بدافزار مورد استفاده در عملیات Equation

Fanny یک بدافزار از مجموعه بدافزارهایی است که مهاجمین سایبری Equation از آن در عملیات خود استفاده می کردند. برخی شواهد نشان می دهد که بدافزار Fanny قبل از بدافزار مشهور Stuxnet به عنوان پیش قراول از دو دهه قبل فعال بوده است.

بر اساس گزارش منتشر شده از سوی شرکت ضدویروس Kaspersky، یک عملیات جاسوسی و سرقت اطلاعات که در بیش از 30 کشور جهان و از جمله ایران، گسترده بوده، از سال 2001 میلادی و شاید حتی از سال 1996 میلادی آغاز گردیده. گرچه این شرکت از نام بردن سازمان امنیت ملی آمریکا (NSA) به عنوان طراح و گرداننده این عملیلت خودداری کرده است و آنرا فقط به یک گروه به نام Equation نسبت می دهد، ولی شواهد متعددی از وجود چنین ارتباطی خبر می دهند.

یکی از شواهد این ارتباط، بدافزار Fanny است که از سال 2008 میلادی توسط گروه Equation مورد استفاده قرار گرفته و از جهاتی شباهت به بدافزار مشهور Stuxnet دارد. بدافزار Stuxnet در سال 2010 میلادی شناسایی شد و بر اساس مدارک و شواهد متعددی که به دست آمده، توسط سازمان امنیت ملی آمریکا و سازمانهای اطلاعاتی رژیم اشغالگر طراحی و منتشر شده است.

بدافزار Fanny از طریق حافظه های USB Flash منتشر می شود و هدف اصلی آن جمع آوری و سرقت اطلاعات است. تمرکز فعالیت Fanny بر روی شبکه های بسته و به دور از اینترنت است.

به چند نکته درباره بدافزار Fanny باید توجه ویژه داشت. اول، این بدافزار از نقطه ضعفی برای انتشار خود سوء استفاده می کرده که بدافزار Stuxnet هم بعداً، عیناً از آن استفاده کرده. این نقطه ضعف در سال 2010 میلادی بعد از کشف Stuxnet توسط شرکت مایکروسافت اصلاح و ترمیم شد. ولی بدافزار Fanny از سال 2008 از آن استفاده می کرده است. اولین گونه از بدافزار Stuxnet مربوط به سال 2009 می شود.

همچنین بدافزار Fanny از یک نقطه ضعف ناشناخته دیگر در سیستم عامل Windows سوء استفاده می کرده که در برخی گونه های Stuxnet هم مشاهده شده است. شباهت های فنی دیگری هم بین این دو بدافزار وجود دارد، که شرکت Kaspersky در وبلاگ خود منتشر کرده است.

نکته دوم که درباره بدافزار Fanny جلب توجه می کند، توانایی این بدافزار در ایجاد یک فضای اختصاصی و خصوصی برای خود بر روی حافظه های USB Flash است. برای اینکار، بدافزار از یک سری File System Flag که هیچ مستندات عمومی و رسمی درباره آنها منتشر نشده، استفاده می کند و یک فضای حدود یک مگابایت برای خود برداشته و کنار می گذارد. این فضا توسط سیستم عامل Windows و دیگر سیستم های عامل نادیده گرفته می شود و قابل دسترسی نیست.

سیستم های عامل این فضا را به عنوان یک حجم از داده های خراب (corrupt data block) تشخیص می دهند و نادیده می گیرند. ولی بدافزار Fanny گرداننده های FAT اختصاصی خود را دارد و قادر است در این فضای اختصاصی بنویسد (Write) و از آن بخواند (Read).  

بدافزار Fanny از این فضای برای نگهداری اطلاعات جمع آوری شده، استفاده می کند و زمانی که حافظه USB Flash به کامپیوتری که به اینترنت دسترسی دارد، وصل می شود، این اطلاعات را به مرکز فرماندهی ارسال می کند. همچنین فرامین جدید را از مرکز فرماندهی دریافت می کند و در این فضا ذخیره می نماید تا در زمان اتصال به یک کامپیوتر قرنطینه و خارج از اینترنت، این فرامین را بر روی آن کامپیوتر اجرا کند.

با توجه به قابلیت ویژه بدافزار Fanny برای فعالیت در شبکه های بسته و دور از اینترنت و از طرف دیگر، قابلیت ویژه بدافزار Stuxnet برای انتشار در شبکه های محلی، به نظر می رسد که Fanny پیش قراول Stuxnet بوده تا هدف های مهم و با اهمیت را برای عملیات Stuxnet در آینده شناسایی کند.

یکی دیگر از ویژگی های بدافزار Fanny و زیرکی گروه Equation تلاش برای ساده و معمولی نشان دادن Fanny بوده است. برای اینکه توجه کارشناسان ضدویروس به این بدافزار جلب نشود و اگر آنرا کشف کردند، بدافزار مهمی تشخیص داده نشود، اقدامات جالبی شده. به عنوان مثال، با اینکه بدافزار Fanny قابلیت Rootkit دارد و می تواند خود را به خوبی از دید ضدویروسها مخفی نگه دارد، ولی برعکس، کارهای ساده و آماتوری انجام می دهد تا به آسانی قابل تشخیص باشد.

بدافزار Fanny یک فایل آلوده در شاخه System32 قرار می دهد و یک کلید جدید به Registry اضافه می کند. دقیقاً دو کاری که هر بدافزار ساده و پیش پا افتاده ای، انجام می دهد. بدین ترتیب سعی شده که اگر بدافزار شناسایی شود، ضدویروس‌ها آنرا به عنوان یک بدافزار معمولی و عادی دسته بندی کنند. همان اتفاقی که افتاده و به عنوان نمونه، ضدویروس Kaspersky بدافزار Fanny را در سال 2008 میلادی شناسایی کرده ولی آنرا کم اهمیت دانسته و حتی بدون اختصاص نام، بدافزار را فقط دسته بدافزارهای Zlob قرار داده است.

بدافزار Fanny دارای گونه های متعددی است که توسط اغلب نرم افزارهای ضدویروس شناسایی می شوند.

در حال حاضر، بیشترین میزان آلودگی به بدافزار Fanny در کشور پاکستان مشاهده شده است.