بررسی و تحلیل بدافزار Gazer

در شهریور ماه ۱۳۹۶، شرکت ESET از شناسایی یک حمله سایبری جاسوسی خبر داد که گردانندگان آن از سال ۲۰۱۶ میلادی کنسولگری‌ها، وزارتخانه‌ها و سفارتخانه‌ها را در کشورهای مختلف به ویژه کشورهای اروپای جنوب شرقی هدف قرار می‌داده‌اند.

در جریان این حملات، از یک بدافزار درب‌پشتی با نام Gazer برای جاسوسی از دولت‌ها و دیپلمات‌های آنها استفاده شده است.

به نظر می‌رسد این بدافزار توسط گروه Turla توسعه داده شده که در حملات پیشین ارتباط آن با سازمان‌های اطلاعاتی روسیه به اثبات رسیده بوده.

مهاجمان، Gazer را – که به زبان ++C نوشته شده – از طریق ایمیل‌های فیشینگ و سیستم‌های آسیب‌پذیر بر روی اهداف خود گسترش داده‌اند.

مکانیزم آلوده کردن سیستم‌ها در دو مرحله انجام می‌شود. در مرحله اول بدافزار، یک درب‌پشتی دیگر به نام Skipper را دریافت کرده و سپس کدهای آلوده Gazer را بر روی سیستم قربانی نصب می‌کند. گروه Trula در حملات گذشته نیز از درب‌پشتی Skipper استفاده کرده بوده.

در مرحله دوم نیز درب‌های پشتی Carbon و Kazuar بر روی سیستم قربانی نصب می‌شود.

نویسندگان Gazer برای مخفی ماندن و شناسایی نشدن توسط محصولات ضدبدافزار و دیواره آتش، از سایت‌های آسیب‌پذیر به عنوان پیشکار استفاده کرده‌اند. بر روی اکثر این سایت‌های تسخیر شده سامانه مدیریت محتوای WordPress در حال اجرا بوده است.

Gazer از روش تزریق کد آلوده، برای کنترل سیستم قربانی و پنهان ماندن طولانی مدت در زمان جمع‌آوری اطلاعات استفاده می‌کند.

همچنین می‌تواند دستورات دریافت شده توسط یک سیستم آلوده شده را به یک سیستم دیگر در همان شبکه ارسال کند.

برای دریافت گزارش بررسی و تحلیل بدافزار Gazer بر روی لینک زیر کلیک کنید.