تروجان جاسوسی Comfoo هم چنان به فعاليت خود ادامه می‌دهد

شماره: IRCNE2013081914
تاريخ:15/05/92

يك كمپين جاسوسي سايبري كه RSA را در سال 2010 مورد هدف قرار داده است، هم چنان فعال مي باشد و شبكه ها را در سراسر جهان مورد هدف قرار مي دهد.
جو استوارت و دان جكسون محققان Dell SecureWorks، گزارش جديدي را منتشر كرده اند و در آن به تروجان دسترسي از راه دور Comfoo اشاره كرده اند. Comfoo بدافزاري است كه براي نفوذ به شبكه هاي بزرگ و دولتي در سراسر جهان مورد استفاده قرار مي گيرد.
حمله « تهديد مداوم پيشرفته APT» يكي از حملاتي است كه بسياري از سازمان ها در تلاش هستند تا به عنوان يك تهديد سايبري با آن مقابله نمايند. اين حملات بسيار پيچيده بوده و در برخي از موارد دولت ها از آن حمايت مي كنند.
كمپين Comfoo يك مثال اوليه از تهديدات پيشرفته دائمي مي باشد.Comfoo براي اولين بار در سال 2010 با نشت داده RSA شناخته شد. با توجه به گزارش منتشر شده، اين تروجان در حداقل 64 حمله هدفمند در سراسر جهان استفاده شده است و صدها نوع از RAT وجود دارد.
Comfoo RAT اغلب به جاي نصب يك سرويس جديد، به طور پنهاني مسير DLL را با يك سرويس موجود غير قابل استفاده جايگزين مي كند. اين مساله كمتر توسط مديران شبكه مورد توجه قرار مي گيرد. هم چنين گاهي اوقات يك روت كيت براي مخفي كردن فايل هاي ديسك Comfoo مورد استفاده قرار مي گيرد. ترافيك شبكه توليد شده توسط RAT به منظور ارسال امن داده ها به مراكز كنترل و فرمان بدافزار، رمزگذاري مي شود.
محققان نمي توانند به داده هاي ارسال شده براي مراكز كنترل و فرمان دسترسي داشته باشند اما توانستند نقشه شبكه و نحوه عملكرد اين بدافزار را رسم نمايند كه چگونه Comfoo ضربات صفحه كليد را ثبت مي كند، به فايل ها دسترسي يافته و آن ها را دانلود مي كند، دستورات را اجرا كرده و قادر است دستورات به اشتراك گذاري را باز نمايد.
در حالي كه محققان RAT را نظارت مي كردند دريافتند كه نهادهاي دولتي و شركت هاي خصوصي مستقر در امريكا، اروپا، آسيا و اقيانوسيه به اين تروجان آلوده هستند. بسياري از سازمان هاي دولتي ژاپن و هند، هم چنين موسسات آموزشي، رسانه ها، شركت هاي مخابراتي و شركت هاي انرژي هدف حمله اين تروجان قرار گرفته اند.
جالب توجه است كه شركت هاي صوتي و ويدئو كنفرانس نيز يكي از اهداف محبوب اين تروجان بوده است. محققان بر اين باورند كه ممكن است هكرها به دنبال مالكيت معنوي هستند يا ممكن است اين تروجان براي شنود بي سرو صدا در سازمان هاي دولتي و تجاري استفاده مي شود.