هکرهای مذاکرات چه کسانی بودند؟
«کاستین رایو» گفت تحقیقات در مورد حمله سایبری به محل مذاکرات ایران ادامه دارد و ممکن است در آینده نیز تلاشهای مشابهی برای جاسوسی از گفتوگوها صورت گیرد.
به گفته مدیر تیم تحقیقات لابراتوار کاسپرسکای، هرچند این ویروس را تیمی مجزا از تیم سازنده ویروس مخرب «استاکسنت» تولید کرده، اما این احتمال وجود دارد که این دو تیم زمانی همکار یکدیگر بوده باشند. وی با این حال گفت اطمینان دارد که این تیم، همان تیمی است که بدافزار معروف «فلیم» (Flame/شعله) را ساختند.
بدافزار شعله در سال 2012 و به صورت مشترک توسط اسرائیل و آمریکا تولید شد و هدف آن جمعآوری اطلاعات از برنامه هستهای ایران بود. ( جزئیات بیشتر )
تروجان «گاس» (Gauss) هم از دیگر مواردی است که آقای رایو میگوید همان سازندگان دوکو آن را ساختهاند؛ بدافزاری که در سال 2012 رایانههای بسیاری را در خاورمیانه از جمله لبنان و کرانه باختری آلوده کرد و مأموریتش جاسوسی بود.
در ادامه متن کامل این مصاحبه، که بخشهای پایانی آن مربوط به اصول فنی مربوط به نحوه پیشگیری از حملات مشابه است، آمده است:
فارس: لطفا ابتدا کمی در مورد حمله و بدافزاری که در آن به کار رفته برای ما توضیح دهید. این بدافزار چه کاری میتواند انجام دهد؟
رایو: دوکو بدافزاری پیچیده است که اولین بار در سال 2011 توسط کاسپرکسای شناسایی شده و مورد تحقیق قرار گرفت. هدف اصلی از آن نفوذ به سیستم و تسهیل سرقت اطلاعات شخصی است.
حملهای که اخیرا کاسپرسکای شناسایی کرد شامل برخی ویژگیهای منحصر به فرد و دیدهنشده بود و که تقریبا هیچ ردی از خود بر جای نگذاشته است. در این حمله از نقطه ضعفهای مربوط به ویژگی «روز صفر» (Zero day) استفاده شده و بدافزار پس از بالا بردن سطح دسترسی به راهبر (ادمین) دامین، از طریق فایلهای MSI (اینستالر نرمافزار مایکروسافت) که به طور معمول برای نصب نرمافزار روی رایانههای ویندوز از راه دور توسط ادمین مورد استفاده قرار میگیرند، در شبکه پخش میشود. این حمله سایبری، هیچ فایلی از خود بر جای نمیگذارد و هیچ تنظیماتی را تغییر نمیدهد و همین امر موجب شده تا شناسایی آن بسیار بسیار دشوار باشد. تجربه و تفکر گروه «دوکو 2» یک نسل فراتر از آنچیزی است که تاکنون در دنیای تهدیدات پیشرفته سایبری مشاهده شده است.
آخرین بررسیها بر روی نمونههای مربوط به دوکو 2 نشان میدهد که در آنها از گواهینامههای دیجیتالی قانونی (معتبر) فاکسکان، از بزرگترین تولیدکنندگان قراردادهای الکترونیکی که مشتریانی چون بلک بری، اپل، سونی و غیره دارد، استفاده شده است. استفاده از این گواهینامههای دیجیتالی میتواند به مهاجمین اجازه دهد تا نرمافزارهای مخرب را وارد دستگاههای قربانیان کنند، بدون آنکه موانع امنیتی از این امر جلوگیری کنند، چراکه آنها را نرمافزارهایی سالم و بدون ایراد و معتبر تشخیص میدهند.
فارس: شما چطور متوجه شدید هتلهای میزبان مذاکرات هستهای مورد حمله قرار گرفتهاند؟ آیا میتوانید نام هتلها، شهرها یا کشورها را بگوئید؟
رایو: کاسپرسکای سابقه زیادی در شناسایی و تحقیق در مورد پیشرفتهترین حملات سایبری دارد. کاسپرسکای ابتدا متوجه شد که به برخی سامانههای داخلیاش نفوذ سایبری شده است. پس از آن بود که شرکت تحقیقات گستردهای را در این رابطه آغاز کرد. همین تحقیقات بود که به شناسایی بدافزار پیچیده جدید و برخی از قربانیان آن منجر شد.
قربانیان این بدافزار، در کشورهای غربی و همینطور کشورهای خاورمیانه و آسیا بودهاند. ما البته به دلیل آنکه تحقیقات در این رابطه در جریان است، مشخصا کشور و محل قربانیان را فاش نمیکنیم.
فارس: لطفا در مورد زمانبندی این حملات و همینطور زمانی که آنها شناسایی شدند توضیح دهید. آیا کشورهای هدف در همان ابتدا در جریان این حملات قرار گرفتند؟
رایو: اوایل بهار بود که ما متوجه حمله شدیم. نمیتوانیم تاریخ وقوع آنها را افشا کنیم چراکه این اطلاعات ممکن است به تحقیقات جاری در مورد این رخداد لطمه بزند. در حال حاضر ما داریم با چندین سرویس انتظامی و تیمهای مربوطه در کشورهایی که قربانیان در آنجا بودهاند و همچنین سازمانهای بینالمللی مربوط به امنیت سایبری، کار میکنیم. اغلب قربانیان پیش از این شناسایی شده و به آنها اطلاع دادهایم.
فارس: گفته میشود که این بدافزار به آژانسهای اطلاعاتی و مشخصا سرویس جاسوسی اسرائیل، موساد مرتبط است. آیا مدرک یا شاهدی برای اثبات این احتمال وجود دارد؟
رایو: مانند همیشه، نسبت دادن حملات سایبری اینترنتی (مشخص کردن منشا حملات)، کار دشواری است. در مورد «دوکو»، مهاجمین برای آنکه شناسایی نشوند از پراکسیهای متعدد و نقاط پرش گوناگون استفاده کردهاند تا ارتباطاتشان را بپوشانند. همین امر موجب شده تا ردیابی حملات مسئلهای بسیار دشوار باشد.
با این حال، ما کاملا اطمینان داریم که «دوکو 2»، نسخه به روز شده بدافزار مشهور «دوکو» است که در سال 2011 فعال شد و ساخته گروهی است که در سال 2012 پشت پرده رفتند.
ضمن اینکه، مهاجمین همواره ردپایی هم بر جای میگذارند. در تحقیقاتی که ما در سال 2011 داشتیم، بر اساس اطلاعاتی که به دست آوردیم، متوجه شدیم که فعالیتهای مهاجمین در روزهای جمعه کاهش یافته و در روزهای شنبه نیز فعالیتی انجام نمیدهند و به نظر میرسید که هفته کاری آنها از یکشنبه آغاز میشد. به علاوه آنها در روز اول ژانویه (آغاز سال نو میلادی) هم اطلاعات تولید کردند، که نشان میداد احتمالا این روز برای آنها روز کاری است. بررسی اطلاعات زمانی باینری همچنین نشان داد که آنها در نقطهای با منطقه زمانی بین 2 تا 3 ساعت جلوتر از گرینویچ (GMT+2 تا GMT+3) هستند. نهایتا حملات آنها عموما روزهای چهارشنبه رخ میداد، به همین دلیل هم بود که ما از آنها با عنوان «دار و دسته چهارشنبه» نام بردیم. اغلب موارد زمانی فوق، برای «دوکو 2» هم صدق میکند.
فارس: آیا شباهتی میان دوکو 2 و استاکسنت وجود دارد؟
رایو: در حالی که به نظر میرسد استاکسنت حاصل کار چند گروه بوده، اما دوکو پروژهای برای جاسوسی است که احتمالا توسط همان گروهی ساخته شده که ویروسهایی چون «فلیم»، «گاس» و «مینی فلیم» را تولید کردهاند.
یکی از گروههایی که در ساخت استاکسنت نقش داشت، احتمالا گروه موسوم به «ایکوئیشن» بوده است. این گروه «ایکوئشن دراگ»، «دابل فانتسی»، «فنی» و «گری فیش» و ویروسهای دیگری را تولید کرده است.
هرچند این دو گروه ممکن است در گذشته با هم همکاری کرده باشند، اما به نظر میرسد که اکنون جدا هستند، چراکه به عنوان نمونه، یکی از قربانیان دوکو 2، همزمان توسط ایکوئیشن هم مورد حمله قرار گرفته، که این نشان میدهد اینها دو گروه جداگانه هستند که برای بدست آوردن اطلاعات از قربانیانشان، با هم رقابت میکنند.
فارس: آیا راهی هست که بتوان دریافت چه اطلاعاتی به سرقت رفته است؟
رایو: در مورد حمله به لابراتوار کاسپرسکای، مهاجمین به دنبال داراییهای معنوی و فناوریهای مربوطه برای شناسایی و تحلیل تهدیدات سایبری بودهاند. دادههای به سرقت رفته از شرکت به هیچ روی در محصولات تولیدی شرکت نقش بحرانی نداشته است. اینکه چه اطلاعاتی از دیگر قربانیان به سرقت رفته، از سوی مراجع قانونی در حال بررسی است.
فارس: آیا ادامه مذاکرات در هتلها و مکانهایی که هدف حمله قرار گرفتهاند، از لحاظ امنیتی مقدور است؟
رایو: باید اقدامات احتیاطی در آن هتلها و دیگر مکانها انجام شود، چراکه ممکن است هتلهای دیگر هم وقتی شناسایی شدند، مورد حمله قرار بگیرند.
فارس: آیا حمله محدود به کامپیوتها بوده یا گوشیهای همراه مذاکرهکنندها هم ممکن است هدف بوده باشند؟
رایو: این تهدید دستگاههایی که سیستم عامل ویندوز شرکت مایکروسافت (32 بیت و 64 بیت) را را نصب کردهاند مورد هدف قرار داده است. هنوز هیچ مورد حمله به گوشی همراه یا دستگاهی مبنتی بر سیتم عامل مک یا یونیکس، مشاهده نکردهایم.
فارس: چه شاخصهایی برای حفاظت مذاکرات حساس از اینگونه حملات، میبایست در نظر گرفته شود؟
رایو: ما چهار شاخص ساده ولی بسیار موثر زیر را پیشنهاد میکنیم:
اطمینان حاصل کنید که محصولات کاسپراسکای روی تمام کامپیوترهای محل شامل سرویسدهندهها، پراکسیها و هر نوع کامپیوتر دیگر نصب شده باشد.
با بکاربردن بروزآوری ویندوز مایکروسافت، سیستم عامل ویندوز را با آخرین نسخه آن بروز کردهاید. همچنی« اطمینان حاصل کنید که بسته بروزآوری هر سهشنبه از 9 ژوئن 2015 مایکروسافت را نصب کردهاید.
تمام کامپیوترها را به یکباره ریبوت کنید برای اینکار میتوانید قطع برق را شبیهسازی کنید. ریبوت کردن همه سیستمها در یک لحظه واحد از آن جهت مهم است که بدافزار نتواند در یکی از سیستمها جان به در ببرد و بعدا خود را در سایر سیستمها بازنشر کند.
همه گذرواژهها را تغییر دهید.
استراتژیهای عمومی زیر میتواند به کاهش حملات دوکو 2 کمک کند:
بروزآوری و ریبوت کردن همه دستگاهها در شبکه به صورت دورهای (کنترلکنندههای دامین را نیز شامل شود). ریبوت کردن به خارج شدن بدافزار فعال از حافظه سیستمها منجر میشود.
اطمینان حاصل کنید که تمام سرویسدهندهها ویندوز 64 بیتی را اجرا میکنند. این امر مهاجمین را وامیدارد تا از درایورهای امضا شده را برای مکانیزم پایداری بکار بندند.
بصورت دورهای (هر یک تا دو ماه) همه گذرواژهها را تغییر دهید و از کلمات عبور پیچیده و قوی بهره ببرید که بیش از 20 کاراکتر باشند و روش قدیمی هشهای اِل-اِم ویندوز را از کار بیاندازید.
ما برای کاربران پیشرفتهتر، قوانین و ابزاری آماده کردهایم که میتواند آسیب را در بلاکهای برگرفته از حافظه و لیست وقایع ثبت شده سیستم شناسایی کند.
افزون بر این موارد مقالهای در «فهرست امنیتی» منتشر کردهایم با عنوان «چطور 85% حملات هدفمند را با 4 استراتژی ساده ناکام بگذاریم».