شرکت امنیتی Trend Micro با انتشار گزارشی، از یک طرح گسترده سرقت اطلاعات و جاسوسی از یک هزار و 500 کامپیوتر در 61 کشور مختلف، پرده برداشت.
این طرح که Lurid نامگذاری شده است، شامل حملات مستمر و گسترده به کاربران شرکتها و موسسات دولتی در کشورهای مختلف می شود. ولی بیشترین فعالیت در کشورهای روسیه، قزاقستان، اوکراین و دیگر کشورهای استقلال یافته از شوروی سابق، مشاهده شده است.
مراکزی که مورد حمله قرار گرفتهاند، همگی وابسته به دولتها بودهاند. وزارتخانهها، شرکتهای وابسته به دولت، ارگان های مرتبط با امور بین الملل و خارجه و … از جمله اهداف حمله در طرح Lurid بودهاند.
نامههای الکترونیکی حاوی پیوند (Link) یا پیوست (Attachment) مخرب به افراد خاص و شناسایی شده، ارسال گردیده و با سوءاستفاده از نقاط ضعف مختلف در سیستم عامل و دیگر نرمافزارهای کاربردی بر روی کامپیوتر این افراد، دسترسی غیرمجاز به کامپیوترها فراهم شده است. نامههای ارسالی به طرز ماهرانهای طراحی شده بودهاند که گیرنده را در دام پیوند و یا پیوست مخرب نامه بیندازد. هدف اصلی از حمله و نفوذ در طرح Lurid، سرقت فایلهای Word و Excel بوده است. فایلهای سرقت شده به یک تعداد سرور در نقاط مختلف جهان ارسال میشدهاند.
اخیراً اصطلاح APT یا Advanced Persistent Threat به معنی ” تهدیدات پیشرفته و پایدار” برای تعریف اینگونه طرحهای جاسوسی و نفوذ، بکار می رود.
گردانندگان طرح Lurid نظم و انضباط خاصی داشتهاند. بدافزارهای بکار برده شده برای هر هدف دارای یک شماره ویژه بوده تا امکان شناسایی قربانی به راحتی انجام شود. طبق گزارش شرکت Trend Micro، بیش از 300 بدافزار شماره گذاری شده شناسایی گردیده که از این تعداد، 115 بدافزار فقط مربوط به حمله به یک هدف و 64 بدافزار نیز مربوط به حمله به دو هدف بوده است. همچنین در انجام این حملات، هیچ تلاش و زحمتی برای پیدا کردن و استفاده از نقاط ضعف جدید و ناشناخته کشیده نشده و از نقاط ضعف رایج که گهگاه مربوط به دو سال قبل هم میشوند، به راحتی سوءاستفاده شده است.
بدافزار اصلی که اغلب مورد استفاده قرار گرفته، یک برنامه جاسوسی قدیمی به نام Enfal بوده که از سال 2006 میلادی شناسایی شده ولی هیچگاه بطور عمومی در دسترس نبوده است.
در جمعآوری اطلاعات سرقت شده نیز دقت زیادی شده است. اطلاعات بصورت رمز شده (encrypted) به سرورهای خاص ارسال میشده و در نتیجه امکان تشخیص این اطلاعات در جریان عادی ترافیک اینترنت، دشوار بوده است.
برای کنترل بدافزارهای نصب شده بر روی کامپیوتر قربانیان و مدیریت سرورهای جمعآوری اطلاعات، از 15 نام دامنه (Domain) و 10 نشانی IP فعال استفاده شده است. در نتیجه در حال حاضر با اطلاعات محدودی که در دسترس است، امکان شناسایی دقیق گردانندگان طرح Lurid سخت و دشوار می باشد.