کشف بدافزاری پیشرفته و پنهانی پس از ۵ سال

متخصصان امنیت سایبری از کشف بد‌افزاری به شدت مخرب خبر دادند که دست کم برای پنج سال به صورت مخفیانه فعال بوده‌است.

به گزارش پایداری ملی، براساس گزارش ساینس الرت، محققان می‌گویند پروژه سائورون نام بد‌افزاری به شدت پیشرفته‌ و مدرن است که تنها می‌توان ساخت آن را به گروه‌‌های سایبری نسبت داد که توسط یک دولت یا یک سازمان اطلاعاتی پشتیبانی شده‌اند.

این بد‌افزار از سال 2011 فعال بوده‌است و شبکه‌هایی بسیار حساس در روسیه، چین، سوئد و دیگر کشورها را هدف گرفته‌است. محققان شرکت‌های امنیتی سایمنتک و کسپزسکی این بدافزار را در ماموریتی مشترک ردیابی کرده و اعلام کردند در بیش از 30 وب‌سایت از جمله وب‌سایت یک شرکت هواپیمایی در چین، یک سفارت در بلژیک و یک سازمان در سوئد ردیابی شده‌است.

برخلاف دیگر بدافزارهای رایانه‌ای که رایانه‌های رومیزی را هدف می‌گیرند،‌پروژه سائورون که با نام Remsec نیز شناخته می‌شود،‌ متمرکز‌تر است، اگرچه سکوی فعالیت آن ویندوز مایکروسافت است. این بدافزار با هدف نفوذ به شبکه‌های رایانه‌ای سازمانی از قبیل شبکه‌های دولتی، وب‌سایت‌های ارتش، پژوهشگاه‌های علمی و سیستم‌های آی‌تی برنامه ریزی شده‌است تا بتواند در این شبکه‌ها به جاسوسی پرداخته و مسیری پنهانی را برای نفوذ به آنها، دستکاری سیستم‌ها، دستیابی به رمز‌های عبور با استفاده از ردیابی حرکت کلید‌های صفحه‌کلید، سرقت اطلاعات شخصی مانند اعتبارنامه و رمزهای عبور کاربران ایجاد کند.

نام پروژه سائورون برگرفته از کد سائورون در بدافزار است و شرکت سایمنتک معتقد است این بدافزار توسط گروهی ناشناخته از هکرها به نام استرایدر ساخته شده‌است. یکی از دلایل طولانی شدن ردیابی این بدافزار این است که پروژه سائورون به صورت نامرئی طراحی شده‌است و هکرها برای حمله به هر هدف از کد‌هایی منحصر‌به‌فرد استفاده می‌کنند. این به آن معنی است که بدافزار ردپایی از خود به جا نمی‌گذارد.

باوجود اینکه بدافزار از سال 2011 فعال بوده‌است، کسپرسکی سال 2015 به فعالیت هکرها پی برد،‌زمانی که یکی از مشتریانش از این شرکت درخواست کرد تا ترافیک غیرعادی شبکه‌اش را بررسی کند. به گفته محققان کسپرسکی،‌هکرها میدانند که محققان امنیتی همواره به دنبال یک الگو هستند، از این رو با برداشتن این الگو، ردیابی آنها دشوارتر خواهد شد.

سایمنتک می‌گوید پروژه سائورون از مسیر USB از قابلیت آلوده‌سازی رایانه‌هایی که به اینترنت متصل نیستند نیز برخوردار است. این بدافزار هرگز روی حافظه طولانی مدت رایانه ذخیره نمی‌شود و همین موضوع ردیابی آن را دشوارتر می‌سازد و نشان می‌دهد گروه استرایدر از هکرهایی به شدت حرفه‌ای تشکیل شده‌است.

با این‌همه کسپرسکی می‌گوید به دلیل ردیابی وب‌سایت‌های آلوده به این بد‌افزار، فعالیت آن در سال جاری به شکلی گسترده متوقف شده‌است، اما هیچ تضمینی وجود ندارد که شرایط به همین شکل باقی بماند. زیرا ساخت چنین بدافزار پیچیده‌ای به سرمایه، زمان و پشتیبانی دولتی نیازمند بوده‌است و بعید به نظر می‌رسد پس از این همه تلاش، هکرها به همین سادگی از آن دست بکشند.

کسپرسکی می‌گوید چنین حمله برنامه‌ریزی‌شده و پیچیده‌ای با هدف سرقت اطلاعات محرمانه تنها با پشتیبانی یک دولت یا سازمان دولتی امکان‌پذیر است و این بدافزار نیز با حضور گروه‌هایی حرفه‌ای از هکرها و صرف میلیون‌ها دلار سرمایه ایجاد شده‌است. تاکنون آلودگی 30 سازکان به این بدافزار آشکار شده‌است، اما ممکن است این تعداد تنها جزئی از یک کل بزرگتر باشد.