Dino; جاسوس افزار دیگری برای ایران

در 9 تیر ماه 1394، شرکت ضدویروس ESET گزارشی را منتشر کرد که در آن به جاسوس افزاری با نام Dino اشاره شده است. این گزارش ادعا می کند که در سال 2013 از این جاسوس افزار بر ضد اهدافی در ایران استفاده شده است.

در 12 تیر ماه، خبری با عنوان “شناسایی بدافزار Dino” به نقل از گزارش شرکت ESET، در سایت مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه ای کشور (ماهر) منتشر شد. دو روز بعد، آقای بیگلریان، سرپرست مرکز ماهر، در گفتگو با خبرگزاری مهر وجود چنین جاسوس افزاری را تایید اما تأکید کرد که این مرکز حدوداً از یک سال و نیم گذشته از وجود Dino آگاه بوده و عمکرد آن را تحلیل کرده است. این مقام مسئول، ادعای آسیب رساندن این جاسوس افزار به مراکز حساس ایران را رد کرد.

Dino، جاسوس افزاری پیشرفته است که به زبان ++C نوشته شده است. در میان نوآوری های فنی آن، از سیستم فایلی خاص با نام ramFS برای اجرای مخفیانه فرامین در حافظه و از یک برنامه زمانبندی اجرای فرمان، مشابه فرمان cron در سیستم عامل Unix، بهره گرفته است.

هدف این بدافزار جمع آوری اطلاعات از روی سیستم های مورد نظر گردانندگان آن است. یکی از فرامین استفاده شده در Dino، فرمان Search است که امکان جستجوی فایل ها را با پارامترهایی همچون پسوند، اندازه و زمان آخرین ویرایش فراهم می سازد.

Dino که احتمالاً توسط یک برنامه دیگر منتشر شده با برقراری ارتباط با مراکز فرماندهی خود فرامین را از گردانندگان دریافت می کند. در تنظیمات این بدافزار نشانی سرورهایی به چشم می خورد که در حال حاضر همگی از دسترس خارج شده اند. این سرورهای فرماندهی در واقع سایت های مجازی هستند که به تسخیر گردانندگان این بدافزار در آمده بودند.

با بررسی ساختار کدنویسی و برخی توابع استفاده شده می توان با اطمینان، توسعه آن را به گروهی موسوم به Animal Farm نسبت داد.

Snowglobe یکی از عملیات های سایبری اجرا شده توسط گروه Animal Farm است. بر طبق توضیحات مندرج در مجموعه اسلایدهایی از Communications Security Establishmentو(CSEC) که در سال 2014، توسط Edward Snowden، پیمانکار سابق سازمان امنیت آمریکا و افشاگر مشهور، منتشر شد، این عملیات از سال 2009 فعال بوده است. در این مجموعه اسلایدها، از وزارت امور خارجه، دانشگاه علم و صنعت، سازمان انرژی اتمی، شرکت ارتباطات زیرساخت، سازمان پژوهش های علمی و صنعتی، دانشگاه امام حسین [ع] و دانشگاه مالک اشتر به عنوان قربانیان ایرانی یاد شده است.

CSEC

عبارات و پیام های به کار رفته در کد بدافزارهای ساخت گروه Animal Farm نشان می دهند که ویروس نویسان این گروه فرانسوی زبان می باشند. CSEC تقریباً با اطمینان، این گروه را یک سازمان جاسوسی فرانسوی دانسته است.

بعد از انتشار مجموعه اسلایدهای CSEC، چندین بدافزار منتسب به این گروه، توسط شرکت های ضدویروس، کشف و شناسایی شدند که آخرین مورد آن به جاسوس افزار Dino باز می گردد.

Dino.exe نام فایل اجرایی اصلی این جاسوس افزار است و همین موضوع سبب نامگذاری آن توسط برخی از شرکت های ضدویروس، به Dino، شده است. Dino نام یکی از شخصیت های پویانمایی عصرحجر یا Flintstones نیز می باشد.

توضیح اینکه جاسوس افزار Dino توسط ضدویروس های McAfee و Bitdefender بترتیب با نام های RDN/Generic.dx!d2l و Trojan.GenericKD.2532821 از مدتها قبل شناسایی و پاکسازی می شود.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *