دوکو و كشف حملههای هدفمند به اهداف ایرانی و سودانی
ايتنا - یافتهها روی هم رفته به ما امکان میدهد که فرض کنیم کارکردهای این برنامه مخرب را میتوان بسته به هدف خاص مورد حمله، تغییر داد.
متخصصین آزمایشگاه کسپرسکی به طور پیوسته به تحقیقات خود روی برنامه مخرب جدید Duqu ادامه میدهند. این برنامه ویژگیهای مشترکی با کرم بدنام استاکسنت دارد که در گذشته تأسیسات صنعتی را در ایران هدف قرار داد.
گرچه هدف نهایی ایجادکنندههای این تهدید سایبری جدید هنوز معلوم نیست، تاکنون مشخص شده است که دوکو یک ابزار جهانی است که برای انجام حملههای هدفمند به تعداد محدودی از اهداف استفاده میشود و میتوان آن را بسته به کار مورد نظر تغییر داد.
به گزارش ایتنا از موسسه دیده بان آی تی، روابط عمومی کسپرسکی در ایران، چند ویژگی این کرم در اولین مرحله تجزیه و تحلیل دوکو توسط متخصصین کسپرسکی آشکار شد. اول اینکه، در هر یک از گونههاي شناسایی شده این برنامه مخرب، درايورها و راهاندازهاي مورد استفاده برای آلوده کردن سیستمها تغيير داده شده بود. در یک مورد، برنامه راهاندازی از یک امضای دیجیتال جعلی استفاده میکرد و در موارد دیگر، برنامه راهاندازی اصلاً امضا نداشت. دوم اینکه، معلوم شد اجزای دیگري از دوکو احتمالاً وجود دارند، اما هنوز شناسایی نشدهاند. این یافتهها روی هم رفته به ما امکان میدهد که فرض کنیم کارکردهای این برنامه مخرب را میتوان بسته به هدف خاص مورد حمله، تغییر داد.
تشخيص موارد بسیار معدود آلودگی (در لحظه انتشار اولین بخش از تحقیق آزمایشگاه کسپرسکی درباره دوکو فقط یک مورد ردیابی شد) مسئلهای است که در كنار مشابهتها، دوکو را از استاکسنت متمایز میسازد. از زمان شناسایی اولین نمونههای این برنامه مخرب، چهار مورد جدید آلودگی به لطف شبکه امنیتي ابري کسپرسکی ردیابی شد. محل یکی از این موارد کامپیوتر یک کاربر در سودان بود و سه مورد دیگر در ایران شناسایی شد.
در هر یک از این چهار مورد از آلودگی به دوکو، از نوع يكساني از برنامه راهانداز مورد نیاز برای آلودگی، استفاده شده بود. مهمتر اینکه، در ارتباط با یکی از آلودگیهای ایرانی، دو حمله شبکهای شناسایی شد که از آسیبپذیری MS۰۸-۰۶۷ سوءاستفاده ميكردند.
این آسیبپذیری توسط استاکسنت و یک برنامه مخرب قدیمیتر دیگر به نام Kido نیز استفاده شد. اولین حمله از این دو حمله شبکهای در چهارم اکتبر روی داد و حمله دیگر در شانزدهم اکتبر صورت گرفت و هر دو حمله از یک نشانی IP یکسان که سابقاً به یک ارائهدهنده خدمات اینترنتی در آمریکا تعلق داشت، نشأت میگرفتند. اگر فقط یک حمله از این دست وجود داشت، ممکن بود به عنوان فعالیت عادی کیدو نادیده گرفته شود، اما دو حمله متوالی وجود داشت: این نکته حاکی از احتمال یک حمله هدفدار به یک هدف در ایران است. همچنین این امکان وجود دارد که در طی عملیات، از سایر آسیبپذیریهای نرمافزاری نیز استفاده شده باشد.
الکساندر گوستف، متخصص ارشد امنیتي آزمایشگاه کسپرسکی، در توضیح یافتههای جدید گفت: «با وجود این که محل سیستمهای مورد حمله قرار گرفته از طریق دوکو در ایران شناسایی شده است، تاکنون شواهدی مبنی بر اینکه این سیستمها، سیستمهای مرتبط با برنامههاي صنعتی یا هستهای هستند، به دست نیامده است. همچنین نمیتوان تأیید کرد که هدف برنامه مخرب جدید با هدف استاکسنت یکسان است. با این وجود، واضح است که همه آلودگیهای صورت گرفته از طریق دوکو در نوع خود منحصر به فرد هستند. این اطلاعات به ما امکان میدهد که با اطمینان بگوییم از دوکو برای حملههای هدفمند به اهداف از پیش تعیینشده استفاده میشود.»
نتایج مفصل تحقیق جدید روی دوکو را در Securelist.com ببینید.