به گزارش گروه سایر رسانههای دفاعپرس به نقل از انتخاب، امروزه شرکت Chronicle تابعه Alphabet، یافتههای محققان خود «خوان آندرس گوئررو ساده» و «سیلاس کاتلر» را در کنفرانس امنیتی کسپرسکی در سنگاپور، و همچنین در وبلاگ این شرکت که توسط گزارشهای دقیقتر تحلیلی تکمیل شده است، منتشر کرد.
سلسله این اکتشافها میتواند تا یک کلید واحد، که از یک گزارش امنیتی در سال 2017 سرچشمه گرفته است ردیابی شود، که احتمال یک پیوند جدید بین بدافزار مخرب جاسوسی سایبری شناخته شده به عنوان Flame و گروهی از بازیگران دولتی که احتمالا درگیر در حمله بدافزار Stuxnet هستند برقرار میکند. این حمله باعث شد که کنترل کنندههای منطقی برنامه ریزی شده برای تأسیسات هستهای ایران در نطنز دچار اشکال شوند که نتیجه آن آسیب به سانتریفیوژها بود که در آن زمان ایدههای هستهای ایران را به پیش میبرد.
این گونه فهمیده شده مهاجمان استاکس نت، که کرونیکل به طور کلی آنها را «GOSSIPGIRL» مینامد، به طور گستردهای شامل توسعه دهندگان ویروس Flame و Duqu و گروه موسوم به گروه «معادله» میشود. گروه معادله به طور قابل توجهی با NSA مرتبط بوده است، در حالی که ساخت Duqu به اسرائیل مرتبط دانسته شده و Flame به یک عملیات اطلاعاتی مشترک بین ایالات متحده و اسرائیل مرتبط است.
اما بر اساس یافتههای کرونیکل، گویا یک بازیگر چهارم در توسعه استاکسنت دخالت داشته باشد. این بازیگر یک برنامه مخرب قدیمی به نام Flowershop که اهداف خاورمیانهای را در دوره فعالیت خود از سال 2002 تا 2013 آلوده کرده ایجاد نموده است. کد این بدافزار را میتوان در یک بخش خاص از Stuxnet به نام Stuxshop پیدا کرد و از آن برای ارتباط با سرورهای C2 و البته کارکردهای دیگر بهره برد.
گوئررو و کاتلر در گزارش فنی خود بیان کردهاند: «ارزش این یافته اخیر در 2 جنبه است: اولا، این یافتهها نشان میدهد که تیم دیگری با پلت فرم بدافزار خود در توسعه اولیه Stuxnet مشارکت داشته است؛ و دوم انکه این دیدگاه را پشتیبانی میکند که استاکس نت در واقع محصول یک چارچوب توسعه مدولار است که به منظور ایجاد امکان همکاری میان بازیگران تهدید کننده مستقل و پراکنده، طراحی شده. یافتههای اخیر ما، همراه با بخش برجستهای از تجزیه و تحلیل فنی که قبلا در مورد این تهدید گزارش شده، تیم طراح Flowershop را در کنار گروه معادله، طراحان Flame و Duqu به عنوان بازیگرانی که در تهیه مرحلههای مختلف استاکس نت به عنوان یک عملیات که احتمالا از اوایل سال 2006 فعال بودند، قرار میدهد.
تحقیقات بیشتر نشان داده که یکی دیگر از شگفتیها این است، بدافزار Flame که در ماه می 2012 پس از کشف عمومی اش ناپدید شد، تقریبا 2 سال بعد به شکل Flame 2.0 مجددا ظاهر شده است.
Flame، که نام آن sKyWIper است و در سال 2012 کشف شد، از لحاظ تاریخی رایانههای مبتنی بر ویندوز را در ایران آماج قرار میداده است. ابزار جاسوسی سایبری، که احتمالا در زمانبندی 2014-2016 استفاده شده، قادر به جمع آوری اطلاعات سیستم، ایجاد خلأهای نفوذ پنهانی و انتشار بدافزار در سراسر شرکتها از طریق به روز رسانی ویندوز است.
در طول دوره مطالعه خود، این محققان همچنین یک نسخه ناشناخته Duqu را که بدافزاری ساخته شده از Stuxnet است که به منظور سرقت اطلاعات مفید برای حمله به سیستمهای کنترل صنعتی استفاده میشود، کشف کردهاند.
این نسخه با نام Dubbed Duqu 1.5 به نظر میرسد، یک پل ارتباطی است بین تهدید اصلی Duqu 1.0 و تهدید پیشرفته Duqu 2.0 که بدافزاری با فرم مدولار فعال در حافظه رم است و به شدت دفاتر آزمایشگاه کسپرسکی را آلوده کرده بود، و همچنین مذاکرات هستهای P5 + 1 و ایران در سوئیس را هدف قرار داده بوده. (کرونیکل بیان کرده که دیگر نسخههای Duqu اخیر در شرکتهای اروپایی، آفریقا و خاورمیانه جاسوسی کردهاند)
کرونیکل بیان کرده: «ویژگیهای موجود در نسخه 1.5 عبارتند از: یک زنجیره بارگذاری فراختر، عملیاتی ـ. تجربی و چند لایهای. این کار با یک درایور کرنل تروجانی آغاز میشود که با یک گواهی به سرقت رفته امضا شده است، تا سیستم فایل مجازی رجیستری (VFS) را که هماهنگ کننده مادر بدافزار را در حافظه بارگذاری میکند، آلوده سازد و پس از آن یک VFS را روی دیسک بارگذاری میکند تا یک سری پلاگین نصب شود تا راه برای گسترش بیشتر و دسترسی به منافذ پنهان ماشینهای آلوده، باز شود.
انتهای پیام/ 112