نرمافزار جاسوسی با ضبط تصویر و صدای قربانیان
گروه دانش و فن|
محققان امنیتی یک نمونه پیچیده از نرمافزارهای جاسوسی را کشف کردهاند که در پنج سال گذشته بهشدت مورد استفاده هکرها و خرابکاران قرار گرفته و تعداد زیادی از اهداف موردنظر خرابکاران را در روسیه و اوکراین آلوده کرده است.
درحالی که منشا این حمله و خرابکاری جدید به نام InvisiMole هنوز تعیین نشده است، اعتقاد بر این است که یک ابزار پیشرفته جاسوسی سایبری است که به احتمال زیاد طبق شواهد به دست آمده برای دولتهای ملی یا باهدف حمله به زیرساختهای مالی این کشورها ایجاد شده است.
واقعیتی که در بررسیهای میدانی در این باره به دست آمده نشاندهنده این است که فعالیت این برنامه مخرب بهصورت کاملا مخفیانه انجام میگیرد که بهصورت محدود در فقط چند رایانه آلوده یافت شده است، اما این برنامه مخرب به دلیل قابلیتهای وسیعی که دارد و بعد از ورود به رایانه قربانی چند ماه طول میکشد تا خود را توسعه دهد و کشف آن کاری غیرعادی بوده و توسط افراد مبتدی قابلکشف نیست.
جز چند پرونده که بهصورت باینری یا دودویی در این خصوص کشف شده اطلاعات خاصی درخصوص کمپین، نحوه انتشار و افراد پشت پرده این بدافزار اطلاعات دیگری در دست نیست. یک محقق شرکت آنتیویروس ESET که اخیرا گزارش کاملی درباره این بدافزار جدید نوشته میگوید: بررسیهای ما نشان میدهد که بازیگران و افراد خرابکار پشت پرده این بدافزار مخرب حداقل از سال 2013 روی این پروژه کارکردهاند تا زمانی که آخرین بهروزرسانیهای آنتیویروس ESET برروی کامپیوترهای آلوده در اوکراین و روسیه قرار داده نشود هرگز ردی از این بدافزار یافت نمیشد.
سوزانا هرامکوا همچنین اضافه کرد: همه بردها و دستگاههای متصل به رایانه آلوده در معرض خطر این بدافزار قرار دارند، نصب، راهاندازی و دسترسی فیزیکی به دستگاه آلوده امکان انتشار بدافزار را تسهیل میکند. بدافزارهای معمولی که در حملات بسیار هدفمند در این مورد خاص استفاده شدهاند، از بسیاری از سرنخهایی که میتواند محققان را به سمت طراحان و افراد پشت پرده هدایت کند، مخفی بوده و در خفا فعالیت میکنند. براساس اطلاعات سایت پلیس فتا، به استثنای یک پرونده (به تاریخ 13 اکتبر 2013)، تمام تاریخهای تدوین شده توسط بدافزار حذف شده یا با صفر جایگزین شدهاند، سرنخهای کمی در مورد زمانبندی و طول عمر آن ارائه شده است. علاوه بر این، نرمافزارهای مخرب جزئی از برنامهنویسی هوشمندانه خود هستند و از دو بخش کاملا مجزا تشکیل شدهاند که هر دو قسمت ویژگیهای جاسوسی خاص خود را دارند اما میتوانند با کمک هم فایلهای exfiltrating را ایجاد کنند.
نخستین ماژول اصلی در این بدافزار InvisiMole RC2FM نامیده میشود. این ماژول کوچکترین بوده و تنها 15 دستور را پشتیبانی میکند که این دستورات ترکیبی از توابع برای تغییر سیستم محلی هستند که برای جستوجو و سرقت دادهها مورداستفاده قرار میگیرند. این ماژول به عنوان دومین ماژول پیشرفته مورد استفاده قرار گرفته که جدیدترین ویژگی آن دارای توانایی استخراج تنظیمات پروکسی از مرورگرها و استفاده از آن تنظیمات برای ارسال دادهها و کنترل سرور خود وبسایت و با تنظیم شبکه محلی مانع از ارتباط بین ماژول کاربر و سرور اصلی میشود.
بعضی دستورات این ماژول به بدافزار این امکان را میدهد تا میکروفون کاربر را روشن کند، صدای او را ضبط کند و آن را به عنوان یک فایل صوتی با فرمت MP3 ذخیره و آن را به سرور
InvisiMole C & C ارسال کند.
ماژول RC2FM همچنین میتواند وب کم کاربر را فعال کند و از محیط اطراف فیلم و عکس تهیه کند. همچنین میتواند درایوهای محلی را نظارت کند، اطلاعات سیستم را بازیابی کند و تغییرات پیکربندی سیستم کاربر را کنترل کند.
دومین ماژول بدافزار InvisiMole پیشرفتهتر از انواع قبلی است. این ماژول از 84 دستور backdoor پشتیبانی میکند و شامل تقریبا تمام قابلیتهایی است که شما از یک بدافزار جاسوسی پیشرفته انتظار دارید.
این ماژول شامل پشتیبانی از اجرای دستورات پوسته سیستم عامل از راه دور است که شامل دستکاری کلیدی رجیستری، اجرای فایلهای اجرایی، گرفتن فهرستی از برنامههای محلی، بارگیری درایورها، گرفتن اطلاعات شبکه رایانه قربانی، غیرفعال کردن UAC، خاموش کردن فایروال ویندوز و غیره است. RC2CL همچنین میتواند از طریق میکروفون صدا را ضبط کند و از طریق وب کم عکسها را مشاهده کند، درست مانند ماژول اول.
اما به گفته سوزانا هرامکوا این ماژول دارای برخی از ویژگیهای منحصربهفرد است. یکی از اینها قابلیت ذخیره فایلهای خود پس از جمعآوری دادههاست. این مرحله برای جلوگیری از دسترسی ابزارهای قانونی مانند آنتیویروسها و دیوارهای آتش ویندوز (فایروالها) برای شناسایی فایلهای کپی روی دیسک است و بدافزار بعد از جمعآوری آنها را به سرور C & C ارسال میکند.
یکی دیگر از ویژگیهای منحصربهفرد این بدافزار، توانایی RC2CL است که میتواند خود را به یک پروکسی تبدیل کند و ارتباطات بین نخستین ماژول و سرور C & C مهاجم را تسهیل کند. این یک ویژگی منحصربهفرد این بدافزار جاسوسی است، زیرا این قابلیت در بدافزارهای دیگر بسیار کم و بهصورت محدود تعبیه شده است. در کل، شما با یک بدافزار بسیار هوشمند و پیچیده روبهرو هستید که بهوضوح یک ابزار قدرتمند جاسوسی سایبری است و احتمالا یکی از بهترینها در حال حاضر است.