کشف بدافزار جاسوسی "اکتبر سرخ"

شرکت روسی امنیت رایانه‌ای کسپرسکی از کشف یک برنامه پیچیده جاسوسی دیجیتال خبر داده است که مدت پنج سال، بدون آنکه شناسایی شود، چند صد سازمان دولتی، مراکز پژوهشی و نمایندگی‌های دیپلماتیک ‌در اروپای شرقی و آسیای میانه را هدف قرار داده و اطلاعات و اسناد بسیار حساس با محتوای محرمانه را سرقت کرده است.

به گفته کارشناسان کسپرسکی، این بدافزار جاسوسی که آن را "روکرا" (مخفف "اکتبر سرخ") نام نهاده‌اند، ساختار بسیار پیچیده‌ای داشته، تا اندازه‌ای که می‌توان آن را با بدافزار "فلیم" مشابه گرفت که در ماه ژوئن ۲۰۱۲ کشف شد. بدافزار فلیم در آن زمان از سوی کارشناسان امنیت رایانه به عنوان پیچیده‌ترین تهدید دیجیتالی لقب گرفت که تا کنون کشف شده است.

در گزارش کسپرسکی آمده است که سیستم عامل‌‌های "روکرا" دستگاه‌های مختلف از جمله رایانه‌ها، گوشی‌های هوشمند آیفون، نوکیا و مبتنی بر ویندوز و نیز سخت‌افزارهای شرکت آمریکایی سیسکو را طی عملیات پنج ساله خود هدف قرار داده‌اند.

به نوشته کسپرسکی قربانیان این حمله بیش از همه رایانه‌ها و شبکه‌های دولتی، ارتش، شرکت‌های هواپیمایی، صنایع نفت و گاز و نیز مراکز دیپلماتیک بوده‌اند.

تحقیقات چندین ماهه کارشناسان این مؤسسه در خصوص شمار سیستم‌های آلوده به این بدافزار پیچیده آمار زیر را به دست داده است:

روسیه (۳۷ مورد)، قزاقستان (۲۱ مورد)، آذربایجان (۱۵ مورد)، بلژیک (۱۵ مورد)، هند (۱۴ مورد)، افغانستان (۱۰ مورد)، ارمنستان (۱۰ مورد)، ترکمنستان (۷ مورد).

نام ایران نیز با داشتن ۷ مورد سیستم آلوده به این بدافزار، در این فهرست آمده است.

در همین حال تحقیقات در مورد گسترش این ویروس نشان داده است که کشورهای اوکراین، آمریکا، ویتنام، روسیه سفید، یونان، ایتالیا، مراکش، پاکستان، سوئیس، اوگاندا و امارات متحده عربی در میان قربانیان این ویروس جای داشته‌اند.

هکرها به دنبال چه بوده‌اند؟

به گزارش کسپرسکی هکرهای پشت پرده عملیات جاسوسی "روکرا" با نفوذ در رایانه‌ها به دنبال اطلاعات حساس در قالب متن، جدول، یافتن کلیدهای رمزگشایی نرم‌افزارهای "گنو پرایوسی گارد" (GNU Privacy Guard) و PGP، از مجموعه نرم‌افزارهای رمزنگاری بوده‌اند.

"روکرا" همچنین ایمیل‌ها و نیز اطلاعات دستگاه‌هایی را که به رایانه متصل می‌شده‌اند‌، کپی‌برداری می‌کرده است.

شرکت کسپرسکی اعلام کرده است که از طریق یکی از شرکای تجاری خود که تقاضای مخفی ماندن نامش را داشته، از این عملیات جاسوسی باخبر شده است. تجزیه و تحلیل آسیب‌های وارده از سوی این تروجان، کارشناسان کسپرسکی را به کشف ردپای دیگر قربانیان این حمله پیچیده سوق داده است.

آلوده کردن سیستم‌ها با روش ابتدایی

در عملیات "روکرا" هکرها برای آلوده کردن سیستم‌ها از روش بسیار ابتدایی استفاده کرده‌اند. به گزارش کسپرسکی آنها ایمیل‌هایی حاوی فایل‌های آلوده اکسل یا Word ارسال کرده‌اند که محتوایشان می‌توانسته برای قربانیان جالب توجه باشد. محتوای یکی از این ایمیل‌ها برای نمونه آگهی فروش یک خودروی دست دوم بوده که به یک دیپلمات تعلق داشته است.

به محض باز کردن این فایل‌ها سیستم آلوده می‌شده است.

متخصصان کسپرسکی توانسته‌اند ۶۰ سرور را بیابند که هکرها در این عملیات از آنها استفاده کرده‌اند. گفته شده است که این سرورها اغلب در روسیه و آلمان قرار داشته‌اند و این شرکت توانسته ۶ نمونه از این سرورها را که سیستم‌های قربانی از آنها دستور دریافت می‌کرده‌اند، شناسایی کند.

متخصصان کسپرسکی در گزارش خود نوشته‌اند که در بدافزارهای طراحی شده می‌توان رد دستکم دو کشور مختلف را یافت. ظاهرا کدهای مخرب که از حفره‌های امنیتی سوءاستفاده می‌کرده‌‌اند، "از سوی هکرهای چینی" طراحی شده‌اند.

به نوشته این گزارش، نظیر این کدهای مخرب در گذشته نیز در حملات سایبری علیه فعالان تبتی و نیز اهدافی در بخش‌های صنعت و انرژی در آسیا استفاده شده است. با این همه نویسندگان گزارش یادآور شده‌اند که این کدهای مخرب را می‌توان از بازارهای سیاه نیز تهیه کرد.

هم‌چنین به گفته آنها، به نظر می‌رسد بخش دیگری از بدافزارها از سوی هکرهای "روسی زبان" طراحی شده باشند زیرا در کدهای برنامه‌نویسی آنها برای نمونه کلمه‌ای روسی به چشم خورده است.