بدافزارهای اختصاصی و هدفمند

طراحی و ساخت بدافزارهای اختصاصی و هدفمند که قربانیان از پیش تعیین شده ای را مورد حمله قرار می دهند و به دنبال اهداف خاصی هستند، تقریباً به امری عادی تبدیل شده است. برخلاف سالهای گذشته که بدافزارها و نویسندگان آنها فقط به دنبال کسب شهرت و انتشار هرچه گسترده تر بودند، بدافزارهای امروزی تبدیل به ابزارهایی اختصاصی و هدفمند شده اند. بدافزارهای امروزی سعی دارند تا با کمترین سروصدا و بدون جلب توجه قربانیان و ابزارهای امنیتی بکار گرفته شده، تا حد ممکن مخفی باقی مانده و اهداف مشخصی را دنبال کنند.

به چند نمونه زنده و در حال حاضر فعال، از این بدافزارهای اختصاصی و هدفمند در زیر اشاره شده است.

بدافزار Mutter

این بدافزار که در یک فایل DOC مخفی شده از طریق ایمیل فقط به افراد خاص و از پیش تعیین شده، ارسال می شود. بدافزار Mutter از نقاط ضعف مختلف شناخته شده سوء استفاده کرده و به کامپیوترهای قربانی نفوذ می کند. انتشار و فعالیت این بدافزار که مدتی طولانی است آغاز شده، مراکز دولتی در آمریکا و هند را هدف قرار داده است. همچنین شرکت ها و سازمانهای فعال در زمینه هواو فضا، مخابرات و صنایع دفاعی مورد حمله بدافزار Mutter قرار گرفته اند. 

بررسی های صورت گرفته بر روی این بدافزار نشان می دهد که هدف اصلی از انتشار و فعالیت آن، جمع آوری اطلاعات درباره فناوری های ساخت پهپاد (پرنده هدایت پذیر از دور یا Un-manned Arial Vehicle) است. نمونه های مختلفی از فعالیت بدافزار Mutter مشاهده شده که اختصاصاً به مراکزی که بر روی پروژه های پهپاد فعالیت می کنند، حمله کرده و یا اطلاعات جمع آوری شده توسط بدافزار، مشخصاً درباره فناوری های پهپاد بوده است.

فایل آلوده به بدافزار Mutter در ظاهر سندی درباره دستیابی پاکستان به فناوری ساخت پهپادها است که توسط یکی از موسسات تحقیقاتی دولتی در هند تهیه شده است. در برخی حملات نیز فایل آلوده فقط حاوی کاراکترهای غیرقابل تشخیص و ناخوانا بوده است.

نحوه عملکرد ویروس Mutter مشابه بدافزاری است که در اوایل فروردین ماه امسال به چندین خبرگزاری و موسسه مالی در کره جنوبی حمله کرده و با آلوده ساختن شبکه های کامپیوتری این موسسات، باعث اختلال در این موسسات شد. بدافزار پس از نصب بر روی کامپیوتر قربانی، مدت طولانی غیرفعال باقی می ماند تا سیستم های امنیتی که بر اساس فناوری های رفتارشناسی قادر به تشخیص عملیات و ترافیک فایلهای مشکوک و مخرب در شبکه هستند، این بدافزار را به عنوان برنامه ای بی خطر شناسایی کنند. بدین ترتیب احتمال تشخیص بدافزار توسط بخش های دیگر سیستم های امنیتی نیز کاهش می یابد.

برخی شرکت های امنیتی فعالیت مخرب Mutter را به گروه نفوذگران چینی APT-1 که اخیراً به عنوان شاخه ای از ارتش چین معرفی شده است، نسبت می دهند.

بدافزار Magic

این بدافزار شبکه های کامپیوتری برخی بخش های دولتی و خصوصی در کشور انگلیس را با هدف جاسوسی اطلاعات از این مراکز، آلوده کرده است. یکی از ویژگی های جالب این بدافزار، استفاده از پودمان اختصاصی برای ارتباط با مرکز فرماندهی خود است. به نظر می رسد که بدافزار Magic بدافزاری جدید باشد که حتی برخی از قابلیت ها و امکانات آن هنوز بطور کامل برنامه نویسی نشده و فعال نمی باشند.

بدافزار Magic ارتباط خود را با مرکز فرماندهی با دستوری آغاز می کند که حاوی عبارت some_magic_code1 است. ارتباط اولیه بر اساس پودمان HTTP برقرار می شود ولی بعداً از پودمان اختصاصی بدافزار برای دریافت دستورات و فایلهای جدید استفاده می شود.

این بدافزار یک کاربر جدید به نام WINDOWS بر روی کامپیوتر قربانی با رمز عبور mypass1234 بعنوان درب مخفی برای دسترسی های بعدی نفوذگران ایجاد می کند. 

بررسی های صورت گرفته نشان می دهد که بدافزار Magic نزدیک به یکسال است که فعال می باشد. هنوز روش های حمله و انتشار آن دقیقاً مشخص نیست، ولی اطلاعات اولیه نشان می دهد که این بدافزار نیز از طریق ایمیل های هدفمند برای افراد خاص و از پیش تعیین شده، ارسال شده است.

فعالیت بدافزار Magic از چندین بخش مختلف تشکیل شده ولی در حال حاضر فقط بخش “نظارت و کنترل عملیات روزانه قربانی” فعال می باشد. بخش های دیگر بدافزار هنوز بر روی کامپیوتر قربانی وجود ندارند و احتمالاً در مراحل بعدی از مرکز فرماندهی دریافت و نصب خواهند شد.

بدافزار Gozi

بدافزار Gozi که اختصاصاً برای سرقت اطلاعات و کلاهبرداری بانکی طراحی و ساخته شده است، بدافزار جدیدی نیست و مدتهاست که کشف و شناسایی شده است. حتی نویسندگان این بدافزار نیز دستگیر شده اند. ولی اکنون گونه جدیدی از بدافزار Gozi منتشر شده است که قابلیت آلوده کردن MBR یا Master Boot record کامپیوتر قربانی را دارد.

به نظر می رسد که افزودن این قابلیت به بدافزار Gozi به سفارش گروه های خلافکار انجام شده تا توان این بدافزار در مخفی ماندن از دید ابزارهای امنیتی افزایش یابد. فرامین و دستورات MBR قبل از سیستم عامل به اجرا در می آیند و لذا برنامه های مخربی که در بخش MBR قرار دارند، قبل از فعال شدن بسیاری از نرم افزارهای امنیتی، فعال می شوند. به همین دلیل است که مایکروسافت در سیستم عامل جدید Windows 8 امکان امنیتی جدیدی به نام Secure Boot قرار داده است.

شناسایی و پاکسازی بدافزارهای MBR دشوار بوده و حتی در مواردی با نصب مجدد سیستم عامل نیز بدافزار به حیات خود ادامه می دهد.

بخش جدید MBR بدافزار Gozi منتظر می ماند تا کاربر مرورگر Internet Explorer را اجرا کند. در این لحظه، بدافزار فرامین مخرب خود را به این سرویس اضافه (تزریق یا inject) می کند و بدین ترتیب قادر است تا ترافیک مرورگر را تحت کنترل داشته باشد. در زمان مراجعه کاربر به سایت موسسات مالی و بانکی، بدافزار Gozi وارد میدان شود و ترافیک رد و بدل شده بین مرورگر و بانک را به دلخواه دستکاری می کند.