در شهریور ماه ۱۳۹۶، شرکت ESET از شناسایی یک حمله سایبری جاسوسی خبر داد که گردانندگان آن از سال ۲۰۱۶ میلادی کنسولگریها، وزارتخانهها و سفارتخانهها را در کشورهای مختلف به ویژه کشورهای اروپای جنوب شرقی هدف قرار میدادهاند.
در جریان این حملات، از یک بدافزار دربپشتی با نام Gazer برای جاسوسی از دولتها و دیپلماتهای آنها استفاده شده است.
به نظر میرسد این بدافزار توسط گروه Turla توسعه داده شده که در حملات پیشین ارتباط آن با سازمانهای اطلاعاتی روسیه به اثبات رسیده بوده.
مهاجمان، Gazer را – که به زبان ++C نوشته شده – از طریق ایمیلهای فیشینگ و سیستمهای آسیبپذیر بر روی اهداف خود گسترش دادهاند.
مکانیزم آلوده کردن سیستمها در دو مرحله انجام میشود. در مرحله اول بدافزار، یک دربپشتی دیگر به نام Skipper را دریافت کرده و سپس کدهای آلوده Gazer را بر روی سیستم قربانی نصب میکند. گروه Trula در حملات گذشته نیز از دربپشتی Skipper استفاده کرده بوده.
در مرحله دوم نیز دربهای پشتی Carbon و Kazuar بر روی سیستم قربانی نصب میشود.
نویسندگان Gazer برای مخفی ماندن و شناسایی نشدن توسط محصولات ضدبدافزار و دیواره آتش، از سایتهای آسیبپذیر به عنوان پیشکار استفاده کردهاند. بر روی اکثر این سایتهای تسخیر شده سامانه مدیریت محتوای WordPress در حال اجرا بوده است.
Gazer از روش تزریق کد آلوده، برای کنترل سیستم قربانی و پنهان ماندن طولانی مدت در زمان جمعآوری اطلاعات استفاده میکند.
همچنین میتواند دستورات دریافت شده توسط یک سیستم آلوده شده را به یک سیستم دیگر در همان شبکه ارسال کند.
برای دریافت گزارش بررسی و تحلیل بدافزار Gazer بر روی لینک زیر کلیک کنید.
