ProjectSauron، نفوذهایی که برای پنج سال مخفی ماندند

به گزارش شرکت مهندسی شبکه گستر، یک گروه هک ناشناس موسوم به ProjectSauron از سال 2011 حملات جاسوسی پیشرفته ای را بر علیه سازمان های حساس کشورهای مختلف اجرا می کرده است.

نفوذهای صورت گرفته توسط این گروه تمامی ویژگی های حملات پیشرفته را در خود دارند. حملات ProjectSauron با تکیه بر جاسوس افزاری پیشرفته با نام Remsec صورت می گرفته است. جاسوس افزار Remsec بر خلاف بدافزارهای رایج بجای نصب شدن بر روی دیسک سخت کامپیوترهای شبکه، تنها در حافظه دستگاه مقیم می شود.

در بخشی از کد این جاسوس افزار به Sauron اشاره شده که یکی از شخصیت های اصلی رمان ارباب حلقه هاست.

projectsauron_eng_1

این بدافزار قادر است فایل ها را سرقت کند، کلیدهای فشرده شده توسط کاربر را ثبت کند و یک درب پشتی (Backddor) برای مهاجمان باز کند.

از دیگر توانایی های این بدافزار سرقت داده های حساس از دستگاه هایی است که به اینترنت اتصال ندارند. برای این منظور با اتصال یک حافظه USB Flash، حافظه به نحوی فرمت می شود که فضایی در حد چند مگابایت از روی پارتیشن آن آزاد شود. در ادامه در فضای آزاد شده بر روی حافظه USB Flash، یک پارتیشن جدید که با روشی خاص رمزنگاری می شود ایجاد می گردد. در پارتیشن جدید نیز دو پوشه با عناوین “In” و “Out” ایجاد می شوند که از آنها برای سرقت داده ها از این دستگاه ها استفاده می شده است.

شرکت Symantec اعلام کرده که در بخش هایی از کد Remsec شباهت هایی با بدافزار پیشرفته Flame یافته است. شرکت Kasperksy وجود این شباهت را تایید کرده اما آن لزوماً نشانه ارتباط مستقیم این دو بدافزار ندانسته است.

 اهداف اصلی این بدافزار سازمان های دولتی، مراکز علمی و تحقیقاتی، مراکز نظامی، شرکت های مخابراتی و مؤسسات مالی در کشورهای روسیه، چین، ایران، سوئد، بلژیک رواند و ایتالیا  اعلام شده است.

به گفته شرکت Kaspersky، سرورهای فرماندهی استفاده شده در این حملات در آمریکا و چندین کشور اروپایی قرار داشته اند.

با توجه به ساختار و قابلیت های بسیار خاص و زیرساخت های عظیمی که برای اجرای این حملات نیاز بوده، تقریباً با اطمینان می توان گفت که یک سازمان جاسوسی دولتی در پشت طراحی آن بوده است.

توضیح اینکه با توجه به کثرت فایل‌های مرتبط با این جاسوس‌افزار که توسط شرکت‌‌های McAfee و Bitdefender مورد بررسی قرار گرفته‌اند “نام شناسایی” واحدی برای آنها ارائه نشده است. اما عمده فایل‌های بررسی شده توسط ضدویروس‌های McAfee و Bitdefender بترتیب با نام‌های W32/Remsec-APT و Gen:Variant.Remsec.1 شناسایی می‌گردند.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *