کد QR مطلبدریافت لینک صفحه با کد QR

تروجان گاس و سؤال‌هاي بی‌جواب

خبرگزاری ايسنا , 4 شهريور 1391 ساعت 12:32

ایتنا - شاید از كار افتادن گاس برنامه­‌ای از پیش تعیین شده بود تا خطر ردگیری آن كاهش یابد. در واقع هیچكس دلیل اصلی را نمی­داند.



نظریه­‌هایی كه این روزها در میان متخصصان امنیت آی­‌تی بر سر زبان­هاست حاكی از این است كه تروجان جاسوسی سایبری گاس را دولت ایالات متحده در همان لابراتواری ساخته است كه بدافزار فلیم در آن ساخته شد اما كسی از دلیل آن اطلاع ندارد.


به گزارش ایتنا از ایسنا، در مورد تروجان گاس كه نخستین بار در پاییز ۲۰۱۱ توسط كاركنان آزمايشگاه كسپرسكی كشف شد، اطلاعاتی موجود است: "ما می­دانیم كه این تروجان با فلیم ارتباطی نزدیك دارد. فلیم بدافزاری است كه ایالات متحده برای حمله به ایران تولید كرد. می­دانیم كه گاس به ایران حمله نكرده است اما به جاسوسی از كامپیوترها و شبكه­‌های دیگری در خاورمیانه مشغول است.

همچنین می­دانیم كه گاس می­تواند از طریق حافظه­‌های فلش منتشر شود. ما بر این گمانیم كه گاس چیزی یا كسی را هدف قرار داده اما این هدف را نمی­شناسیم. ما می­دانیم كه گاس فونتی به نام "پالادینا نرو" را بر روی دستگاه­هایی كه آلوده­‌شان كرده نصب می­كند.

علاوه بر این، دریافته­‌ایم كه اگر چیزی را كه در جست­‌و­جوی آن است پیدا نكند خودش را حذف می­سازد. ما می­دانیم كه گاس ظاهراً اطلاعات بانكی نهادهای مالی لبنانی را هدف قرار داده است. مطلعیم كه بیش­ترین میزان آلودگی در لبنان، سرزمین اشغالی و مناطق فلسطینی دیده شده است".

كسپرسكی لب در گزارش خود می­‌گوید كه در نقاط دیگر هم نمونه­‌هایی از آلودگی دیده شده است: "۴۳ مورد در ایالات متحده كه احتمالاً مربوط به دستگاه­هایی است كه از طریق وی­‌پی­‌ان به دستگاه­‌هایی در خاورمیانه متصل­‌اند. نكته دیگر این است كه ما می­دانیم سرورهای كنترل­‌كننده گاس در ماه ژوییه از كار افتادند. بنابراین، احتمالاً در حال حاضر گاس تهدیدی جدی محسوب نمی­‌شود".

پس گاس چه كار می­‌كند؟
گاس به رغم علاقه­‌اش به اطلاعات بانكی، احتمالاً برای سرقت پول به كار نمی­رود. نخست آن كه گزارشی درباره سرقت پول از مؤسسات خاورمیانه منتشر نشده است. دوم آن كه گاس مبتنی بر نرم­‌افزار جاسوسی فلیم است و این بدان معنی است كه شاید هدف جاسوسی نیز داشته باشد.

پس اگر واقعاً یك حكومت از بدافزار گاس حمایت می­‌كند و این بدافزار علاوه بر داده­‌های كاربران، گذرواژه­‌ها، داده­‌های شخصی، شبكه­ اجتماعی و امثال آن در بعضی كشورها به دنبال اطلاعات بانكی هم باشد، دلیل این نوع فعالیت چیست؟

شاید این روشی برای ردگیری فعالیت­‌های سازمان­­‌ها و مبادلات مالی آن­ها باشد. ظاهراً گاس را برای این منظور طراحی كرده­‌اند. به همین دلیل است كه این بدافزار اطلاعات بانكی ( نه خود پول)، اطلاعات فعالیت­‌های جست­‌وجوگر و مجموعه اطلاعات رسانه­‌های اجتماعی را می­رباید.

دلیل از كار افتادن سرور ناظر آن در ماه ژوییه چه بود؟
احتمالات متعددی وجود دارد. شاید گاس به هدف خود رسیده باشد و سرورهایش را از كار انداخته باشد تا شناسایی نشود. شاید گردانندگان گاس خواسته­‌اند كه مانع ردگیری خود شوند. شاید از كار افتادن گاس برنامه­‌ای از پیش تعیین شده بود تا خطر ردگیری آن كاهش یابد. در واقع هیچكس دلیل اصلی را نمی­داند.

چرا گاس از فونت پالیدا نرو استفاده می­‌كند؟
شاید این روشی باشد كه گاس به كمك آن آلوده شدن دستگاه را بررسی می­كند. اگر دستگاه آلوده شده باشد دیگر مجدداً به آن حمله نمی­‌كند و در عوض رد خود را از بین می­‌برد. علاوه بر این، اگر گاس پس از بررسی دستگاهی دریابد كه كامپیوتر مذكور در فهرست اهدافش نیست، خود را از روی درایو یو اس بی پاك می­‌كند. به نظر می­رسد كه گاس در مقام یك بدافزار برای پاك كردن رد خود بسیار تلاش می­كند و خواستار انتشار فراوان نیست.

در واقع، گزارش كسپرسكی لب نشان می­‌دهد كه هنوز نحوه انتشار گاس معلوم نیست اما در عین حال در این گزارش آمده است كه انتشار این بدافزار به صورت تصادفی نیست - این هم ویژگی دیگری است كه آن را از سایر بدافزارها متمایز می­سازد. هم اكنون كه دامنه شبكه گاس ظاهراً رو به گسترش است، احتمالاً دیگر نمی­توان به طور قطع منبع و دلیل ارسال آن را شناخت.
 
بخش­های مهمی از كد آن با كلیدهایی رمزگذاری شده است كه آنها را یا نمی­شناسیم و یا در اختیار نداریم. ما واقعاً نمی­دانیم كه پیش از خاموشی سرورهای ناظر آن چه چیزی به آنها ارسال شده است.
خبر خوب این است كه حتی اگر ساكن خاورمیانه باشید احتمال آلوده شدن كامپیوترهای شخصی­تان به این بدافزار بسیار بسیار اندك است. خبر بهتر این كه به راحتی می­توان آن را یافت و پاك كرد. نرم­‌افزارهای آنتی­‌ویروس حتماً آن را می­شناسند و به­‌طور خودكار حذفش می­كنند. سایت كسپرسكی در این زمینه راهنمایی لازم را ارائه كرده است.

بر اساس خبر سايت سازمان فناوري اطلاعات، حال این سؤال نهایی مطرح می­شود: حالا كه گاس به طور مرموزی ناپدید شده، چه اتفاقی ممكن است بیفتد؟
برای این سؤال پاسخی نداریم اما از آن­جا كه گاس ابزاری برای جاسوسی بود به احتمال بسیار زیاد قبل از شروع مرحله بعدی عملیات آن نمی­توانیم اطلاعات بیش­تری در مورد آن به دست آوریم.
 

کد مطلب: 23320

آدرس مطلب: https://www.itna.ir/report/23320/تروجان-گاس-سؤال-هاي-بی-جواب

ايتنا
  https://www.itna.ir