عملیات جاسوسی سایبری برعلیه کشورهای مختلف جهان
کارشناسان شرکت ضد ویروس Kaspersky خبر از کشف یک عملیات جاسوسی سایبری دادند که از شش سال گذشته شروع شده و دامنه فعالیت آن به 39 کشور جهان می رسد. سرقت اطلاعات از مراکز نظامی، دولتی و تحقیقاتی با استفاده از بدافزارهای خاصی که به همین منظور طراحی شده اند، انجام می شده.
به گفته کارشناسان Kaspersky، آنان این عملیات جاسوسی را از سال گذشته تحت نظر داشته اند ولی بر اساس تاریخ فایل ها و تاریخ ثبت نام دامنه ها (Domain)های مراکز فرماندهی، این عملیات از سال 2007 میلادی آغاز شده است.
این عملیات که شرکت Kaspersky نام “اکتبر سرخ” (Red October) بر روی آن گذاشته، مراکز و موسسات متعددی را مورد حمله و هدف خود قرار داده است. سفارتخانه ها، مراکز نظامی، سازمان های هسته ای و فضایی، شرکت های نفت و گاز، مراکز تحقیقاتی در امور سیاسی، از جمله این اهداف بوده اند.
برآورد می گردد که چند صد کامپیوتر در این مراکز و موسسات، مورد نفوذ و آلودگی قرار گرفته باشند. بسیاری از قربانیان این علمیات جاسوسی، در ایالت های اتحاد جماهیر شوروی سابق، نظیر روسیه، اوکراین، بلاروس، قزاقستان، آذربایجان و ارمنستان قرار دارند. ولی قربانیانی نیز در کشورهای آمریکا، برزیل، هند، بلژیک، سوئیس و آلمان مشاهده شده. کارشناسان Kaspersky تاکید دارند که هیچ قربانی در کشور چین تا به حال شناسایی نشده است.
در مجموع، دامنه فعالیت عملیات جاسوسی “اکتبر سرخ” در 39 کشور گسترده بوده است. شرکت Kaspersky گزارشی نیز در این مورد منتشر کرده است.
هدف اصلی از عملیات جاسوسی سایبری “اکتبر سرخ” سرقت اطلاعات جهت کسب امتیاز و برتری در جغرافیای سیاسی بین الملل بوده است. در حال حاضر نمی توان ثابت کرد که دولت یا دولت هایی حامی این عملیات جاسوسی بوده اند ولی اطلاعات سرقت شده از نوعی است که می تواند برای برخی دولت ها و کشورها برتری سیاسی و اقتصادی ایجاد کند.
در این عملیات سایبری، با ارسال ایمیل به افراد خاص و معین، اقدام به انتشار فایل های مخرب از نوع Word و Excel شده تا با اجرا و باز کردن آنها، امکان سوء استفاده از نقاط ضعف شناخته شده در این نرم افزارها، جهت نصب بدافزار بر روی کامپیوتر قربانی، فراهم گردد. نقاط ضعف مورد استفاده در این عملیات در برخی حملات سایبری بر علیه استقلال طلبان تبت و برخی شرکت های نفتی در آسیا نیز قبلاً استفاده شده اند.
بررسی ها نشان می دهد که برنامه های مخرب مرتبط با این عملیات، بر روی کامپیوترهایی که کاراکترهای زبان چینی (Simplified Chinese) بر روی آنها نصب بوده، تهیه شده اند. ولی شواهدی نیز وجود دارد که نشان می دهد، برنامه نویسان این برنامه های مخرب به زبان روسی صحبت می کرده اند.
مشخص نیست که چرا برای یک چنین عملیات سایبری پیچیده و گسترده، نقاط ضعف شناخته و قبلاً استفاده شده، به کار گرفته شده است. این احتمال وجود دارد که گردانندگان اصلی این عملیات سعی دارند اینگونه القاء کنند که عملیات “اکتبر سرخ” با حملات سایبری قبلی مرتبط است. با این حال، برای شناسایی نشدن برنامه های مخربی که از این نقاط ضعف سوء استفاده می کنند، این برنامه اندکی تغییر داده شده اند. به همین دلیل با وجود سوء استفاده از این نقاط ضعف در چند سال گذشته، برخی ضد ویروس ها هنوز قادر به تشخیص آنها نیستند. این احتمال نیز وجود دارد که برای انتشار برنامه های مخرب از روش های دیگری استفاده شده است.
بدافزار اصلی و اولیه که بر روی کامپیوتر قربانی نصب و فعال می گردد قادر به دریافت برنامه های جانبی بیشتری است که هر برنامه، قابلیت جدیدی به بدافزار اضافه می کند. طبق گفته کارشناسان Kaspersky تاکنون یک هزار برنامه جانبی مختلف کشف و شناسایی شده است.
پس از نصب و فعال شدن بدافزار، برای چند روز فقط عملیات جمع آوری اطلاعات و شناسایی قربانی و موارد استفاده کامپیوتر آلوده، انجام می شود. به عنوان مثال، چه نرم افزارهایی بر روی کامپیوتر نصب است، مجوزهای دسترسی کاربر به سرویس های مختلف چیست، چه تجهیزات جانبی دیگر به کامپیوتر متصل است و… سپس بر اساس اطلاعات به دست آمده، برنامه های جانبی توسط بدافزار دریافت شده و از آنها برای انواع عملیات استفاده می شود. عملیاتی نظیر سرقت اطلاعات از حافظه های USB، حذف فایل ها، سرقت فهرست تلفن و ایمیل از انواع نرم افزارها، سرقت اطلاعات از تلفن های همراه هوشمند که به کامپیوتر وصل می شوند، تصویر برداری از صفحه نمایشگر، ثبت کلیدهای زده شده بر روی صفحه کلید، سرقت متن ایمیل از نرم افزارهای پست الکترونیکی و حتی از سرورهای IMAP/POP3.
بدافزارهای فعال بر روی کامپیوترهای آلوده می توانند با شناسایی نقاط ضعف کامپیوترهای دیگر در شبکه و یا سرقت مجوزهای دسترسی به سیستم های دیگر، اقدام به آلوده ساختن کامپیوترهای بیشتری کنند.
بدافزارهای مرتبط با عملیات جاسوسی “اکتبر سرخ” به دنبال فایل هایی با قالب های خاص هستند. به غیر از قالب های رایج که مورد استفاده همه کاربران است، قالب * acid از اهمیت خاصی برخوردار است. این نوع فایل توسط نرم افزاری به نام Acid Cryptofiler ایجاد می شود. این نرم افزار اغلب توسط دولت ها و مراکز دیپلماتیک برای رمزگذاری فایل ها و دیسک های سخت استفاده می گردد.
بخش عمده فعالیت های عملیات “اکتبر سرخ” در پنج سال گذشته مخفی مانده و گر چه گهگاهی برخی از برنامه های جانبی و مخرب مرتبط با این عملیات توسط انواع ضد ویروس ها شناسایی شده اند، ولی تا به حال کسی تمام جزئیات و اطلاعات را کنار هم نگذاشته بود تا تصویر کاملی از گستردگی و پیچیدگی این عملیات جاسوسی به دست آید. به اعتقاد کارشناسان Kaspersky شاید در عملیات سایبری که تا به حال شاهد آنها بوده ایم، از نقاط ضعف ناشناخته و خاص استفاده شده ولی هیچ یک از عملیات سایبری گذشته نظیر Aurora و Night Dragon به پیچیدگی عملیات “اکتبر سرخ” در نحوه سرقت اطلاعات و آلوده سازی نبوده اند.
تا به حال بیش از 60 نام دامنه که در این عملیات جاسوسی مورد استفاده قرار گرفته اند، شناسایی شده اند. این دامنه ها بر روی سرورهای متعددی در کشورهای مختلف میزبانی شده و یک شبکه پیچیده “کنترل و فرماندهی” را تشکیل می دهند. بسیاری از این سرورها به طور زنجیره ای به عنوان Proxy مورد استفاده قرار گرفته اند تا هویت گردانندگان اصلی عملیات “اکتبر سرخ” را مخفی نگه دارند. هویتی که هنوز شناسایی نشده و به طور یقین تا رسیدن به آن مرحله، اطلاعات بیشتری باید درباره ماهیت عملیات جاسوسی سایبری “اکتبر سرخ” به دست آید.
اطلاعات تکمیلی 28/10/91
در حال حاضر، محصولات ضدویروس McAfee کلیه بدافزارها و برنامه های مخرب مرتبط با عملیات “اکتبر سرخ” را شناسایی کرده و واکنش نشان می دهند. بررسی ها و تحقیقات درباره عملیات “اکتبر سرخ” ادامه دارد و با کشف و شناسایی شدن اجزای جدیدی از این عملیات، فرمول شناسایی آنها به محصولات McAfee اضافه خواهد شد.
مشترکین گرامی می توانند برای کسب اطلاعات بیشتر درباره نحوه مقابله با تهدیدات ناشی از عملیات “اکتبر سرخ” با گروه پشتیبانی شبکه گستر تماس حاصل نمایند.
