محققان با بررسی یک بدافزار دریافته اند که از آن در مجموعه ای از حملات به هم پیوسته علیه سازمان های نظامی، فضایی و آژانس های دولتی استفاده شده است. در این حملات که احتمالاً از سال 2009 آغاز شده است، فایل آلوده بصورت پیوست یک ایمیل، با عناوینی همچون دعوت برای شرکت در کنفرانس، به سازمان ها و افرادی خاص ارسال می شده است.
شیوه مورد استفاده در این حملات نیز همانند بسیاری از حملات سایبری دیگر، دائماً در حال تغییر و تحول بوده است و حمله کنندگان با تغییر ساختار فایل های مورد استفاده و همچنین عوض کردن الگوی ارتباطی میان بدافزار و سرور فرماندهی از سد نرم افزارهای امنیتی می گذشته اند.
این تحقیق نشان می دهد که این نفوذگران صبور، زمان زیادی را صرف شناسایی اهداف خود کرده و در نهایت دقت سازمان هایی را انتخاب می کرده اند که با ارزش ترین اطلاعات و منابع را در اختیار داشته باشند.
بدافزار استفاده شده در این حملات MSUpdater نامگذاری شده است. دلیل انتخاب این نام از آن جهت است که ارتباطات بدافزار با بیرون، در ظاهر به عنوان درخواست های به روز رسانی Windows Update نشان داده می شده است.
محققان اولین مورد آلودگی را در 25 دسامبر 2011 مشاهد کردند و پس از آن با دنبال کردن زنجیره آلودگی ها و بررسی ویژگی های بدافزارهای مورد استفاده، به این نتیجه رسیدند که تعدادی از حملات پیشین نیز توسط همین گروه از ویروس نویسان و نفوذگران انجام شده است.
به ایمیل های ارسال شده در این حملات، یک فایل PDF که در ظاهر دعوتنامه شرکت در کنفرانس است، پیوست می شده. برای فریب هرچه بیشتر قربانیان این حملات، موضوعات کنفرانس دروغین نیز با مهارت خاص انتخاب می شده تا مرتبط با سازمان و فرد قربانی باشد؛ کنفرانس هایی نظیر “IEEE Aerospace Conference” و “Iraq Peace Conference”. زمانی که کاربر این فایل را باز می کرد، با استفاده از یک ضعف امنیتی که در نرم افزار Adobe Reader وجود داشت، بدافزار بر روی سیستم نصب می شد. بسیاری از این حملات تا پیش از اعلام عمومی این ضعف امنیتی Reader که در ماه سپتامبر کشف شد، انجام شده بود. در سال های اخیر استفاده از فایل های PDF و نقاط ضعف مرتبط با نرم افزار Adobe Reader به یکی از شگردهای ویروس نویسان و نفوذگران تبدیل شده است.
موضوعی که سبب شد محققان این حملات را مرتبط با یکدیگر بدانند، تنها به دلیل استفاده از ضعف امنیتی Reader نبوده است. بلکه بدافزار اصلی از فایل های مخربی استفاده می کرده که عملکرد آنها در همه این حملات تقریباً یکسان بوده است. این بدافزار به محض مقیم شدن در سیستم، با مرکز فرماندهی خود ارتباط برقرار کرده و اطلاعاتی را در خصوص کامپیوتر آلوده، نظیر سیستم عامل و شناسه های مورد نیاز برای برقراری ارتباط مجاز میان سرور و کلاینیت ارسال می کرده است. در ادامه، بدافزار فایل های مخرب دیگری را از سرور دریافت و اجرا می کرده و همچنین اطلاعات جمع آوری شده از روی سیستم را به سرور فرماندهی ارسال می کرده است.
همانند برخی ویروس های امروزی، این بدافزار قادر است تشخیص دهد که بر روی یک کامپیوتر مجازی اجرا شده است یا خیر. در صورت اجرا شدن این بدافزار بر روی یک کامپیوتر مجازی، بدون نصب برنامه اصلی، بدافزار به سادگی از حافظه خارج می شود. امروزه کارشناسان امنیتی و حتی بسیاری از ابزارهای امنیتی بطور خودکار، فایل های مشکوک را بطور مجازی در محیط قرنطینه اجرا کرده و عملکرد آن را برای شناسایی ماهیت واقعی فایل، تحت نظر می گیرند.