شماره: IRCNE2015022427
تاريخ: 29/11/93
يك گروه جاسوسي سايبري با مجموعه ابزاري مشابه ابزارهاي مورد استفاده توسط آژانسهاي امنيتي ايالات متحده، به مؤسسات كليدي در كشورهاي مختلف از جمله ايران و روسيه نفوذ كرده است.
روز دوشنبه كسپراسكاي گزارشي ارائه كرد كه بر اساس آن، اين ابزارها توسط گروه Equation ايجاد شده است كه به نظر ميآيد ارتباطي با آژانس امنيت ملي ايالات متحده دارد.
ابزارها، كدهاي سوء استفاده كننده و بدافزارهاي مورد استفاده توسط اين گروه، تشابههاي زيادي با تكنيكهاي شرح داده شده در اسناد فوق سري آژانس امنيت ملي ايالات متحده كه در سال 2013 نشت يافت دارد.
كشورهايي كه بيشتر هدف Equation قرار گرفتهاند عبارتند از ايران، روسيه، پاكستان، افغانستان، هند و چين. اهداف Equation در اين كشورها شامل مؤسسات نظامي، مخابراتي، هوا و فضا، انرژي، تحقيقات هستهاي، نفت و گاز، نانوتكنولوژي، مؤسات مالي، شركتهاي توليد كننده تكنولوژيهاي رمزنگاري، سفارتخانهها، مؤسسات دولتي، مؤسسات تحقيقاتي و پژوهشگاههاي اسلامي ميباشد.
يافته تكان دهنده كسپراسكاي اين است كه Equation قابليت آلوده كردن سفتافزار يك درايو سخت يا كد سطح پاييني كه نقش واسط بين سختافزار و نرمافزار را بازي ميكند را داراست.
اين بدافزار سفتافزار درايو سخت را برنامهريزي مجدد ميكند و سكتورهاي پنهاني روي درايو ايجاد ميكند كه فقط ميتوانند از طريق يك API سري مورد دسترسي قرار گيرند. حذف اين بدافزار پس از نصب غيرممكن است، فرمت كردن ديسك و نصب مجدد سيستم عامل هيچ تأثيري بر روي آن ندارد و سكتورهاي پنهان همچنان باقي ميمانند.
مدير گروه تحقيق و تحليل جهاني كسپراسكاي (كاستين رايو) اظهار كرد: «ما به لحاظ تئوري از اين امكان آگاهي داشتيم، ولي اين تنها موردي است كه مشاهده شده است كه يك مهاجم، چنين قابليت پيشرفته وحشتناكي در اختيار دارد».
درايوهاي ساخته شده توسط سيگيت، وسترن ديجيتال، هيتاچي، سامسونگ، آيبيام، ميكرون و توشيبا ميتوانند توسط دو پلتفورم بدافزار Equation يعني Equationdrug و Grayfish دستكاري گردند.
بنا بر اين گزارش، Equation دانشي از اين درايوها در اختيار دارد كه بسيار بيشتر از اسناد عمومي منتشر شده توسط توليد كنندگان آنها است.
Equation مجموعه دستورات ATA يكتاي مورد استفاده توسط توليد كنندگان درايوهاي سخت را براي فرمت كردن محصولات آنها ميداند. اغلب دستورات ATA عمومي هستند، چرا كه از استانداردي استفاده ميكنند كه اين اطمينان را ايجاد ميكند كه درايو سخت با هر نوع كامپيوتري سازگار است. اما دستورات ATA ي غير مستندي وجود دارند كه توسط توليد كنندگان براي اعمالي مانند ذخيرهسازي داخلي و تصحيح خطا به كار ميروند. در حقيقت، آنها يك سيستم عامل بسته هستند. دستيابي به چنين كدهاي ATA، نيازمند دسترسي به اين اسناد است كه هزينه زيادي در بر دارد. احتمال اينكه كسي بتواند با استفاده از اطلاعات عمومي، سيستم عامل درايو سخت را بازنويسي كند تقريباً صفر است.
بنا بر اظهارات رايو، قابليت برنامهريزي مجدد سفتافزار فقط يك مدل درايو سخت به طرز باورنكردني پيچيده است. اما دارا بودن چنين قابليتي براي انواع زيادي از درايوها از توليدكنندگان مختلف تقريباً غيرممكن است.
به نظر ميرسد كه Equation بسيار بسيار جلوتر از صنعت امنيت است. تشخيص اين نوع نفوذ تقريباً غيرممكن است. پاك كردن كامل درايو يا تعويض سفتافزار آن نيز چندان مفيد نيست، چرا كه برخي از انواع ماژولها در برخي سفتافزارها دائمي هستند و نميتوانند مجدداً فرمت گردند.
بر اساس گزارش كسپراسكاي، در طي تحقيقات تنها قربانيان كمي كه هدف اين بدافزار قرار گرفته بودند شناسايي شدند. اين نشان ميدهد كه اين بدافزار احتمالاً براي با ارزشترين قربانيان و يا براي شرايط بسيار غيرمعمول در نظر گرفته شده است.
به گفته كسپراسكاي اين تهديد از حدود 20 سال پيش فعال بوده است و از لحاظ پيچيدگي تكنيك، بر تمام تهديدات شناخته شده برتري دارد. اين گروه از هر لحاظي يكتا است. آنها از ابزارهايي براي آلوده كردن قربانيان، بازيابي دادهها و پنهان كردن فعاليتهاي خود استفاده ميكنند كه توسعه آنها بسيار پيچيده و گران است.
به گزارش كسپراسكاي، اين گروه به استاكسنت وابستگي دارد. سازندگان اين جاسوسافزار بايد به كد منبع درايوهاي سخت آلوده دسترسي داشته باشند. چنين كدي ميتواند آسيبپذيريهايي را نشان دهد كه توسط نويسندگان اين نرمافزار مخرب مورد استفاده قرار گرفتهاند.
يك سخنگوي وسترن ديجيتال اعلام كرد كه اين شركت كد منبع خود را در اختيار آژانسهاي دولتي قرار نداده است. يك سخنگوي سيگيت نيز گفت كه اين شركت معيارهاي امنيتي را براي محافظت در برابر نفوذ و يا مهندسي معكوس سفتافزار درايوهاي سخت خود در نظر ميگيرد.
- 3