به عقیده کارشناسان کسپرسکی گروه هکری «معادله» با زیرساختهای ارتباطی قوی و ابزارهای جاسوسی گسترده خود به مدت دو دهه و بدون هیچ ردپایی به سرقت اطلاعات در جهان سایبری پرداخته است.
کشف پیچیدهترین شبکه هکری جهان توسط کسپرسکی
ماجرای دو دهه جاسوسی هوشمندانه هکرهای معادله
روزنامه دنیای اقتصاد , 2 اسفند 1393 ساعت 9:10
به عقیده کارشناسان کسپرسکی گروه هکری «معادله» با زیرساختهای ارتباطی قوی و ابزارهای جاسوسی گسترده خود به مدت دو دهه و بدون هیچ ردپایی به سرقت اطلاعات در جهان سایبری پرداخته است.
به عقیده کارشناسان کسپرسکی گروه هکری «معادله» با زیرساختهای ارتباطی قوی و ابزارهای جاسوسی گسترده خود به مدت دو دهه و بدون هیچ ردپایی به سرقت اطلاعات در جهان سایبری پرداخته است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، زمانی که بدافزار استاکسنت در سال ۲۰۱۰ کشف شد، متخصصان امنیتی آن را یکی از پیچیدهترین ابزارهای نفوذ کامپیوتری معرفی کردند که تا آن زمان ساخته شده بود. بعدها بدافزارهای Flame و رجین هم بهدلیل شباهتهایی که وجود داشت منتسب به یک مبدا ساخت مشترک شدند؛ جاییکه صدها نفر ساعتها روی چنین ابزارهای هوشمند و فوقالعاده مخربی کار کردهاند.
اکنون متخصصان امنیتی در شرکت کسپرسکی بزرگترین شبکه هکر تاریخ اینترنت را کشف کردهاند که استاکسنت، رجین و Flame هم به آنها مرتبط است. به نوشته کسپرسکی این شبکه دسترسی نامحدودی به منابع مالی و نیروهای انسانی متخصص داشته و دارای انبار بزرگی از ابزارهای مخرب اینترنتی مانند استاکسنت بوده است.
کسپرسکی که معتقد است متخصصان آن پس از دو دهه تحقیق توانستهاند این شبکه را کشف کنند نام این شبکه را « معادله» گذاشته است چون اعضای این شبکه تمایل به رمزگذاری اطلاعات خود دارند. ابزارها و روشهای پیچیده و مختلفی که این شبکه هکری برای دسترسی به اطلاعات در اختیار داشته آنقدر پیشرفته است که هنوز گمان میرود فقط بخش کوچکی از دامنه کاری آن مشخص شده باشد.
شرکت امنیتی روسی کسپرسکی معتقد است که زمان شروع فعالیتهای این گروه مشخص نیست اما قدیمیترین بدافزارهای مشاهده شده به سال ۲۰۰۲ بازمیگردد هرچند اولین دامنههای اینترنتی متعلق به آنها در سال ۲۰۰۱ ثبت شدهاند و این نشان میدهد که این گروه حداقل برای دو دهه فعال بوده است.
این گروه بزرگ احتمالاً از گروههای دیگری تشکیل شده یا با آنها همکاری داشته از جمله گروههایی که مثلاً روی استاکسنت یا Flame کارمیکردند اما بر اساس شواهد موجود، این گروه بسیار زودتر از سایرین به این بدافزارها دسترسی داشته است. گروه معادله در صنایع و بخشهای مختلفی بهصورت متمرکز کار میکرده از جمله دولتها و انستیتوهای دیپلماتیک، مخابرات، فضایی، انرژی، تحقیقات هستهای، نظامی، رسانهها، حمل ونقل، انستیتوهای مالی و شرکتهای توسعهدهنده تکنولوژیهای رمزنگاری.
کسپرسکی میگوید که این گروه تعداد جالب توجهی از ابزارها و بدافزارها را در اختیار داشته که مدام هم بهروز میشدهاند. این بدافزارها به سادگی گذاشتن یک سیدی درون درایور یا واردکردن حافظه فلش به USB یا دیدن یک صفحه وب روی موبایل، روی کامپیوتر یا شبکه قربانی نصب میشدند و در صورت شناسایی هدف معتبر راه را برای بدافزارهای بزرگتر بعدی باز میکردهاند و در مرحله آخر کنترل تمام کامپیوتر و دستگاه را در اختیار میگرفتند.
این بدافزارها میتوانستند خود را با روشهای مختلف درون سیستم مخفی کنند و اطلاعات بهدست آمده را ابتدا رمزگذاری و سپس در صورت اتصال به اینترنت آن را به سرورها و دامنههای اینترنتی تعیینشده ارسال کنند. این بدافزارها همچنین به سیستم «خود تخریبگر» مجهز بوده و در صورت لزوم و یا پس از دوره مشخص خود را بهطور کامل از روی سیستم قربانی حذف میکردند.
متخصصان کسپرسکی با در اختیار گرفتن برخی از دامنههای اینترنتی قدیمی این گروه یا نفوذ به برخی سرورهای آن توانستهاند به روش کار برخی از این ابزارها آگاهی پیدا کنند. کسپرسکی پس از تحلیل حجم انبوهی از اطلاعات سراسر جهان به سمت معدود سرورهای در اختیارگرفته همچنان به احتمال ناشناخته بودن بخش جالب توجهی از ابعاد کاری شبکه «معادله» معتقد است.
بر اساس گزارش کسپرسکی مهمترین و جدیدترین کشف در زمینه شکل نفوذ تکنولوژی فوقالعاده جدید و پیشرفته مورد استفاده این شبکه در آلوده کردن سیستم نرمافزاری هارددیسک است.
کسپرسکی توانسته دو سیستم نرمافزاری آلودهسازی هارددیسک این گروه را تشریح کند که یکی مربوط به سال ۲۰۱۰ و دیگری مربوط به ۲۰۱۳ است. این سیستم نرمافزاری خود را به جای سیستم اصلی جایگزین کرده و داخل هارددیسک پنهان میشود و با فرمتکردن هارددیسک هم از بین نمیرود. سیستم نرمافزاری هارددیسکهای ۱۲ شرکت معروف در این عرصه از جمله شرکتهای مکستور، وسترندیجیتال، سامسونگ، سیگیت، توشیبا و میکرون قابل جایگزینی تشخیص داده شدند. ابزارهای نفوذ حتی قادر به نفوذ از طریق سیدیرام دستگاه نیز بودهاند.
به گفته کسپرسکی در جریان یک کنفرانس علمی در سال ۲۰۰۹ در هوستون سیدی کنفرانس به تمامی شرکتکنندگان اعم از دانشمندان و متخصصان داده شد که در صورت قرار گرفتن در این سیدیرام، ابزار نفوذ به کامپیوتر قربانی منتقل میشد.
به نظر کارشناسان کسپرسکی، گروه معادله افرادی تعلیم دیده و بسیار کماشتباه هستند ولی در موارد معدودی آنها ردپاهایی را از خودشان بهجا گذاشتهاند که البته این ردپاها مربوط به هویت این افراد نمیشود بلکه با نحوه عملکرد ابزارهایشان مرتبط است.
نکته مهم دیگر این است که هرچند بخش قابلتوجهی از حملهها و رفتارهای بدافزارهای کشفشده این گروه نشاندهنده عملکرد گسترده آنها در سیستمعاملهای مختلف ویندوز بوده است اما موارد مختلفی از آلودگی به سیستم عامل مک هم مشاهده شده است. همچنین برخی موارد از آلودگی سیستم عامل آیفون اپل ( iOS) هم در این زمینه خبر میدهد.
گروه معادله دارای بیش از ۳۰۰ دامنه اینترنتی و بیش از ۱۰۰ سرور در سراسر جهان است. این سرورها در نقاط مختلف جهان از آمریکا و انگلستان گرفته تا ایتالیا، آلمان، هلند، پاناما، کاستاریکا، مالزی،کلمبیا و چک قرار دارند. تمامی دامنههای این گروه توسط دو شرکت مشهور فروش دامنه ثبت شدهاند و اطلاعات صاحب دامنهها به دلیل اعمال محافظت اطلاعات غیر قابل دستیابی است.
در هر ماه حدود دو هزار قربانی فقط توسط کسپرسکی شناسایی شدهاند اما احتمال اینکه تعداد قربانیان بسیار بیش از این باشد وجود دارد.
بر اساس گزارش کسپرسکی بیش از ۳۰ کشور جهان هدف اصلی گروه «معادله» قرار داشته که ایران و روسیه در صدر آنها بودهاند. سوریه، افغانستان، قزاقستان، بلژیک، سومالی، هنگکنگ، لیبی، امارات، عراق، نیجریه، مکزیک، آمریکا، فلسطین، فرانسه، آلمان، سنگاپور، قطر ، پاکستان، سوئیس، انگلستان، هند، برزیل و... از کشورهای دیگری بودند که اینگونه حملهها در آنها مشاهده شده است.
مشاهدات کسپرسکی نشان میدهد که سه کشور اردن، ترکیه و مصر مورد این حمله قرار و این یعنی گروه معادله بهطور عمدی اطلاعات مربوط به آیپیهای این سه کشور را جمعآوری نکرده است.
از آنجایی که این بدافزارها دارای سیستم خودنابودگر هستند، عملاً نمیتوان مشخص کرد که چه حجم اطلاعاتی دقیقاً از چه بخشهایی مورد سرقت واقع شده است.
رمزگذاری پیشرفته این گروه تعجب متخصصان امنیتی را برانگیخته است. این گروه از تکنولوژی رمزگذاری که به اصطلاح RC۵ نامیده میشود، استفاده کرده است. این تکنولوژی توسط «رونالد ریوست» در سالهای ۱۹۹۴ تا ۱۹۹۸ کشف شد و ویژگی آن مقاومبودن بسیار دربرابر شکستن رمز است.
کسپرسکی میگوید که گروه معادله را در جریان مطالعه روی ویروس رجین کشف کرده است. کسپرسکی یک کامپیوتر در یکی از کشورهای خاورمیانه قرار داده و حملهها به آن را شناسایی میکند. به گفته این شرکت امنیتی روسی، اطلاعات بهدست آمده نشان داد که این گروه کامپیوترهایی را هدف قرار داده که قبلا مورد حمله بدافزار رجین هم قرار گفته بودند.
کسپرسکی در گزارش خود به هیچ کشور یا سازمانی پشت سر این گروه هکری اشاره نمیکند. هرچند در تمام گزارش این شرکت به یک سازمان بزرگ و افراد متخصص دارای برنامه وسیع با سرمایهگذاری نامحدود اشاره میشود.
برخی خبرگزاریها از جمله رویتر و روزنامه نیویورکتایمز از آژانس امنیت ملی آمریکا بهعنوان سازماندهنده اصلی نام بردهاند و از طرفی با توجه به نوع آلودگی و تمایل به دریافت اطلاعات میتوان تصور کرد که چه نوع نهادهایی از چه کشورهایی پشت این حملهها قرار دارند.
این گروه صدها دامنه اینترنتی و سرورهای رایانهای در سراسر جهان در اختیار داشته و اطلاعات از طریق کامپیوترهای قربانیان به این سرورها منتقل میشده است. روشهای پیچیده نفوذ از سایتهای اینترنتی گرفته تا فلشهای حافظه و هارددیسکها نام بسیاری از برندهای مختلف (هیتاچی، سامسونگ، وسترن دیجیتال و سیگیت) و سیستمهای عامل (ویندوز، مک) و حتی گوشیهای موبایلی چون آیفون را به میان کشیده و جهان تکنولوژی را در حیرت فرو برده است.
کد مطلب: 9246