آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

شناسایی حمله‌ی سایبری Duqu

عنوانشناسایی حمله‌ی سایبری Duqu
گروه اصلیOther
شرح خبر

روز چهارشنبه، شرکت امنیتی روسی Kaspersky میزبان یک کنفرانس مطبوعاتی بود که در آن امریکا به راه‌اندازی حمله‌ی سایبری موفق با استفاده از صلاح سایبری پیشرفته با عنوان Duqu 2.0 متهم شد.

باید اذعان داشت که در این کنفرانس نام امریکا به صراحت بیان نشده است، بلکه تنها اشاره شده است که بر این باور هستند که این حملات توسط کشوری هدایت شده که از APT یکسان استفاده می‌کند و بدین طریق قصد دارد تا بر روی گفتگوهای اخیر هسته‌ای با ایران نظارت کند.

Duqu 1.0 نام کرمی است که در سال 2011 برای اولین بار کشف شد و بعدها نه از لحاظ دسته‌بندی بلکه از لحاظ فارنسیکی به حملات Stuxnet مرتبط شد. اگر آزمایشگاه Kaspersky اطمینان حاصل کند که در حملات اخیر از نسخه‌ای از Duqu استفاده شده است، مشخص خواهد شد که این حملات توسط امریکا و اسرائیل صورت گرفته است.

در این حمله‌ی پیچیده و سطح بالا، از سه آسیب‌پذیری اصلاح نشده استفاده شده است. برای پنهان ماندن این حمله، بدافزار تنها در حافظه‌ی kernel مقیم شده است؛ در نتیجه راه حل‌های ضدبدافزاری قادر به تشخیص آن نیستند.

این بدافزار برای گرفتن دستورات مستقیما به یک سرور C&C متصل نشده است، بلکه مهاجم فایروال‌ها و دروازه‌های ورودی شبکه را با نصب درایوهای مخرب آلوده کرده و در نتیجه تمامی ترافیک شبکه‌ی خارجی به سرورهای C&C مهاجم از طریق پروکسی منتقل شده است. به نظر می‌رسد که بدافزار Duqu سال 2011 با Duqu سال 2015 در ارتباط است، زیرا هر دو حاوی کدهای مشترک زیادی هستند.

شرکت Symantec اعلام کرد که Duqu نسخه‌ی 2.0 یک ابزار سرقت اطلاعات با ویژگی‌های کامل است که برای استفاده در درازمدت طراحی شده است. به احتمال زیاد، سازندگان این بدافزار از آن به عنوان یکی از ابزارهای اصلی خود در کمپین‌های هوشمند جمع‌آوری اطلاعات استفاده می‌کنند.

آدرس اینترنتی خبرhttp://certcc.ir/index.php?module=cdk&func=loadmodule&system=cdk&sismodule=user/content_view.php&cnt_id=242924&ctp_id=19&id=3956&sisOp=view
تاریخ درج خبر1394-03-24
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2017 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست