Duqu-2; هدف این بار، مذاکرات هسته ای ایران

گونه جدیدی از بدافزار Duqu شبکه های کامپیوتری چندین هتل و دیگر محلهایی که میزبان مذاکرات هسته ای ایران با گروه 1+5 بوده هدف قرار داده است. این حملات از سال گذشته میلادی در جریان بوده است.

شرکت امنیتی Kaspersky، در اوایل بهار امسال متوجه آلودگی تعدادی از سیستم‌های خود می شود و بررسی های بیشتر منجر به شناسایی بدافزاری می‌گردد که این شرکت آنرا Duqu 2.0 نامیده. پس از اضافه شدن فرمول شناسایی این گونه جدید به محصولات ضدویروس Kaspersky، بر اساس گزارشات جمع آوری شده از سیستم‌های مشتریان این شرکت، 100 مورد آلودگی به Duqu 2.0 در کشورهای غربی، آسیایی، خاورمیانه و روسیه شناسایی می شود؛ از جمله محل های ملاقات ایران با گروه مذاکره کننده 1+5 در کشورهای اتریش و سوئیس.

شرکت امنیتی Symantec نیز بر اساس تحقیقات خود بر روی بدافزار Duqu 2.0، نمونه هایی از آنرا در یکی از شرکتهای مخابراتی اروپا و یک شرکت مخابراتی در آفریقای شمالی و همچنین یک تولیدکننده محصولات الکترونیکی در آسیای جنوبی، کشف و شناسایی کرده است. به اعتقاد کارشناسان Symantec نفوذ و آلود ساختن شرکتهای مخابراتی و تولیدکننده تجهیزات الکترونیکی جهت شنود مکالمات تلفن همراه قربانیان Duqu بوده است.  

گونه جدید Duqu بسیار پیچیده تر از گونه قبلی این بدافزار است که در اواسط سال 1390 کشف و شناسایی شد. در آن زمان، با توجه به تعداد محدود آلودگی های گزارش شده همه شرکتهای امنیتی اتفاق نظر داشتند که انتشار Duqu در ارتباط با یک حمله کاملاً هدفمند بوده است. در آمار ارائه شده درباره کشورهای هدف، بین شرکتهای ضدویروس اختلاف نظر وجود داشت اما نام ایران در میان همه این آمارها به چشم می خورد.

به گفته شرکت Kaspersky، نخستین برخورد این شرکت با گونه جدید زمانی بود که بدافزار در نتیجه احتمالاً یک حمله کلاهبرداری (Phishing) سیستم یکی از کارکنانش را آلوده می کند. با توجه به اینکه سیستم این کارمند مجهز به تمامی اصلاحیه ها بوده، محققان این شرکت در می یابند که بدافزار از طریق یک ضعف امنیتی تا کنون ناشناخته اجرا شده است. با بررسی های بیشتر، مشخص می شود Duqu 2.0 حداقل از سه ضعف امنیتی که در زمان انتشار بدافزار ناشناخته بوده، سواستفاده می کرده است. هر سه ضعف امنیتی مذکور اکنون ترمیم شده اند و آخرین اصلاحیه برای ترمیم آنها، روز سه شنبه 20 خرداد از سوی شرکت مایکروسافت ارائه شد.

روشهای مورد استفاده در این گونه جدید بسیار فراتر از فناوری های مورد استفاده در تهدیدات پیشرفته و مستمر امروزی است. Duqu 2.0 برخلاف بدافزارهای دیگر به نحوی طراحی شده است که تنها بر روی حافظه اجرا شده و با هر بار راه اندازی سیستم از بین می رود. این نشان می دهد که نویسندگان آن می دانستند در هر زمان که بخواهند می توانند سیستم را مجدداً آلوده کنند. همچنین روشهای رمزنگاری مورد استفاده در گونه جدید Duqu در شرایط مختلف، متفاوت بوده است.

ضعف های امنیتی ناشناخته که در موفقیت انتشار یک بدافزار نقش بسیار مهمی ایفا می کنند، در بازار سیاه سایبری به سختی و با قیمت بسیار گران یافت می شوند. ترکیب این سه ضعف امنیتی و پیچیدگی بسیار زیاد گونه جدید جای تردیدی باقی نمی گذارد که حمایت های دولتی در طراحی و ساخت آن دخالت داشته است.

گرچه هر دو شرکت Kaspersky و Symantec از اشاره مستقیم به حامی و پشتیبان بدافزار Duqu 2.0 خودداری کرده اند ولی در مصاحبه ها و مطالب منتشر شده بر روی سایت این دو شرکت، دخالت یک یا چند دولت در این ماجرا مطرح شده است. اما روزنامه Wall Street Journal به نقل از یکی از مقامات سابق آمریکا که نخواست نامش فاش شود این حملات را به اسرائیل نسبت داده است.

توضیح اینکه، نمونه های این گونه جدید، در راهکارهای شرکت McAfee با نام PWS-Duqu2 و در ضدبدافزار Bitdefender با نام های Trojan.Duqu.E و Trojan.Duqu.F شناسایی می شوند.

گزارش شرکت Kaspersky درباره بدافزار Duqu 2.0 را می توان در اینجا مطالعه کرد. همچنین برای مطالعه گزارش شرکت Symantec می توان به اینجا مراجعه کرد.