شناسایی حمله سایبری ‘Duqu’
بازگشت کرمی که در سال 2011 برای اولین بار کشف شد;
شرکت سایمانتک اعلام کرد که Duqu نسخه 2.0 یک ابزار سرقت اطلاعات با ویژگی های کامل است که برای استفاده در دراز مدت طراحی شده است.
به گزارش پایگاه خبری بانکداری الکترونیک روز چهارشنبه، شرکت امنیتی روسی کسپراسکی میزبان یک کنفرانس مطبوعاتی بود که در آن امریکا به راه اندازی حمله سایبری موفق با استفاده از صلاح سایبری پیشرفته با عنوان ‘Duqu 2.0’ متهم شد.
باید اذعان داشت که در این کنفرانس نام امریکا به صراحت بیان نشده است بلکه تنها اشاره شده است که بر این باور هستند که این حملات توسط کشوری هدایت شده که از APT یکسان استفاده می کند و بدین طریق قصد دارد تا بر روی گفتگوهای اخیر هسته ای با ایران نظارت کند.
Duqu 1.0 نام کرمی است که در سال 2011 برای اولین بار کشف شد و بعدها نه از لحاظ دسته بندی بلکه از لحاظ فارنسیکی به حملات استاکس نت مرتبط شد. اگر آزمایشگاه کسپراسکی اطمینان حاصل کند که در حملات اخیر از نسخه ای از Duqu استفاده شده است مشخص خواهد شد که این حملات توسط امریکا و اسرائیل صورت گرفته است.
در این حمله پیچیده سطح بالا از سه آسیب پذیری اصلاح نشده استفاده شده است. برای پنهان ماندن این حمله، بدافزار تنها در حافظه kernel مقیم شده است در نتیجه راه حل های ضد بدافزاری قادر به تشخیص آن نیستند.
این بدافزار برای گرفتن دستورات مستقیما به یک سرور C&C متصل نشده است بلکه مهاجم فایروال ها و دروازه های ورودی شبکه را با نصب درایوهای مخرب آلوده کرده و در نتیجه تمامی ترافیک شبکه خارجی به سرورهای C&C مهاجم از طریق پروکسی منتقل شده است.
به نظر می رسد که بدافزار Duqu سال 2011 با Duqu سال 2015 در ارتباط است زیرا هر دو حاوی کدهای مشترک زیادی هستند.
شرکت سایمانتک اعلام کرد که Duqu نسخه 2.0 یک ابزار سرقت اطلاعات با ویژگی های کامل است که برای استفاده در دراز مدت طراحی شده است. به احتمال زیاد سازندگان این بدافزار از آن به عنوان یکی از ابزارهای اصلی خود در کمپین های هوشمند جمع آوری اطلاعات استفاده می کنند.
منبع:مرکز ماهر