حمله و سرقت از شرکت‏های تولیدکننده مواد شیمیایی

نفوذگران از یک ویروس حاضر و آماده برای دزدیدن اطلاعات محرمانه از حدود 50 شرکت که بسیاری از آنها در زمینه‌ مواد شیمیایی و صنایع نظامی فعالیت می‌کنند، استفاده کرده‌اند.

بنابر گزارشی که توسط شرکت Symantec منتشر شده است، این حمله که به آن نام Nitro داده شده، از تابستان امسال آغاز و تا ابتدای پاییز ادامه داشته است. این گزارش اعلام می‌کند که تعداد نامشخصی شرکت، هدف این حمله قرار گرفته‌اند و حداقل 48 شرکت به ویروس Poison Ivy که دسترسی از راه دور را برای افراد بیگانه فراهم می‏کند، آلوده شده‌اند. این ویروس که توسط یک نفوذگر چینی ساخته شده، به راحتی بر روی اینترنت قابل دسترسی است. ضدویروس McAfee گونه‌های مختلف Poison Ivy را با نام BackDoor-FCK شناسایی می‌کند.

هر چند که حمله Nitro به پیچیدگی ویروس Stuxnet نبوده است اما شباهت‏هایی را می‌توان میان این دو حمله یافت. از جمله اینکه هدف هر دو حمله کاملاً مشخص و محدود به حوزه‌ای خاص می‌شود.

ویروس Poison Ivy از طریق ایمیل منتشر می‏شود و با استفاده از سوژه‏های مختلف، کاربر را فریب می‏دهد تا فایل پیوست آلوده را باز کند. نکته جالب درباره حملات Nitro این است که بر خلاف روش‏های رایج که ایمیل های مخرب بصورت انبوه ارسال می شوند، در این حملات ایمیل‏ها در تعداد کم و تنها به افراد محدودی در یک شرکت ارسال می‌شده است. سوژه‏های مورد استفاده در این ایمیل‏ها مواردی نظیر درخواست ملاقات، ارسال نسخه به‌روزرسانی ضدویروس یا ارسال نسخه جدید Adobe Flash Player بوده است.

زمانی که کاربر فریب خورده و پیوست ایمیل را باز می‌کرد، دستگاه او به ویروس Poison Ivy آلوده می‌شد. پس از آن افراد بیگانه می‌توانستند فرمان‏های خود را از راه دور و از طریق ویروس بر روی دستگاه قربانی اجرا  کنند. آنها سعی داشتند تا با یافتن مجوزهای دسترسی با اختیارات بیشتر، در نهایت به سرور حاوی اطلاعات محرمانه سازمان نفوذ کرده و اطلاعات مورد نیاز خود را را سرقت کنند.

در دو سال اخیر و در تعدادی از حملات، بسیاری از روش‏های مورد استفاده این ویروس همچون انتخاب افراد مناسب برای ارسال ایمیل، استفاده شده است. حمله Aurora بر ضد Google و چند شرکت بین‏المللی دیگر در بین سال‏های 2009 و 2010 و حمله‌ای که در سال جاری، شرکت امنیتی RSA را هدف قرار داده بود، نمونه‌هایی از اینگونه حملات هستند.

29 شرکت از 48 شرکتی که حمله با موفقیت بر روی شبکه های آنها اجرا شده، در زمینه مواد شیمیایی پیشرفته (که برخی از آنها تولیدکننده مواد مورد استفاده در ساخت وسایل نقلیه نظامی بوده) فعالیت می‌کنند. 19 شرکت دیگر نیز عمدتاً در بخش‎های نظامی فعال هستند. اگرچه اکثر این شرکت‎ها در آمریکا هستند اما شرکت هایی نیز در کشورهای انگلیس، دانمارک، ایتالیا، هلند و ژاپن مورد حمله قرار گرفته‏اند. در گزارش Symantec اشاره‏ای نشده که آیا شرکت ژاپنی که در حملات Nitro هدف قرار گرفته، همان شرکت Mitsubishi Heavy است که ماه گذشته اعلام کرد تعدادی از سرورهای آن شرکت توسط برنامه‌ای مخرب آلوده شده‌ است؟ شرکت Mitsubishi Heavy بزرگترین پیمانکار صنایع نظامی در ژاپن است. این شرکت موفق به کشف مبداء حملات نشده بود. دولت چین نیز که اغلب در اینگونه حملات به عنوان متهم اصلی معرفی می‏شود، هر گونه دخالت در این حمله را رد کرد.

علاوه بر اینکه ویروس Poison Ivy توسط یک فرد چینی ساخته شده، شرکت Symantec هم اعلام کرده است در بررسی حملات Nitro شواهدی یافته است که نشان می‌دهد برای انجام این حملات، قراردادی با یک فرد چینی بسته شده است. این فرد یکی از سرورهای مرکز فرماندهی ویروس را در اختیار داشته است. هنوز مشخص نیست که این فرد بطور مستقل عمل کرده است و یا مورد حمایت گروهی از نفوذگران چینی و حتی دولت چین بوده است.

شرکت Symantec در گزارش خود از هر گونه اظهار نظری که دلیل حمله را مشخص کند خودداری کرده است.