پس از حملات سایبری به برخی زیرساخت های کشورمان، احتمالاً شما نیز به این موضوع فکر کرده اید برای جلوگیری از وقوع چنین حوادثی، کامپیوترهای مراکز مهم به اینترنت متصل نباشند. در حالی که این یک ایده خوب به نظر می رسد اما حالا پروژه Sauron نشان داده حتی در نبود ارتباط با دنیای بیرون می توان از سیستم های ایزوله نیز جاسوسی کرد. این جنگ افزار سایبری از تکنیک جدیدی برای جاسوسی از کامپیوترهایی که به اینترنت دسترسی ندارند بهره می گیرد که به عقل جن هم نمیرسد!
بر کسی پوشیده نیست هنگامی که نهادهای امنیتی و اطلاعاتی پشت فعالیتی هستند، هیچگاه اطلاعاتی قابل توجه ای به بیرون درز نمی کند و حتی آن اطلاعات محدودی نیز که لو می روند، می توانند هدفمند و بخشی از پروژه اصلی باشند. با این حال پژوهشگران و شرکت های امنیتی گاهی نیز از حملات و پروژه های مخفی پرده بر می دارند. اما از آنجایی که نمی توان به هیچ شواهد و مستندات قطعی دست پیدا کرد، هیچگاه در مورد منشاء و عاملان حملات سایبری با قاطعیت صبحت نمی شود. در همین حال بر کسی پوشیده نیست حملات سایبری چون Stuxnet ،Duqu و Flame با حمایت دولت ها بوده است.
آخرین جنگ افزار سایبری که از آن پرده برداشته شده، پروژه Sauron نام دارد. در قلب این پروژه یک بدافزار بسیار پیچیده قرار دارد که هیچگاه نمی تواند توسط یک تیم یا گروه و حتی چند تیم و گروه مستقل طراحی و نوشته شده باشد. Sauron نیز یکی از پیچیده ترین بدافزارهای نوشته شده به دست انسان تا به امروز است، البته هیچ بعید نیست بدافزارها و پروژه های موازی و حتی پیچیده تری سال ها مخفیانه در حال فعالیت باشند. بدافزار Sauron نهادهای دولتی، مراکز پژوهشی، مراکز نظامی، ارائه دهنگان خدمات ارتباطی و نهادهای مالی را هدف می گیرد که به نقل از شرکت امنیتی Kaspersky LAB، ایران یکی از اهداف آن است.
جدای از همه گمانه زنی ها و پیچیدگی ها، با بدافزار پروژه Sauron برای اولین بار شاهد بکارگیری یک تکنیک جدید برای جاسوسی از کامپیوترهایی که به شبکه اینترنت متصل نیستند هستیم. این بدافزار با بکارگیری یک تکنیک بسیار خلاقانه که در ادامه به تشریح آن می پردازیم، قادر به سرقت اطلاعات از کامپیوترهایی است که به اینترنت وصل نیستند.
Sauron، بدافزاری که روی هوا راه می رود!
تنکیک بکار گرفته شده توسط Sauron برای سرقت اطلاعات از کامپیوترهایی که به اینترنت دسترسی ندارند کاملاً جدید است، بنابراین هنوز نام واحدی برای آن انتخاب نشده است اما فعلاً از آن به عنوان پرش از روی هوا یا طی کردن مسافت ها از روی هوا شناخته می شود.
در این روش بدافزار مقیم کامپیوتر هدف که به هر طریقی آلوده شده اما به اینترنت دسترسی ندارد، منتظر وصل شدن وسائل USB نظیر حافظه ذخیره سازی فلش می ماند. این انتظار هیچ محدودیتی ندارد و Sauron آن قدر به انتظار می نشیند تا سرانجام یک وسیله USB به کامپیوتر آلوده وصل شود. با وصل شدن وسیله ذخیره سازی USB به کامپیوتر آلوده، Sauron فایل سیستم آن را دستکاری و یک پارتیشن مجازی مخفی ایجاد می کند و کسری از ظرفیت ذخیره سازی آن را به خود اختصاص می دهد.
در گام بعدی Sauron کلیه اطلاعات و فایل هایی که در طول فعالیت خود گرد آوردی کرده، بدون اطلاع کاربر به پارتیشن مخفی وسیله USB کپی می کند. سپس یک ماژول اجرایی نیز به آن اضافه می شود. در وجود مخفی کاری اندیشیده شده، کاربر هیچگاه متوجه وجود این فایل ها بر روی وسیله USB خود نمی شود و آن را به کامپیوتر یا کامپیوترهای دیگری متصل می کند.
با متصل کردن وسیله USB آلوده به کامپیوترهای ثانویه، بدافزار به صورت کاملاً مخفیانه اجرا شده و در دسترس بودن ارتباط با اینترنت را بر روی کامپیوتر میزبان بررسی می کند، در صورتی که ارتباط با اینترنت برقرار باشد، اطلاعات گردآوری شده برای سرورهای بدافزار ارسال می شود اما در صورتی که آن کامپیوتر هم به اینترنت دسترسی نداشته باشد، یک کپی از اطلاعات و بدافزار بر روی آن کپی می شود و به کمین وسائل USB می نشیند. این توالی به حدی ادامه می یابد تا سرانجام بدافزار به اینترنت دسترسی پیدا کند و اطلاعات گردآوری شده به دست نفوذگران برسد، البته تضمینی وجود ندارد این تلاش ها به سرانجام برسد اما هیچ بعید نیست.
در حالی که چگونگی پیاده سازی این تکنیک به ویژه در سمت وسیله USB مشخص نیست، گمان می رود از یک آسیب پذیری ناشناخته که هنوز شناسایی و برطرف نشده (آسیب پذیری روز صفر) بهره می گیرد. سرقت اطلاعات به این سبک تاکنون با هیچ بد افزار دیگری گزارش نشده بود.
بدون کوچکترین تردیدی، پشت پروژه Sauron و امثال آن با هزینه های میلیون دلاری، دولت ها قرار دارند و هیچ گروهی مستقل قادر به انجام آن نیست. جالب تر آنکه ادعا شده Sauron از حدود 5 سال قبل در حال فعالیت بوده است. پروژه Sauron هنگامی کشف شد یک نهاد که نامی از آن برده نشده، متوجه ترافیک غیر عادی در شبکه خود می شود، سپس این نهاد از شرکت امنیتی Kaspersky Lab درخواست بررسی این موضوع را می کند و سرانجام به شناسایی Sauron می انجامد.
پس از آنکه یک بدافزار جدید شناسایی می شود، شرکت های امنیتی برای پی بردن به زمان تقریبی شروع فعالیت آن، به آرشیو checksumها یا شناسه های یکتا خود مراجعه می کنند. ممکن است یک فایل سال ها به عنوان فایل سالم تشخیص داده شده باشد اما معمولاً checksum آن فایل در پایگاه داده آنتی ویروس ها و نرم افزارهای امنیتی ثبت می شود.
تهیه شده در شهرسخت افزار
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت