روشن شدن زوایای خطرناک دیگری از فعالیت های استاکس نت و دوکو
کد مطلب: 311
تاریخ انتشار : شنبه ۱ بهمن ۱۳۹۰ ساعت ۱۴:۵۷
 
آزمايشگاه كسپرسكي، شركت پيشرو در ارائه راه حل هاي امنيت اطلاعات اعلام كرد، اطلاعات جدید درباره آلودگی به تروجان‌های دوکو و استاکس نت مؤید آن است که یک تیم روی این خانواده از برنامه‌های مخرب کار می‌کند، و همچنین این فرض را ممکن می‌سازد که از پلتفرمی استفاده شده باشد که با هدف‌های خاص به طور انعطاف‌پذیر قابل انطباق است.
روشن شدن زوایای خطرناک دیگری از فعالیت های استاکس نت و دوکو
 
 
Share/Save/Bookmark

آزمايشگاه كسپرسكي، شركت پيشرو در ارائه راه حل هاي امنيت اطلاعات اعلام كرد، اطلاعات جدید درباره آلودگی به تروجان‌های دوکو و استاکس نت مؤید آن است که یک تیم روی این خانواده از برنامه‌های مخرب کار می‌کند، و همچنین این فرض را ممکن می‌سازد که از پلتفرمی استفاده شده باشد که با هدف‌های خاص به طور انعطاف‌پذیر قابل انطباق است. 

به گزارش افتانا به نقل از موسسه دیده بان آی تی، روابط عمومی کسپرسکی در ایران، علاوه بر این، این پلتفرم ممکن است مدت‌ها قبل از انتشار استاکس نت ایجاد شده باشد و بسیار فعال‌تر از آنچه تاکنون فرض شده است، مورد استفاده قرار گرفته باشد. متخصصان کسپرسکی این نتیجه‌گیری را بر اساس تجزیه و تحلیل دقیق درایورهای استفاده شده برای آلوده کردن سیستم‌ها به دوکو و استاکس نت و نیز برخی برنامه‌های مخرب که جزئیات آنها تاکنون شناخته نشده است، عنوان کرده‌اند. 

به اعتقاد متخصصان آزمایشگاه کسپرسکی، این پلتفرم که Tilded نامگذاری شده است (به دلیل تمایل ایجادکننده‌های آن به استفاده از فایل‌هایی که با نماد نویسه tilde (~) شروع می‌شوند)، برای ایجاد استاکس نت و دوکو و نیز برنامه‌های مخرب دیگر استفاده شده است.
 
ارتباط بین دوکو و استاکس نت در حین تجزیه و تحلیل یکی از رویدادهای مرتبط با دوکو آشکار شد. در حین بررسی سیستم آلوده که گمان می‌رفت در آگوست سال ۲۰۱۱ مورد حمله قرار گرفته باشد، یک درایور شناسایی شد که با درایور استفاده شده به وسیله یکی از نسخه‌های استاکس نت مشابه بود. گرچه شباهت آشکاری بین دو درایور وجود داشت، تفاوت‌هایی نیز در جزئیات آنها مانند تاریخ امضای گواهی دیجیتال وجود داشت. 
فایل‌های دیگری که امکان نسبت دادن آنها به فعالیت استاکس نت وجود داشته باشد، شناسایی نشد، اما نشانه‌هایی از فعالیت دوکو وجود داشت. 

پردازش اطلاعات به دست آمده و جستجوی بیشتر در پایگاه داده برنامه‌های مخرب آزمایشگاه کسپرسکی امکان آشکار کردن یک درایور دیگر با ویژگی‌های مشابه را میسر ساخت. این درایور بیش از یک سال پیش کشف شد، اما فایل آن در ژانویه سال ۲۰۰۸، یک سال قبل از ایجاد درایورهای استفاده شده به وسیله استاکس نت کامپایل شده بود. متخصصان آزمایشگاه کسپرسکی مجموعاً هفت نوع درایور با ویژگی‌های مشابه را شناسایی کردند. لازم به ذکر است که هیچ اطلاعاتی تاکنون درباره سه مورد از آنها به دست نیامده است، به خصوص اینکه با کدام برنامه مخرب استفاده شده‌اند. 

الکساندر گوستف، متخصص ارشد امنیت در آزمایشگاه کسپرسکی، اظهار داشت: «درایورهای برنامه‌های مخربی که هنوز شناخته نشده‌اند را نمی‌توان به فعالیت تروجان‌های استاکس نت و دوکو نسبت داد. شیوه‌های انتشار استاکس نت، ممکن است آلودگی‌های بسیاری را با استفاده از این درایورها موجب شده باشد، و به دلیل تاریخ کامپایل، نمی‌توان آنها را به تروجان هدفمندتر دوکو نیز نسبت داد. معتقدیم که این درایورها یا در نسخه قدیمی‌تر دوکو استفاده شده‌اند و یا برای آلودگی با استفاده از برنامه‌های مخرب کاملاً متفاوتی به کار رفته‌اند که گذشته از این، پلتفرم یکسانی دارند و احتمالاً توسط یک تیم ایجاد شده‌اند.» 

بر اساس تفسیر متخصصان آزمایشگاه کسپرسکی، تبهکاران سایبری که دوکو و استاکس نت را ایجاد کرده‌اند، نسخه جدید درایور را چند بار در سال ایجاد می‌کنند که برای بارگذاری ماژول اصلی برنامه مخرب استفاده می‌شود. به محض حمله‌های جدید برنامه‌ریزی شده، چند پارامتر درایور مانند کلید رجیستری با کمک یک برنامه خاص تغییر داده می‌شود. این فایل بسته به نوع کار می‌تواند به وسیله یک گواهی دیجیتال حقوقی نیز امضا شود یا به طور کلی بدون امضاء باقی بماند. 

بنابراین، دوکو و استاکس نت پروژه‌های جداگانه‌ای هستند که بر اساس پلتفرمی به نام Tilded ایجاد شده‌اند که حدوداً در اواخر سال ۲۰۰۷ و اوایل سال ۲۰۰۸ ایجاد شده است. این پروژه به احتمال زیاد تنها پروژه نبوده است، اما اهداف و کارهای انواع مختلف برنامه تروجان تاکنون شناخته نشده است. نمی‌توان انکار کرد که این پلتفرم همچنان توسعه خواهد یافت. علاوه بر این، کشف دوکو توسط متخصصان امنیت بدین معناست که تغییرات بیشتری روی پلتفرم در حال انجام است یا در آینده انجام خواهد شد. 

نسخه کامل گزارش الکساندر گوستف و ایگور سامنکوف در Securelist موجود است.