ماجرای دو دهه جاسوسی هوشمندانه هکرهای معادله

به عقیده کارشناسان کسپرسکی گروه هکری «معادله» با زیرساخت‌های ارتباطی قوی و ابزارهای جاسوسی گسترده خود به مدت دو دهه و بدون هیچ ردپایی به سرقت اطلاعات در جهان سایبری پرداخته است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، زمانی که بدافزار استاکس‌نت در سال ۲۰۱۰ کشف شد، متخصصان امنیتی آن را یکی از پیچیده‌ترین ابزارهای نفوذ کامپیوتری معرفی کردند که تا آن زمان ساخته شده بود. بعدها بدافزارهای Flame و رجین هم به‌دلیل شباهت‌هایی که وجود داشت منتسب به یک مبدا ساخت مشترک شدند؛ جایی‌که صدها نفر ساعت‌ها روی چنین ابزارهای هوشمند و فوق‌العاده مخربی کار کرده‌اند.

اکنون متخصصان امنیتی در شرکت کسپرسکی بزرگ‌ترین شبکه هکر تاریخ اینترنت را کشف کرده‌اند که استاکس‌نت، رجین و Flame هم به آنها مرتبط است. به نوشته کسپرسکی این شبکه دسترسی نامحدودی به منابع مالی و نیروهای انسانی متخصص داشته و دارای انبار بزرگی از ابزارهای مخرب اینترنتی مانند استاکس‌نت بوده است.

کسپرسکی که معتقد است متخصصان آن پس از دو دهه تحقیق توانسته‌اند این شبکه را کشف کنند نام این شبکه را « معادله» گذاشته است چون اعضای این شبکه تمایل به رمزگذاری اطلاعات خود دارند. ابزارها و روش‌های پیچیده‌ و مختلفی که این شبکه هکری برای دسترسی به اطلاعات در اختیار داشته آن‌قدر پیشرفته است که هنوز گمان می‌رود فقط بخش کوچکی از دامنه کاری آن مشخص

شده باشد.

شرکت امنیتی روسی کسپرسکی معتقد است که زمان شروع فعالیت‌های این گروه مشخص نیست اما قدیمی‌ترین بدافزارهای مشاهده شده به سال ۲۰۰۲ بازمی‌گردد هرچند اولین دامنه‌های اینترنتی متعلق به آنها در سال ۲۰۰۱ ثبت شده‌اند و این نشان می‌دهد که این گروه حداقل برای دو دهه فعال بوده است.

این گروه بزرگ احتمالاً از گروه‌های دیگری تشکیل شده یا با آنها همکاری داشته از جمله گروه‌هایی که مثلاً روی استاکس‌نت یا Flame کارمی‌کردند اما بر اساس شواهد موجود، این گروه بسیار زودتر از سایرین به این بدافزارها دسترسی داشته است. گروه معادله در صنایع و بخش‌های مختلفی به‌صورت متمرکز کار می‌کرده از جمله دولت‌ها و انستیتوهای دیپلماتیک، مخابرات، فضایی، انرژی، تحقیقات هسته‌ای، نظامی، رسانه‌ها، حمل ونقل، انستیتوهای مالی و شرکت‌های توسعه‌دهنده تکنولوژی‌های رمزنگاری.

کسپرسکی می‌گوید که این گروه تعداد جالب توجهی از ابزارها و بدافزارها را در اختیار داشته که مدام هم به‌روز می‌شده‌اند. این بدافزارها به سادگی گذاشتن یک سی‌دی درون درایور یا واردکردن حافظه فلش به USB یا دیدن یک صفحه وب روی موبایل، روی کامپیوتر یا شبکه قربانی نصب می‌شدند و در صورت شناسایی هدف معتبر راه را برای بدافزارهای بزرگ‌تر بعدی باز می‌کرده‌اند و در مرحله آخر کنترل تمام کامپیوتر و دستگاه را در اختیار می‌گرفتند.

این بدافزارها می‌توانستند خود را با روش‌های مختلف درون سیستم مخفی کنند و اطلاعات به‌دست ‌آمده را ابتدا رمزگذاری و سپس در صورت اتصال به اینترنت آن را به سرورها و دامنه‌های اینترنتی تعیین‌شده ارسال کنند. این بدافزارها

همچنین به سیستم «خود تخریب‌گر» مجهز بوده و در صورت لزوم و یا پس از دوره مشخص خود را به‌طور کامل از روی سیستم قربانی حذف می‌کردند.

متخصصان کسپرسکی با در اختیار گرفتن برخی از دامنه‌های اینترنتی قدیمی این گروه یا نفوذ به برخی سرورهای آن توانسته‌اند به روش‌ کار برخی از این ابزارها آگاهی پیدا کنند. کسپرسکی پس از تحلیل حجم انبوهی از اطلاعات سراسر جهان به سمت معدود سرورهای در اختیارگرفته همچنان به احتمال ناشناخته بودن بخش جالب توجهی از ابعاد کاری شبکه «معادله» معتقد است.

بر اساس گزارش کسپرسکی مهم‌ترین و جدیدترین کشف در زمینه شکل نفوذ تکنولوژی فوق‌العاده جدید و پیشرفته مورد استفاده این شبکه در آلوده کردن سیستم‌ نرم‌افزاری هارددیسک‌ است.

کسپرسکی توانسته دو سیستم نرم‌افزاری آلوده‌سازی هارددیسک این گروه را تشریح کند که یکی مربوط به سال ۲۰۱۰ و دیگری مربوط به ۲۰۱۳ است. این سیستم نرم‌افزاری خود را به جای سیستم اصلی جایگزین کرده و داخل هارددیسک پنهان می‌شود و با فرمت‌کردن هارددیسک هم از بین نمی‌رود. سیستم نرم‌افزاری هارددیسک‌های ۱۲ شرکت معروف در این عرصه از جمله شرکت‌های مکستور، وسترن‌دیجیتال، سامسونگ، سی‌گیت، توشیبا و میکرون قابل جایگزینی تشخیص داده شدند. ابزارهای نفوذ حتی قادر به نفوذ از طریق سی‌دی‌رام دستگاه نیز بوده‌اند.

به گفته کسپرسکی در جریان یک کنفرانس علمی در سال ۲۰۰۹ در هوستون سی‌دی کنفرانس به تمامی شرکت‌کنندگان اعم از دانشمندان و متخصصان داده شد که در صورت قرار گرفتن در این سی‌دی‌رام، ابزار نفوذ به کامپیوتر قربانی منتقل می‌شد.

به نظر کارشناسان کسپرسکی، گروه معادله افرادی تعلیم دیده‌ و بسیار کم‌اشتباه هستند ولی در موارد معدودی آنها ردپاهایی را از خودشان به‌جا گذاشته‌اند که البته این ردپاها مربوط به هویت این افراد نمی‌شود بلکه با نحوه عملکرد ابزارهایشان مرتبط است.

نکته

مهم دیگر این است که هرچند بخش قابل‌توجهی از حمله‌ها و رفتارهای بدافزارهای کشف‌شده این گروه نشان‌دهنده عملکرد گسترده آنها در سیستم‌عامل‌های مختلف ویندوز بوده است اما موارد مختلفی از آلودگی به سیستم عامل مک هم مشاهده شده است. همچنین برخی موارد از آلودگی سیستم عامل آیفون اپل ( iOS) هم در این زمینه خبر می‌دهد.

گروه معادله دارای بیش از ۳۰۰ دامنه اینترنتی و بیش از ۱۰۰ سرور در سراسر جهان است. این سرورها در نقاط مختلف جهان از آمریکا و انگلستان گرفته تا ایتالیا، آلمان، هلند، پاناما، کاستاریکا، مالزی،‌کلمبیا و چک قرار دارند. تمامی دامنه‌های این گروه توسط دو شرکت مشهور فروش دامنه ثبت شده‌اند و اطلاعات صاحب دامنه‌ها به دلیل اعمال محافظت اطلاعات غیر قابل دستیابی است.

در هر ماه حدود دو هزار قربانی فقط توسط کسپرسکی شناسایی شده‌اند اما احتمال اینکه تعداد قربانیان بسیار بیش از این باشد وجود دارد.

بر اساس گزارش کسپرسکی بیش از ۳۰ کشور جهان هدف اصلی گروه «معادله» قرار داشته که ایران و روسیه در صدر آنها بوده‌اند. سوریه، افغانستان، قزاقستان، بلژیک، سومالی، هنگ‌کنگ، لیبی، امارات، عراق، نیجریه، مکزیک، آمریکا، فلسطین، فرانسه، آلمان، سنگاپور، قطر ، پاکستان، ‌سوئیس، انگلستان، هند، برزیل و... از کشورهای دیگری بودند که این‌گونه حمله‌ها در آنها مشاهده شده است.

مشاهدات کسپرسکی نشان می‌دهد که سه کشور اردن، ترکیه و مصر مورد این حمله قرار و این یعنی گروه معادله به‌طور عمدی اطلاعات مربوط به آی‌پی‌های این سه کشور را جمع‌آوری نکرده است.

از آنجایی که این بدافزارها دارای سیستم خودنابودگر هستند، عملاً نمی‌توان مشخص کرد که چه حجم اطلاعاتی دقیقاً از چه بخش‌هایی مورد سرقت واقع شده است.

رمزگذاری پیشرفته

این گروه تعجب متخصصان امنیتی را برانگیخته است. این گروه از تکنولوژی رمزگذاری که به اصطلاح RC۵ نامیده می‌شود، استفاده کرده است. این تکنولوژی‌ توسط «رونالد ریوست» در سال‌های ۱۹۹۴ تا ۱۹۹۸ کشف شد و ویژگی آن مقاوم‌بودن بسیار دربرابر شکستن رمز است.

کسپرسکی می‌گوید که گروه معادله را در جریان مطالعه روی ویروس رجین کشف کرده است. کسپرسکی یک کامپیوتر در یکی از کشورهای خاورمیانه قرار داده و حمله‌ها به آن را شناسایی می‌کند. به گفته این شرکت امنیتی روسی، اطلاعات به‌دست آمده نشان داد که این گروه کامپیوترهایی را هدف قرار داده که قبلا مورد حمله بدافزار رجین هم قرار گفته بودند.

کسپرسکی در گزارش خود به هیچ کشور یا سازمانی پشت سر این گروه هکری اشاره نمی‌کند. هرچند در تمام گزارش این شرکت به یک سازمان بزرگ و افراد متخصص دارای برنامه وسیع با سرمایه‌گذاری نامحدود اشاره می‌شو‌د.

برخی خبرگزاری‌ها از جمله رویتر و روزنامه نیویورک‌تایمز از آژانس امنیت ملی آمریکا به‌عنوان سازمان‌دهنده اصلی نام برده‌اند و از طرفی با توجه به نوع آلودگی و تمایل به دریافت اطلاعات می‌توان تصور کرد که چه نوع نهادهایی از چه کشورهایی پشت این حمله‌ها قرار دارند.

این گروه صدها دامنه اینترنتی و سرورهای رایانه‌ای در سراسر جهان در اختیار داشته و اطلاعات از طریق کامپیوترهای قربانیان به این سرورها منتقل می‌شده است. روش‌های پیچیده نفوذ از سایت‌های اینترنتی گرفته تا فلش‌های حافظه و هارددیسک‌ها نام بسیاری از برندهای مختلف (هیتاچی، سامسونگ، وسترن دیجیتال و سی‌گیت) و سیستم‌های عامل (ویندوز، مک) و حتی گوشی‌های موبایلی چون آی‌فون را به میان کشیده و جهان تکنولوژی را در حیرت فرو برده است.