بدافزار سایبری هوشمند اکتبر سرخ
در طول چند سال گذشته، سطح بالایی از جاسوسی سایبری با هدف قرار دادن شبکه های رایانه ای سازمان های پژوهشی، دیپلماتیک، دولتی و علمی به منظور نفوذ، جمع آوری داده ها و اطلاعات از دستگاه های تلفن همراه، سیستم های رایانه ای و تجهیزات شبکه، به طور گسترده ای در سطح جهان، در جریان بوده است. بدافزار “اکتبر سرخ” یکی از این شبکه های جاسوسی سایبری پیشرفته است که سازمان های دیپلماتیک و دولتی بزرگ را مورد هدف خویش قرار داده است.
محققان آزمایشگاه تحقیقات امنیتی کسپرسکی، چندین ماه را صرف تجزیه و تحلیل این بدافزار که با عنوان “Rocra”، کوتاه شده عبارت اکتبر سرخ، شناخته می شود، کرده و دریافته اند که سازمان های خاصی را به طور عمده در شرق اروپا، کشورهای عضو اتحاد جماهیر شوروی سابق و کشورهای آسیای میانه، همچنین در غرب اروپا و شمال آمریکا هدف قرار داده است.
قربانیان Rocra، در 39 کشور جهان شناسایی شده اند و تلاش ها برای شناسایی سایر قربانیان نیز در حال انجام است:
بدافزار Rocra تاکنون صدها قربانی در 8 گروه اصلی زیر در سراسر جهان داشته است هر چند که ممکن است بخش های دیگری را نیز مورد هدف خویش قرار داده باشد که هنوز کشف نشده اند و یا در گذشته مورد حمله قرار گرفته اند.:
*ارگان های دولتی
* مراکز دیپلماتیک / سفارتخانه ها
* مۆسسه های تحقیقاتی
* مراکز تجاری و بازرگانی
* نیروگاه / تأسیسات هسته ای
* شرکت های نفت و گاز
* مراکز هوا و فضا
* نیروهای نظامی
در شکل زیر، میزان توزیع بدافزار Rocra در هر یک از موارد بالا، نشان داده شده است:
محققان کسپرسکی که موفق به شناسایی این بدافزار شده اند، اعتقاد دارند که مهاجمان حداقل به مدت 5 سال با تمرکز بر روی سازمان های دیپلماتیک و دولتی کشورهای مختلف، مشغول جمع آوری اطلاعات از شبکه های آلوده بوده اند که از این اطلاعات در حملات بعدی خویش استفاده نموده اند. به عنوان مثال، اعتبارهای سرقت شده که در یک لیست، وارد می شدند و هنگامی که مهاجمان نیاز به حدس زدن کلمات عبور و اعتبار شبکه در مکان های دیگر داشته اند از آن ها استفاده می نمودند.
طراحان Rocra برای کنترل شبکه ای از ماشین های آلوده و همچنین کنترل و بازیابی داده های قربانیان، بیش از 60 دامنه اینترنتی و چندین سرور میزبان محلی را در کشورهای مختلف ایجاد کرده اند که بررسی IPها نشان می دهد که سرورهای کنترل و دستور آن به طور عمده در کشورهای روسیه و آلمان واقع شده اند.
این بدافزار هنوز هم با ارسال داده هایی به سرورهای کنترل و دستور متعدد خود از طریق پیکربندی که قبلاً در پیچیدگی های زیرساختی بدافزار شعله مشاهده شده است، در حال فعالیت است و تخمین زده می شود که تاکنون صدها ترابایت اطلاعات را جابجا کرده باشد.
موفقیت حمله Rocra که حتی سازمان های تحقیقاتی و مۆسسه های نظامی را نیز شامل می شود نشانگر ضعف جدی در حفاظت سایبری از زیرساخت های رایانه ای در سراسر دنیا است که در کشور ما نیز تاکنون 7 مرکز مهم آلوده به آن شناسایی شده اند.
سایر نام ها
این بدافزار در شرکت های امنیتی، به نام های زیر شناخته می شود:
Red October [Kaspersky], Backdoor.Rocra [Symantec], Backdoor.Rocra!gen1 [Symantec], Backdoor.Rocra!gen2 [Symantec]
سیستم های آسیب پذیر
Windows 2000, Windows 7, Windows NT, Windows Vista, Windows XP, Windows 95, Windows 98
پراکنش جغرافیایی
بدافزار Rocra که شبکه های دولتی و نهادهای دیپلماتیک را هدف قرار داده است، گزارش هایی از توزیع آن در شرق اروپا، کشورهای عضو اتحاد جماهیر شوروی سابق، کشورهای آسیای میانه، شمال آمریکا و کشورهای اروپای غربی مانند سوئیس و لوکزامبورگ وجود دارد.
گزارش شبکه امنیتی کسپرسکی (KSN) لیستی از کشورهای با بیشترین میزان آلودگی (فقط برای کشورهای با بیش از 5 قربانی) را در جدول زیر نشان می دهد. آمارهای ارایه شده، فقط توسط نرم افزار کسپرسکی که بر روی سیستم های آلوده نصب می باشد گزارش شده و مسلماً تعداد واقعی سیستم های آلوده، بسیار بالاتر از این خواهد بود:
نام کشور | میزان آلودگی |
روسیه | 25 |
قزاقستان | 21 |
آذربایجان | 15 |
بلژیک | 15 |
هند | 14 |
افغانستان | 10 |
ارمنستان | 10 |
ایران | 7 |
ترکمنستان | 7 |
اوکراین | 6 |
ایالات متحده آمریکا | 6 |
ویتنام | 6 |
بلاروس | 5 |
یونان | 5 |
ایتالیا | 5 |
مراکش | 5 |
پاکستان | 5 |
سوئیس | 5 |
اوگاندا | 5 |
امارات متحده عربی | 5 |
در شکل زیر، توزیع این بدافزار، بر روی نقشه جهان همراه با مراکز آلوده شناسایی شده توسط کسپرسکی نشان داده شده است:
تاریخچه کشف
اطلاعات ثبت شده برای خرید نام های دامنه اینترنتی سرورهای کنترل و دستور بدافزار Rocra و مقایسه PE اجرایی جمع آوری شده از آن، نشان می دهد که این بدافزار از مه سال 2007 حداقل برای مدت 5 سال بدون شناسایی شدن، در حال فعالیت بوده است.
نخستین بار، محققان کسپرسکی این بدافزار را در اکتبر سال 2012 توسط درخواست یکی از همکاران خود کشف کردند که ترجیح می دهند این همکار، همچنان ناشناس باقی بماند. آنگاه با تجزیه و تحلیل حمله، فیشینگ و ماژول های بدافزار Rocra، مقیاس آن را درک کرده و تشریح بدافزار شناسایی شده را به طور عمیق آغاز نمودند.
بدافزار Rocra در تاریخ 14 ژانویه 2013 نیز توسط شرکت امنیتی سیمانتک کشف گردیده و مورد تجزیه و تحلیل فنی قرار می گیرد.
نامگذاری
بدافزار Rocra، کوتاه شده عبارت اکتبر سرخ (Red October) می باشد که احتمالاً نامش از زیردریایی به همین نام، در رمان “شکار اکتبر سرخ” که توسط نویسنده ای روسی نوشته شده، برگرفته شده است.
برگرفته از گویا
