده از امکانات آن جهت مقاصد جاسوسی بوده است.  این گروه مدت های مدیدی تحت نظر کارشناسان امنیتی سایبری بوده است. در زیر بخشی از فعالیت های این گروه در طی این سال ها آورده شده است.
 
اهمیت این گروه از آنجا ناشی می شود که ماژولی بسیار مهم در اختیار و استفاده این گروه بوده که آنها قادر ساخته است تا میان افزارهای دهها سازنده تجهیزات سخت افزاری ذخیره اطلاعات را تغییر داده و آن از نو برنامه ریزی نمایند که این خود باعث می شود که:
1. باقی ماندن بدافزار بسیار بالا باشد و حتی با فرمت کردن هارددیسک و تعویض سیستم عامل از بین نرود. "نکته بسیار خطرناک از اینجا ناشی می شود که متخصصان در کشف این ویروس کاملا دست و پا بسته اند چراکه برای بسیاری از هارد دیسک ها توانایی نوشتن بر روی میان افزار وجود دارد ولی دستورات برای خواندن فرامین هارد دیسک ها در اختیار نمی باشد."
2. نکته مهم دیگر در مورد بدافزار این قابلیت است که بدافزار قادر است در ابتدایی ترین مراحل بوت شروع به فعالیت نماید و بنابراین در برخی از موارد امکان رمزگذاری استاندارد نیز به این دلیل بی فایده است که این بدافزارها قادر هستند کلید های رمزنگاری اطلاعات را از سیستم عامل بدزدند و آن را در محلی از هارد دیسک ذخیره نمایند که تنها توسط خود بدافزار قابل خواندن می باشد.
کارایی مهم دیگر در بدافزار Fanny جاسوسی از کامپیوتر هایی است که به اینترنت متصل نمی باشد. بدین منظور بخشی از بدافزار مسئول آلوده سازی دیسک هایUSB و آماده سازی نواحی مخفی از دیسکهای فلش بوده که به محض اتصال به کامپیوتری که به اینترنت وصل نیست شروع به جمع آوری اطلاعات از سیستم نموده و در آن محل ذخیره می نماید و سپس پس از وصل شدن به کامپیوتری که به ایترنت وصل است اقدام به ارسال اطلاعات به سرورهای کنترلی خود نموده و در صورتی که کامپیوتر دوردست مورد علاقه نفوذگران باشد دستوراتی را از سرور کنترل مرکزی دریافت نموده و اقدام به بارگذاری در بخش های مخفی فلش می نماید تا در اتصال بعدی به کامپبوتر هدف از این دستورات استفاده شود.
نحوه انتشار:
علاوه بر نحوه انتشار متداول در دنیای سایبری استفاده کنندگان از این بدافزار قادر هستند که اقدام به صادرات محصولاتی حاوی بدافزار به کشور ها و یا سارمان های هدف نمایند.
واقعیت بسیار مهم و خطرناک:
بدین منظور صادر کننده و یا فروشنده محصولات سخت افزاری مانند، فلش دیسک ها و هارد دیسک هاو …  می تواند بدون اینکه شناسایی شود، با آلوده نمودن میان افزار دستگاه های سخت افزاری اقدام به جاسوسی از قریانیان خود نمایند. و متاسفانه کاربران عادی و آنتی ویروس های معمولی قادر به شناسایی این خطرات به هیچ وجه نخواهند بود.
ارتباط با Stuxnet و Flame  :
بد افزار Fanny در سال 2008 از اکسپلویت هایی استفاده نموده است که در سال 2009 توسط استاکس نت  و در سال 2010 توسط فلیم مورد استفاده گردید بدین ترتیب این امر نشان دهنده دسترسی این گروه به اکسپلویت ها قبل از بدافزارهای دیگر را نشان می دهد. و عین این کد ها در این دو بدافزار نیز دیده می شوند.
 
 
ساختار توزیع پیشرفته:
 گروه Equation بیش از 300 دومین و 100 سرور مدیریتی در کشورهای مختلف از جمله آلمان، ایتالیا، آمریکا، بریتانیا، هلند، پاناما، کاستارایکا و … دارد که دائماً توسط کسپرسکی در حال بررسی می باشد.
 هزاران قربانی طراز اول:
بسیاری از قربانیان این بدافزار سازمان های دولتی، خصوصی و سازمان های مطالعاتی در بیش از 30  کشور مختلف می باشد، گروه فوق الذکر از سال 2001 اقدام به آلوده نمودن قربانیان نموده است و دسترسی به این سازمان ها را برای خود فراهم نموده است.
شناسایی:
هفت نمونه اولیه از اکسپلویت های، استفاده شده در این بد افزار توسط کسپرسکی مورد مشاهده و بررسی قرار گرفته است. که چهار مورد از آنها اکسپلویت  تازه بوده اند و یکی از آنها  تاکنون در هیچ جا عمومی نشده است و ناشناخته مانده است.
نسخه های اولیه این ویروس که در  جولای سال 2008 ساخته شده اند در دسامبر 2008 توسط کسپرسکی شناسایی شدند.
بدلیل استفاده از سیستم محافظت از اکسپلویت ها، حملات کرم Fanny به کلاینت های دارای کسپرسکی در ابتدا شناسایی و مقابله می شوند.
در صورت خرید سخت افزار آلوده باید آن را به صورت دستی و با استفاده از کمک متخصصان امنیت شبکه مورد بررسی و شناسایی قرار داد.
 
نتیجه گیری:
با توجه به موارد بالا، علیرغم استفاده از آنتی ویروس های مناسب و استفاده از شرکت های مجرب در زمینه امنیت سازمانی به شدت توصیه می گردد، می بایست به خرید های سخت افزاری دقت ویژه ای داشت و تنها قیمت را ملاک انتخاب ندانست و منابع معتبر را جهت تهیه این سخت افزار ها انتخاب نمود.
 
 
شما می توانید نظرات خود و سئوالات را با آدرس ایمیل ما در میان بگذارید.
درصورتی که در شبکه شما تهدیدی شناسایی شده باشد با مشاوران امنیتی ما در ارتباط باشید تا در اسرع وقت به بررسی مشکلات شما اقدام نمایند.
محمد دوچرخه ساز
متخصص امنیت شبکه
مشاور مدیریت و آموزش – اینترنت و شبکه
نظام مهندسی رایانه:  41040068
شرکت مهندسی ایمن پرداز آذر( سهامی 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.