شرکت کسپرسکی جزییات بدافزاری با عنوان DarkPulsar را منتشر کرده که بهنظر میرسد قربانیان آن محدود به کشورهای روسیه، ایران و مصر است.
اگر چه این شرکت، مجموع آلودگیهای شناسایی شده را حدود 50 مورد اعلام کرده اما تعداد واقعی آلودگیها را فراتر از این تعداد میداند.
سیستم عامل اکثر این دستگاهها از نوع Windows Server و نسخه آنها 2003 و 2008 گزارش شده است.
زمینه فعالیت اهداف این بدافزار نیز انرژی هستهای، مخابرات، فناوری اطلاعات، هوافضا و تحقیق و توسعه معرفی شده است.
به گزارش شرکت مهندسی شبکه گستر، DarkPulsar ابزار هکی است که بخشهایی از کد آن در فرودین ماه 1396 توسط گروه موسوم Shadow Brokers بهصورت عمومی منتشر شد. Shadow Brokers مدعی است که این ابزار و دهها ابزار پیشرفته بهرهجوی (Exploit Kit) دیگر را از یک گروه نفوذگر حرفهای با نام Equation – که وابستگی اثبات شدهای به سازمان امنیت ملی دولت آمریکا (NSA) دارد سرقت کرده است.
از جمله ابزارهای بهرهجوی افشا شده توسط Shadow Brokers میتوان به EtrenalBlue اشاره کرد که پس از انتشار عمومی آنها بر روی اینترنت بهشدت مورد استقبال نویسندگان بدافزار و مهاجمان سایبری قرار گرفت و از آن در حملات گسترده باجافزاری WannaCry،و Petya و Bad Rabbit استفاده شد.
با این حال آن طور که از گزارش کسپرسکی برمیآید ظرف 18 ماه گذشته ابزار DarkPulsar چندان مورد توجه نه فقط نویسندگان بدافزار که شرکتهای امنیتی نیز قرار نگرفته است. اگر چه پیشتر برخی منابع در گزارشهای خود از ابزار مذکور نام برده بودند که در نمونهای از آن در اینجا قابل مطالعه است.
کسپرسکی، DarkPulsar را دربی پشتی توصیف کرده که نقطه اتصال دو ابزار بهرهجوی دیگر افشا شده توسط Shadow Brokers با نامهای FuzzBunch و DanderSpritz است.
همچنین بدافزار DarkPulsar مجهز به قابلیت موسوم به خودکشی است که سبب از بین رفتن ردپای دستدرازیهای صورت پذیرفته از روی دستگاه قربانی میشود؛ مشخصهای که در بسیاری از بدافزارهای استفاده شده در جنگهای سایبری به چشم میخورد.
مشروح گزارش کسپرسکی در اینجا قابل مشاهده است.
توضیح اینکه بدافزار مذکور با نامهای زیر قابل شناسایی میباشد:
Bitdefender
– Trojan.GenericKD.4882530
– Gen:Variant.Razy.174011
McAfee
– Generic.aya
– GenericRXDW-OF!275225C55918
– GenericRXDW-OF!1B5943D3B2F2
Sophos
– Troj/Equatio-Q
– Mal/Generic-S