کشف نرمافزار جاسوسی که تصاویر و صدای قربانیان را ضبط میکند
محققان امنیتی یک نمونه پیچیده از نرمافزارهای جاسوسی را کشف کردهاند که در پنج سال گذشته بهشدت مورد استفاده هکرها و خرابکاران قرار گرفته و تعداد زیادی از اهداف موردنظر خرابکاران را در روسیه و اوکراین آلوده کرده است.
درحالیکه منشأ این حمله و خرابکاری جدید به نام InvisiMole هنوز تعیین نشده است، اعتقاد بر این است که یک ابزار پیشرفته جاسوسی سایبری است که بهاحتمال زیاد طبق شواهد بهدستآمده برای دولتهای ملی یا باهدف حمله به زیرساختهای مالی این کشورها ایجادشده است.
واقعیتی که در بررسیهای میدانی در این باره بهدست آمده نشاندهنده این است که فعالیت این برنامه مخرب بهصورت کاملاً مخفیانه انجام میگیرد که بهصورت محدود در فقط چند رایانه آلوده یافت شده است، اما این برنامه مخرب به دلیل قابلیتهای وسیعی که دارد و بعد از ورود به رایانه قربانی چند ماه طول میکشد تا خود را توسعه دهد و کشف آن کاری غیرعادی بوده و توسط افراد مبتدی قابلکشف نیست.
بهجز چند پرونده که بهصورت باینری یا دودویی در این خصوص کشفشده اطلاعات خاصی در خصوص کمپین، نحوه انتشار و افراد پشت پرده این بدافزار اطلاعات دیگری در دست نیست. یک محقق شرکت آنتیویروس ESET که اخیراً گزارش کاملی درباره این بدافزار جدید نوشته میگوید: بررسیهای ما نشان میدهد که بازیگران و افراد خرابکار پشت پردهٔ این بدافزار مخرب حداقل از سال 2013 بر روی این پروژه کارکردهاند، تا زمانی که آخرین بهروزرسانیهای آنتیویروس ESET برروی کامپیوترهای آلوده در اوکراین و روسیه قرار داده نشود هرگز ردی از این بدافزار یافت نمیشد.
سوزانا هرامکوا همچنین اضافه کرد: همه بردها و دستگاههای متصل به رایانه آلوده در معرض خطر این بدافزار قرار دارند، نصب، راهاندازی و دسترسی فیزیکی به دستگاه آلوده امکان انتشار بدافزار را تسهیل میکند.
بدافزارهای معمولی که در حملات بسیار هدفمند در این مورد خاص استفادهشدهاند، از بسیاری از سرنخهایی که میتواند محققان را به سمت طراحان و افراد پشت پرده هدایت کند، مخفی بوده و در خفا فعالیت میکنند. بر اساس اطلاعات سایت پلیس فتا، بهاستثنای یک پرونده (به تاریخ 13 اکتبر 2013)، تمام تاریخهای تدوینشده توسط بدافزار حذفشده و یا با صفر جایگزین شدهاند، سرنخهای کمی در مورد زمانبندی و طول عمر آن ارائهشده است.
علاوه بر این، نرمافزارهای مخرب جزئی از برنامهنویسی هوشمندانه خود هستند و از دو بخش کاملاً مجزا تشکیل شدهاند که هر دو قسمت ویژگیهای جاسوسی خاص خود رادارند اما میتوانند با کمک هم فایلهای exfiltrating را ایجاد کنند.
اولین ماژول اصلی در این بدافزار InvisiMole RC2FM نامیده میشود. این ماژول کوچکترین بوده و تنها 15 دستور را پشتیبانی میکند که این دستورات ترکیبی از توابع برای تغییر سیستم محلی هستند که برای جستجو و سرقت دادهها مورداستفاده قرار میگیرند.
این ماژول بهعنوان دومین ماژول پیشرفته مورداستفاده قرار گرفته که جدیدترین ویژگی آن دارای توانایی استخراج تنظیمات پروکسی از مرورگرها و استفاده از آن تنظیمات برای ارسال دادهها و کنترل سرور خود وبسایت و با تنظیم شبکه محلی مانع از ارتباط بین ماژول کاربر و سرور اصلی میشود.
بعضی از دستورات این ماژول به بدافزار این امکان را میدهد تا میکروفون کاربر را روشن کند، صدای او را ضبط کند و آن را بهعنوان یک فایل صوتی با فرمت MP3 ذخیره و آن را به سرور InvisiMole C & C ارسال کند.
ماژول RC2FM همچنین میتواند وب کم کاربر را فعال کند و از محیط اطراف فیلم و عکس تهیه کند. همچنین میتواند درایوهای محلی را نظارت کند، اطلاعات سیستم را بازیابی کند و تغییرات پیکربندی سیستم کاربر را کنترل کند.
دومین ماژول بدافزار InvisiMole پیشرفتهتر از انواع قبلی است. این ماژول از 84 دستور backdoor پشتیبانی میکند و شامل تقریباً تمام قابلیتهایی است که شما از یک بدافزار جاسوسی پیشرفته انتظار دارید.
این ماژول شامل پشتیبانی از اجرای دستورات پوسته سیستمعامل از راه دور است که شامل دستکاری کلیدی رجیستری، اجرای فایلهای اجرایی، گرفتن فهرستی از برنامههای محلی، بارگیری درایورها، گرفتن اطلاعات شبکه رایانه قربانی، غیرفعال کردن UAC، خاموش کردن فایروال ویندوز و غیره است. RC2CL همچنین میتواند از طریق میکروفون صدا را ضبط کند و از طریق وب کم عکسها را مشاهده کند، درست مانند ماژول اول.
اما به گفته سوزانا هرامکوا این ماژول دارای برخی از ویژگیهای منحصربهفرد است. یکی از اینها قابلیت ذخیره فایلهای خود پس از جمعآوری دادههاست. این مرحله برای جلوگیری از دسترسی ابزارهای قانونی مانند آنتیویروسها و دیوارهای آتش ویندوز (فایروالها) برای شناسایی فایلهای کپی بر روی دیسک است و بدافزار بعد از جمعآوری آنها را به سرور C & C ارسال میکند.
یکی دیگر از ویژگیهای منحصربهفرد این بدافزار، توانایی RC2CL است که میتواند خود را به یک پروکسی تبدیل کند و ارتباطات بین اولین ماژول و سرور C & C مهاجم را تسهیل کند. اینیک ویژگی منحصربهفرد این بدافزار جاسوسی است، زیرا این قابلیت در بدافزارهای دیگر بسیار کم و بهصورت محدود تعبیهشده است. در کل، شما با یک بدافزار بسیار هوشمند و پیچیده روبهرو هستید، که بهوضوح یک ابزار قدرتمند جاسوسی سایبری است و احتمالاً یکی از بهترینها در حال حاضر است.