کشف بدافزار جاسوسی "اکتبر سرخ"
۱۳۹۱ دی ۲۶, سهشنبه شرکت روسی امنیت رایانهای کسپرسکی از کشف یک برنامه پیچیده جاسوسی دیجیتال خبر داده است که مدت پنج سال، بدون آنکه شناسایی شود، چند صد سازمان دولتی، مراکز پژوهشی و نمایندگیهای دیپلماتیک در اروپای شرقی و آسیای میانه را هدف قرار داده و اطلاعات و اسناد بسیار حساس با محتوای محرمانه را سرقت کرده است.
به گفته کارشناسان کسپرسکی، این بدافزار جاسوسی که آن را "روکرا" (مخفف "اکتبر سرخ") نام نهادهاند، ساختار بسیار پیچیدهای داشته، تا اندازهای که میتوان آن را با بدافزار "فلیم" مشابه گرفت که در ماه ژوئن ۲۰۱۲ کشف شد. بدافزار فلیم در آن زمان از سوی کارشناسان امنیت رایانه به عنوان پیچیدهترین تهدید دیجیتالی لقب گرفت که تا کنون کشف شده است.
در گزارش کسپرسکی آمده است که سیستم عاملهای "روکرا" دستگاههای مختلف از جمله رایانهها، گوشیهای هوشمند آیفون، نوکیا و مبتنی بر ویندوز و نیز سختافزارهای شرکت آمریکایی سیسکو را طی عملیات پنج ساله خود هدف قرار دادهاند.
به نوشته کسپرسکی قربانیان این حمله بیش از همه رایانهها و شبکههای دولتی، ارتش، شرکتهای هواپیمایی، صنایع نفت و گاز و نیز مراکز دیپلماتیک بودهاند.
تحقیقات چندین ماهه کارشناسان این مؤسسه در خصوص شمار سیستمهای آلوده به این بدافزار پیچیده آمار زیر را به دست داده است:
روسیه (۳۷ مورد)، قزاقستان (۲۱ مورد)، آذربایجان (۱۵ مورد)، بلژیک (۱۵ مورد)، هند (۱۴ مورد)، افغانستان (۱۰ مورد)، ارمنستان (۱۰ مورد)، ترکمنستان (۷ مورد).
نام ایران نیز با داشتن ۷ مورد سیستم آلوده به این بدافزار، در این فهرست آمده است.
در همین حال تحقیقات در مورد گسترش این ویروس نشان داده است که کشورهای اوکراین، آمریکا، ویتنام، روسیه سفید، یونان، ایتالیا، مراکش، پاکستان، سوئیس، اوگاندا و امارات متحده عربی در میان قربانیان این ویروس جای داشتهاند.
هکرها به دنبال چه بودهاند؟
به گزارش کسپرسکی هکرهای پشت پرده عملیات جاسوسی "روکرا" با نفوذ در رایانهها به دنبال اطلاعات حساس در قالب متن، جدول، یافتن کلیدهای رمزگشایی نرمافزارهای "گنو پرایوسی گارد" (GNU Privacy Guard) و PGP، از مجموعه نرمافزارهای رمزنگاری بودهاند.
"روکرا" همچنین ایمیلها و نیز اطلاعات دستگاههایی را که به رایانه متصل میشدهاند، کپیبرداری میکرده است.
شرکت کسپرسکی اعلام کرده است که از طریق یکی از شرکای تجاری خود که تقاضای مخفی ماندن نامش را داشته، از این عملیات جاسوسی باخبر شده است. تجزیه و تحلیل آسیبهای وارده از سوی این تروجان، کارشناسان کسپرسکی را به کشف ردپای دیگر قربانیان این حمله پیچیده سوق داده است.
آلوده کردن سیستمها با روش ابتدایی
در عملیات "روکرا" هکرها برای آلوده کردن سیستمها از روش بسیار ابتدایی استفاده کردهاند. به گزارش کسپرسکی آنها ایمیلهایی حاوی فایلهای آلوده اکسل یا Word ارسال کردهاند که محتوایشان میتوانسته برای قربانیان جالب توجه باشد. محتوای یکی از این ایمیلها برای نمونه آگهی فروش یک خودروی دست دوم بوده که به یک دیپلمات تعلق داشته است.
به محض باز کردن این فایلها سیستم آلوده میشده است.
متخصصان کسپرسکی توانستهاند ۶۰ سرور را بیابند که هکرها در این عملیات از آنها استفاده کردهاند. گفته شده است که این سرورها اغلب در روسیه و آلمان قرار داشتهاند و این شرکت توانسته ۶ نمونه از این سرورها را که سیستمهای قربانی از آنها دستور دریافت میکردهاند، شناسایی کند.
متخصصان کسپرسکی در گزارش خود نوشتهاند که در بدافزارهای طراحی شده میتوان رد دستکم دو کشور مختلف را یافت. ظاهرا کدهای مخرب که از حفرههای امنیتی سوءاستفاده میکردهاند، "از سوی هکرهای چینی" طراحی شدهاند.
به نوشته این گزارش، نظیر این کدهای مخرب در گذشته نیز در حملات سایبری علیه فعالان تبتی و نیز اهدافی در بخشهای صنعت و انرژی در آسیا استفاده شده است. با این همه نویسندگان گزارش یادآور شدهاند که این کدهای مخرب را میتوان از بازارهای سیاه نیز تهیه کرد.
همچنین به گفته آنها، به نظر میرسد بخش دیگری از بدافزارها از سوی هکرهای "روسی زبان" طراحی شده باشند زیرا در کدهای برنامهنویسی آنها برای نمونه کلمهای روسی به چشم خورده است.