کسپراسکای;نکات مبهم ویروس Duqu-2
شرکت ضدویروس Kaspersky اعلام کرد که شبکه سازمانی این شرکت مورد حمله و نفوذ گونه جدیدی از بدافزار Duqu قرار گرفته است. گرچه kaspersky گزارش مفصل و دقیقی از نحوه انتشار و فعالیت بدافزار جدید منتشر کرده است ولی هنوز سوال های بزرگ و مهمی درباره این عملیات سایبری بین المللی بی پاسخ باقی مانده است.
آیا شرکت امنیتی دیگری هم مورد حمله و نفوذ قرار گرفته است ؟
شرکت Kaspersky پس از گذشت چندین ماه از آلودگی به بدافزار Duqu 2.0 قادر به شناسایی این بدافزار در شبکه سازمانی خود شد. شرکتهای امنیتی Symantec ،FireEye و Trend Micro هم با قاطعیت اعلام کرده اند که آلوده به Duqu نشده اند. ولی تاکنون هیچ عکس العملی از سوی دیگر شرکتهای امنیتی مطرح بین المللی مشاهده نشده است.
با توجه به قدرت فوق العاده Duqu 2.0 در مخفی ساختن خود، این احتمال را باید داد که قربانیان دیگری هم وجود داشته و دارند که هنوز کشف و شناسایی نشده اند.
وقتی با خاموش کردن کامپیوتر، بدافزار از بین می رود و هیچگونه فایل جدیدی ایجاد نمی شود و Registry هم دست نمی خورد، چطور می توان اطمینان داشت که بدافزار از ابتدا نبوده است !؟
از چه نقطه ضعف امنیتی برای نفوذ اولیه به شبکه سازمانی Kaspersky استفاده شده است ؟
کارشناسان Kaspersky توانسته اند دو “نقطه ضعف تاکنون ناشناخته” (Zero-Day Valnurability) را که از آنها در حمله به شبکه سازمانی این شرکت مورد سوء استفاده قرار گرفته اند، شناسایی نمایند. شرکت مایکروسافت نیز با انتشار اصلاحیه های ماهانه خود در روز سه شنبه ۱۹ خرداد، این دو نقطه ضعف را با اطلاع و هماهنگی Kaspersky ترمیم و برطرف کرد.
ولی هنوز نقطه ضعفی که برای نفوذ اولیه به شبکه سازمانی Kaspersky مورد سوء استفاده قرار گرفته، کشف و شناسایی نشده است. این نقطه ضعف ناشناخته بر روی کامپیوتر یکی از کارمندان دفتر آسیا-اقیانوسیه Kaspersky مورد سوء استفاده قرار گرفته و نقطه ورورد به شبکه سازمانی این شرکت بوده است.
شرکت Symantec هم که تحقیقات وسیعی بر روی بدافزار Duqu 2.0 داشته، از نحوه انتشار اولیه این بدافزار اظهار بی اطلاعی می کند.
از شبکه سازمانی Kaspersky چه چیزی سرقت شده است ؟
رئیس شرکت Kaspersky در مصاحبه ای که در خصوص کشف بدافزار Duqu 2.0 انجام داده، اظهار کرده که “دقیقاً مطمئن نیستیم که به دنبال چه چیزی بوده اند …” هنوز مشخص نیست که چه بر سر اطلاعاتی که مورد دسترسی و سرقت Duqu قرار گرفته، آمده است !
با روشن شدن کامپیوتر(های) آلوده در ساعات اداری، بدافزار فعال شده و عملیات مخرب خود را انجام می داده و در پایان وقت اداری هم با خاموش شدن کامپیوتر، بدافزار و تمام سوابق آن از حافظه پاک شده و از بین می رفته است.
یک فرضیه این است که نفوذگران به دنبال کشف نقاط ضعف ابزارهای امنیتی Kaspersky (نظیر Kaspersky Secure OS و Anti-APT) بوده اند تا از آن نقاط ضعف در سازمانها و محل هایی که محصولات این شرکت بکار گرفته شده اند، سوء استفاده نمایند. قابلیت Duqu برای فعالیت در حافظه و مخفی ماندن در شبکه سازمانی Kaspersky به مدت طولانی، احتمالا سرنخ هایی درباره نحوه دور زدن امکانات امنیتی محصولات Kaspersky به نفوذگران داده است.
ماجرای ماژول مرموز و ارتباط آن با سیستم های SCADA چیست ؟
روز جمعه ۲۲ خرداد، رئیس گروه تحقیقات Kaspersky در یک پیام Tweet تصویری از نام یک فایل را که در یک بخش از برنامه Duqu 2.0 مشاهده شده است، منتشر کرد. وی پرسیده است که “آیا کسی درباره نام و مسیر این فایل که در بخشی از Duqu 2.0 کشف شده، چیزی می داند ؟”
در نام فایل عبارت HMI دیده می شود. اصطلاح HMI مخفف Human Machine Interface است که در سیستم های مدیریت صنعتی (SCADA) بکار می رود. ارتباط Duqu 2.0 با سیستم های SCADA چیست !؟