روسیه؛ قربانی جدید جاسوسی و سرقت اطلاعات

شرکت امنیتی Trend Micro با انتشار گزارشی، از یک طرح گسترده سرقت اطلاعات و جاسوسی از یک هزار و 500 کامپیوتر در 61 کشور مختلف، پرده برداشت.

این طرح که Lurid نامگذاری شده است، شامل حملات مستمر و گسترده به کاربران شرکت‎ها و موسسات دولتی در کشورهای مختلف می شود. ولی بیشترین فعالیت در کشورهای روسیه، قزاقستان، اوکراین و دیگر کشورهای استقلال یافته از شوروی سابق، مشاهده شده است.

مراکزی که مورد حمله قرار گرفته‎اند، همگی وابسته به دولت‎ها بوده‏اند. وزارتخانه‎ها، شرکت‎های وابسته به دولت، ارگان های مرتبط با امور بین الملل و خارجه و … از جمله اهداف حمله در طرح Lurid بوده‎اند.

نامه‎های الکترونیکی حاوی پیوند (Link) یا پیوست (Attachment) مخرب به افراد خاص و شناسایی شده، ارسال گردیده و با سوءاستفاده از نقاط ضعف مختلف در سیستم عامل و دیگر نرم‎افزارهای کاربردی بر روی کامپیوتر این افراد، دسترسی غیرمجاز به کامپیوترها فراهم شده است. نامه‏های ارسالی به طرز ماهرانه‎ای طراحی شده بوده‎اند که گیرنده را در دام پیوند و یا پیوست مخرب نامه بیندازد. هدف اصلی از حمله و نفوذ در طرح Lurid، سرقت فایل‎های Word و Excel بوده است. فایل‎های سرقت شده به یک تعداد سرور در نقاط مختلف جهان ارسال می‏شده‎اند.

اخیراً اصطلاح APT یا Advanced Persistent Threat به معنی ” تهدیدات پیشرفته و پایدار” برای تعریف اینگونه طرح‎های جاسوسی و نفوذ، بکار می رود.

گردانندگان طرح Lurid نظم و انضباط خاصی داشته‎اند. بدافزارهای بکار برده شده برای هر هدف دارای یک شماره ویژه بوده تا امکان شناسایی قربانی به راحتی انجام شود. طبق گزارش شرکت Trend Micro، بیش از 300 بدافزار شماره گذاری شده شناسایی گردیده که از این تعداد، 115 بدافزار فقط مربوط به حمله به یک هدف و 64 بدافزار نیز مربوط به حمله به دو هدف بوده است. همچنین در انجام این حملات، هیچ تلاش و زحمتی برای پیدا کردن و استفاده از نقاط ضعف جدید و ناشناخته کشیده نشده و از نقاط ضعف رایج که گهگاه مربوط به دو سال قبل هم می‎شوند، به راحتی سوءاستفاده شده است.

بدافزار اصلی که اغلب مورد استفاده قرار گرفته، یک برنامه جاسوسی قدیمی به نام Enfal بوده که از سال 2006 میلادی شناسایی شده ولی هیچگاه بطور عمومی در دسترس نبوده است.

در جمع‎آوری اطلاعات سرقت شده نیز دقت زیادی شده است. اطلاعات بصورت رمز شده (encrypted) به سرورهای خاص ارسال می‎شده و در نتیجه امکان تشخیص این اطلاعات در جریان عادی ترافیک اینترنت، دشوار بوده است.

برای کنترل بدافزارهای نصب شده بر روی کامپیوتر قربانیان و مدیریت سرورهای جمع‎آوری اطلاعات، از 15 نام دامنه (Domain) و 10 نشانی IP فعال استفاده شده است. در نتیجه در حال حاضر با اطلاعات محدودی که در دسترس است، امکان شناسایی دقیق گردانندگان طرح Lurid سخت و دشوار می باشد.