گروه معادلات ، هارد دیسک ها و ستاره مرگ بدافزارها


محققان آزمایشگاه کسپرسکی یک ابزار جدید جاسوسی سایبر را کشف کرده اند که بیش از شباهت به کیت های مشابهی دارد که توسط آژانس های اطلاعاتی ایالات متحده استفاده می شود..

در گزارشی که روز دوشنبه گذشته منتشر شد ، شرکت امنیتی مستقر در مسکو ابزار حمله را که گفته است توسط “گروه معادلات” ایجاد شده است ، به تفصیل معرفی کرد..

کسپرسکی می گوید ، گروه هکر با موفقیت هزاران آژانس دولتی را با آنچه که آن را “ستاره مرگ” از بدافزار توصیف می کند ، نفوذ کرد..

لیست بلند قربانیان شامل نهادهای نظامی ، دولت و مؤسسات دیپلماتیک ، رهبران اسلامی و هزاران بنگاه در سراسر هوافضا ، امور مالی ، رسانه ها ، انرژی و فناوری است..

تجزیه و تحلیل زیرساختهای فرماندهی و کنترل گروه معادله نشان داد که چقدر گسترش یافته است ، شامل 300 دامنه و همچنین بیش از 100 سرور واقع در ایالات متحده ، انگلیس ، ایتالیا ، آلمان ، پاناما ، کاستاریکا ، مالزی ، کلمبیا ، جمهوری چک و خیلی های دیگر.

کسپرسکی مجموعه ای از ابزارهای مورد استفاده در معادله را توصیف کرد و آنها را به این شرح نام برد:

  • EQUATIONDRUG – یک سکوی حمله ای بسیار پیچیده که توسط این گروه بر روی قربانیان آن استفاده شده است. این سیستم از یک سیستم افزونه ماژول پشتیبانی می کند ، که توسط مهاجمین می تواند به صورت پویا بارگذاری و بارگذاری شود.
  • DOUBLEFANTASY – یک Trojan به سبک معتبر ، طراحی شده برای تأیید هدف ، هدف مورد نظر است. اگر هدف مورد تأیید قرار گیرد ، آنها به یک سیستم عامل پیشرفته تر مانند EQUATIONDRUG یا GRAYFISH ارتقا می یابند.
  • EQUESTRE – همان EQUATIONDRUG.
  • TRIPLEFANTASY – درپوش با قابلیت نمایش کامل که گاه در کنار آن استفاده می شود خاکستری. به نظر می رسد ارتقاء DOUBLEFANTASY است و احتمالاً یک افزونه جدید به سبک اعتبار سنج است.
  • خاکستری – پیشرفته ترین سیستم عامل حمله از گروه EQUATION. با تکیه بر بوت کیت برای به دست آوردن اعدام در هنگام راه اندازی سیستم عامل ، کاملاً در رجیستری سکونت دارد.
  • فن – کرم رایانه ای که در سال 2008 ایجاد شده و برای جمع آوری اطلاعات در مورد اهداف در خاورمیانه و آسیا استفاده می شود. به نظر می رسد برخی قربانیان ابتدا به DoubleFantasy و سپس به سیستم EQUATIONDRUG ارتقا یافته اند.
    فانی از دو آسیب پذیری صفر روزه استفاده کرد که بعداً توسط استاکس نت کشف شد.
  • EQUATIONLASER – یک کاشت اولیه از گروه EQUATION ، مورد استفاده در حدود2001-2004. سازگار با ویندوز 95/98 ، و مدتی بین DOUBLEFANTASY و EQUATIONDRUG ایجاد شده است.

محققان کسپرسکی همچنین هشدار دادند که لیست ابزارها بعید به نظر نمی رسد جامع باشد ، و نشان می دهند که معادله هنوز ممکن است شگفتی های بیشتری را بهار داشته باشد.

نگران کننده است که برخی از ابزارهای کشف شده توسط کسپرسکی شباهت هایی با موارد دلخواه قدیمی از جمله بدافزارهای Flame و Stuxnet دارند که راکتورهای هسته ای ایران را به سرپرستی باراک اوباما رئیس جمهور آمریکا هدف قرار دادند..

ابزار معادله در “ده ها مارک محبوب HDD” کشف شد و به گفته کاستین رایو ، مدیر تیم تحقیق و تجزیه و تحلیل جهانی کسپرسکی ، قادر به هم کشف و غیرقابل بازگشت بود – بدافزارها سیستم عامل را بر روی درایوها آلوده کردند. “رستاخیز” خود ، حتی پس از دوباره تنظیم مجدد درایو یا نصب مجدد سیستم عامل.

رایو توضیح داد:

“هنگامی که هارد دیسک به این بار مخرب آلوده شود ، اسکن سیستم عامل آن غیرممکن است. به عبارت ساده: برای اکثر درایوهای سخت توابع وجود دارد که در قسمت سخت افزار / سیستم عامل بنویسید ، اما هیچ عملکردی برای بازخوانی آن وجود ندارد.

این بدان معنی است که ما عملاً نابینا هستیم و نمی توانیم هارد دیسک های آلوده به این بدافزار را تشخیص دهیم. “

معادله همچنین با استفاده از ابزار Grayfish ، یک ناحیه پنهان و پایدار را روی یک هارد دیسک ایجاد می کند و سپس برای ذخیره داده های سرقت شده که بعدا توسط مهاجمان جمع آوری می شود و برای شکستن پروتکل های رمزگذاری استفاده می شود ، استفاده می شود. رایو توضیح داد که چگونه Grayfish در حال اجرا است ، و گرفتن رمزهای رمزگذاری شده نسیم نسبی است.

دسترسی به شبکه به ماشین آلات حتی یک شرط اساسی برای به دست آوردن معادله درایو نیست – رایو توضیح داد که جزء Fanny از اهمیت خاصی برخوردار است زیرا این توانایی را دارد که از پدافندهای هوایی استفاده کند و می تواند از طریق “دستور USB بی نظیر و تکثیر شود. مکانیزم کنترل ، “با استفاده از میله USB با یک پارتیشن پنهان که می تواند هنگام نصب و فعال سازی داده های سیستم را از یک سیستم جمع آوری کند.

هنگامی که USB USB بعداً به یک سیستم با اتصال اینترنت وصل شد ، داده های ذخیره شده را به سرورهای فرمان و کنترل خود منتقل می کند.

کسپرسکی پس از تجزیه و تحلیل رایانه ای که متعلق به انستیتوی تحقیقاتی خاورمیانه است ، در سال 2008 شروع به ردیابی در گروه معادله کرد. این ماده کشف کرد که مؤلفه Fanny برای حمله به آسیب پذیری های ناشناخته با دو بهره برداری صفر روزه استفاده شده است ، که هر دو بعداً کشف شدند که در استاکس نت رمزگذاری شده اند..

علی رغم چنین شباهت دیجیتالی قوی به مؤلفه های استاکس نت ، سخنگوی آژانس امنیت ملی آمریکا دخالت ایالات متحده در معادله را تأیید نکرد و گفت که آژانس از این گزارش آگاه است اما ناخواسته مایل به بحث و یا اظهار نظر در مورد آن است..

تصویر برجسته: یان بونیان / Public Domain Pictures.net

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map