تمامی شواهد آنطور که لابراتوار معتبر کاسپرسکای اعلام کرد، به یک واقعیت اشاره دارد، آن هم اینکه اسرائیلیها تلاش کردهاند تا از مسیری به جز دوستان آمریکایی و غربی خود به فحوای مذاکرات دست یابند.
کاسپرسکای در گزارش خود که مقدمهای شد برای آغاز تحقیقات در سوئیس و اتریش، بدون نام بردن از هتلها و اماکن هدف، اعلام کرد که چندین کشور غربی میزبان مذاکرات هستهای هدف حمله بدافزاری به نام «دوکو 2» بودهاند.
در همین راستا و با هدف کسب اطلاعات بیشتر از این حمله سایبری، گفتوگویی اختصاصی داشت با «کاستین رایو» (Costin Raiu) مدیر تحقیقات جهانی کاسپرسکای، که میگوید احتمال حملات سایبری مشابه در آینده نیز وجود دارد.
آقای رایو با اشاره به پیچیدگیهای این بدافزار، میگوید با این حال مهاجمین همواره ردپا و امضایی از خود بر جای میگذارند. به گفته وی هکرها در روزهای شنبه، که روز مقدس یهودیان و روز تعطیل اسرائیلیهاست، حملاتشان را متوقف میکردند. علاوه بر این حملات از جایی در خاورمیانه انجام شده است، جایی با 2 تا 3 ساعت اختلاف زمانی با ساعت جهانی.
وی هرچند به دلیل در جریان بودن تحقیقات در مورد این پرونده از افشای تاریخ وقوع این حملات خودداری کرد، اما گفت کاسپرسکای اولین بار در روزهای آغازین بهار امسال متوجه حملات شدهاند. به گفته وی، در حال حاضر اغلب قربانیان این حملات شناسایی شده و به آنها در این رابطه اطلاعرسانی شده است.
به گفته مدیر تیم تحقیقات لابراتوار کاسپرسکای، هرچند این ویروس را تیمی مجزا از تیم سازنده ویروس مخرب «استاکسنت» تولید کرده، اما این احتمال وجود دارد که این دو تیم زمانی همکار یکدیگر بوده باشند. وی با این حال گفت اطمینان دارد که این تیم، همان تیمی است که بدافزار معروف «فلیم» (Flame/شعله) را ساختند.
بدافزار شعله در سال 2012 و به صورت مشترک توسط اسرائیل و آمریکا تولید شد و هدف آن جمعآوری اطلاعات از برنامه هستهای ایران بود.
تروجان «گاس» (Gauss) هم از دیگر مواردی است که آقای رایو میگوید همان سازندگان دوکو آن را ساختهاند؛ بدافزاری که در سال 2012 رایانههای بسیاری را در خاورمیانه از جمله لبنان و کرانه باختری آلوده کرد و مأموریتش جاسوسی بود.
در ادامه متن کامل این مصاحبه، که بخشهای پایانی آن مربوط به اصول فنی مربوط به نحوه پیشگیری از حملات مشابه است، آمده است:
لطفا ابتدا کمی در مورد حمله و بدافزاری که در آن به کار رفته برای ما توضیح دهید. این بدافزار چه کاری میتواند انجام دهد؟
دوکو بدافزاری پیچیده است که اولین بار در سال 2011 توسط کاسپرکسای شناسایی شده و مورد تحقیق قرار گرفت. هدف اصلی از آن نفوذ به سیستم و تسهیل سرقت اطلاعات شخصی است.
حملهای که اخیرا کاسپرسکای شناسایی کرد شامل برخی ویژگیهای منحصر به فرد و دیدهنشده بود و که تقریبا هیچ ردی از خود بر جای نگذاشته است. در این حمله از نقطه ضعفهای مربوط به ویژگی «روز صفر» (Zero day) استفاده شده و بدافزار پس از بالا بردن سطح دسترسی به راهبر (ادمین) دامین، از طریق فایلهای MSI (اینستالر نرمافزار مایکروسافت) که به طور معمول برای نصب نرمافزار روی رایانههای ویندوز از راه دور توسط ادمین مورد استفاده قرار میگیرند، در شبکه پخش میشود. این حمله سایبری، هیچ فایلی از خود بر جای نمیگذارد و هیچ تنظیماتی را تغییر نمیدهد و همین امر موجب شده تا شناسایی آن بسیار بسیار دشوار باشد. تجربه و تفکر گروه «دوکو 2» یک نسل فراتر از آنچیزی است که تاکنون در دنیای تهدیدات پیشرفته سایبری مشاهده شده است.
آخرین بررسیها بر روی نمونههای مربوط به دوکو 2 نشان میدهد که در آنها از گواهینامههای دیجیتالی قانونی (معتبر) فاکسکان، از بزرگترین تولیدکنندگان قراردادهای الکترونیکی که مشتریانی چون بلک بری، اپل، سونی و غیره دارد، استفاده شده است. استفاده از این گواهینامههای دیجیتالی میتواند به مهاجمین اجازه دهد تا نرمافزارهای مخرب را وارد دستگاههای قربانیان کنند، بدون آنکه موانع امنیتی از این امر جلوگیری کنند، چراکه آنها را نرمافزارهایی سالم و بدون ایراد و معتبر تشخیص میدهند.
شما چطور متوجه شدید هتلهای میزبان مذاکرات هستهای مورد حمله قرار گرفتهاند؟ آیا میتوانید نام هتلها، شهرها یا کشورها را بگوئید؟
کاسپرسکای سابقه زیادی در شناسایی و تحقیق در مورد پیشرفتهترین حملات سایبری دارد. کاسپرسکای ابتدا متوجه شد که به برخی سامانههای داخلیاش نفوذ سایبری شده است. پس از آن بود که شرکت تحقیقات گستردهای را در این رابطه آغاز کرد. همین تحقیقات بود که به شناسایی بدافزار پیچیده جدید و برخی از قربانیان آن منجر شد.
قربانیان این بدافزار، در کشورهای غربی و همینطور کشورهای خاورمیانه و آسیا بودهاند. ما البته به دلیل آنکه تحقیقات در این رابطه در جریان است، مشخصا کشور و محل قربانیان را فاش نمیکنیم.
لطفا در مورد زمانبندی این حملات و همینطور زمانی که آنها شناسایی شدند توضیح دهید. آیا کشورهای هدف در همان ابتدا در جریان این حملات قرار گرفتند؟
اوایل بهار بود که ما متوجه حمله شدیم. نمیتوانیم تاریخ وقوع آنها را افشا کنیم چراکه این اطلاعات ممکن است به تحقیقات جاری در مورد این رخداد لطمه بزند. در حال حاضر ما داریم با چندین سرویس انتظامی و تیمهای مربوطه در کشورهایی که قربانیان در آنجا بودهاند و همچنین سازمانهای بینالمللی مربوط به امنیت سایبری، کار میکنیم. اغلب قربانیان پیش از این شناسایی شده و به آنها اطلاع دادهایم.
گفته میشود که این بدافزار به آژانسهای اطلاعاتی و مشخصا سرویس جاسوسی اسرائیل، موساد مرتبط است. آیا مدرک یا شاهدی برای اثبات این احتمال وجود دارد؟
مانند همیشه، نسبت دادن حملات سایبری اینترنتی (مشخص کردن منشا حملات)، کار دشواری است. در مورد «دوکو»، مهاجمین برای آنکه شناسایی نشوند از پراکسیهای متعدد و نقاط پرش گوناگون استفاده کردهاند تا ارتباطاتشان را بپوشانند. همین امر موجب شده تا ردیابی حملات مسئلهای بسیار دشوار باشد.
با این حال، ما کاملا اطمینان داریم که «دوکو 2»، نسخه به روز شده بدافزار مشهور «دوکو» است که در سال 2011 فعال شد و ساخته گروهی است که در سال 2012 پشت پرده رفتند.
ضمن اینکه، مهاجمین همواره ردپایی هم بر جای میگذارند. در تحقیقاتی که ما در سال 2011 داشتیم، بر اساس اطلاعاتی که به دست آوردیم، متوجه شدیم که فعالیتهای مهاجمین در روزهای جمعه کاهش یافته و در روزهای شنبه نیز فعالیتی انجام نمیدهند و به نظر میرسید که هفته کاری آنها از یکشنبه آغاز میشد. به علاوه آنها در روز اول ژانویه (آغاز سال نو میلادی) هم اطلاعات تولید کردند، که نشان میداد احتمالا این روز برای آنها روز کاری است. بررسی اطلاعات زمانی باینری همچنین نشان داد که آنها در نقطهای با منطقه زمانی بین 2 تا 3 ساعت جلوتر از گرینویچ (GMT+2 تا GMT+3) هستند. نهایتا حملات آنها عموما روزهای چهارشنبه رخ میداد، به همین دلیل هم بود که ما از آنها با عنوان «دار و دسته چهارشنبه» نام بردیم. اغلب موارد زمانی فوق، برای «دوکو 2» هم صدق میکند.
آیا شباهتی میان دوکو 2 و استاکسنت وجود دارد؟
در حالی که به نظر میرسد استاکسنت حاصل کار چند گروه بوده، اما دوکو پروژهای برای جاسوسی است که احتمالا توسط همان گروهی ساخته شده که ویروسهایی چون «فلیم»، «گاس» و «مینی فلیم» را تولید کردهاند.
یکی از گروههایی که در ساخت استاکسنت نقش داشت، احتمالا گروه موسوم به «ایکوئیشن» بوده است. این گروه «ایکوئشن دراگ»، «دابل فانتسی»، «فنی» و «گری فیش» و ویروسهای دیگری را تولید کرده است.
هرچند این دو گروه ممکن است در گذشته با هم همکاری کرده باشند، اما به نظر میرسد که اکنون جدا هستند، چراکه به عنوان نمونه، یکی از قربانیان دوکو 2، همزمان توسط ایکوئیشن هم مورد حمله قرار گرفته، که این نشان میدهد اینها دو گروه جداگانه هستند که برای بدست آوردن اطلاعات از قربانیانشان، با هم رقابت میکنند.
آیا راهی هست که بتوان دریافت چه اطلاعاتی به سرقت رفته است؟
در مورد حمله به لابراتوار کاسپرسکای، مهاجمین به دنبال داراییهای معنوی و فناوریهای مربوطه برای شناسایی و تحلیل تهدیدات سایبری بودهاند. دادههای به سرقت رفته از شرکت به هیچ روی در محصولات تولیدی شرکت نقش بحرانی نداشته است. اینکه چه اطلاعاتی از دیگر قربانیان به سرقت رفته، از سوی مراجع قانونی در حال بررسی است.
آیا ادامه مذاکرات در هتلها و مکانهایی که هدف حمله قرار گرفتهاند، از لحاظ امنیتی مقدور است؟
باید اقدامات احتیاطی در آن هتلها و دیگر مکانها انجام شود، چراکه ممکن است هتلهای دیگر هم وقتی شناسایی شدند، مورد حمله قرار بگیرند.
آیا حمله محدود به کامپیوتها بوده یا گوشیهای همراه مذاکرهکنندها هم ممکن است هدف بوده باشند؟
این تهدید دستگاههایی که سیستم عامل ویندوز شرکت مایکروسافت (32 بیت و 64 بیت) را را نصب کردهاند مورد هدف قرار داده است. هنوز هیچ مورد حمله به گوشی همراه یا دستگاهی مبنتی بر سیتم عامل مک یا یونیکس، مشاهده نکردهایم.
چه شاخصهایی برای حفاظت مذاکرات حساس از اینگونه حملات، میبایست در نظر گرفته شود؟
ما چهار شاخص ساده ولی بسیار موثر زیر را پیشنهاد میکنیم:
اطمینان حاصل کنید که محصولات کاسپراسکای روی تمام کامپیوترهای محل شامل سرویسدهندهها، پراکسیها و هر نوع کامپیوتر دیگر نصب شده باشد.
با بکاربردن بروزآوری ویندوز مایکروسافت، سیستم عامل ویندوز را با آخرین نسخه آن بروز کردهاید. همچنی« اطمینان حاصل کنید که بسته بروزآوری هر سهشنبه از 9 ژوئن 2015 مایکروسافت را نصب کردهاید.
تمام کامپیوترها را به یکباره ریبوت کنید برای اینکار میتوانید قطع برق را شبیهسازی کنید. ریبوت کردن همه سیستمها در یک لحظه واحد از آن جهت مهم است که بدافزار نتواند در یکی از سیستمها جان به در ببرد و بعدا خود را در سایر سیستمها بازنشر کند.
همه گذرواژهها را تغییر دهید.
استراتژیهای عمومی زیر میتواند به کاهش حملات دوکو 2 کمک کند:
بروزآوری و ریبوت کردن همه دستگاهها در شبکه به صورت دورهای (کنترلکنندههای دامین را نیز شامل شود). ریبوت کردن به خارج شدن بدافزار فعال از حافظه سیستمها منجر میشود.
اطمینان حاصل کنید که تمام سرویسدهندهها ویندوز 64 بیتی را اجرا میکنند. این امر مهاجمین را وامیدارد تا از درایورهای امضا شده را برای مکانیزم پایداری بکار بندند.
بصورت دورهای (هر یک تا دو ماه) همه گذرواژهها را تغییر دهید و از کلمات عبور پیچیده و قوی بهره ببرید که بیش از 20 کاراکتر باشند و روش قدیمی هشهای اِل-اِم ویندوز را از کار بیاندازید.
ما برای کاربران پیشرفتهتر، قوانین و ابزاری آماده کردهایم که میتواند آسیب را در بلاکهای برگرفته از حافظه و لیست وقایع ثبت شده سیستم شناسایی کند.
افزون بر این موارد مقالهای در «فهرست امنیتی» منتشر کردهایم با عنوان «چطور 85% حملات هدفمند را با 4 استراتژی ساده ناکام بگذاریم».