نبرد ویروسهای جاسوسی همچنان ادامه دارد
بدافزار «Madi» هم پا به عرصه حملات سایبری گذاشت
وزير ارتباطات و فناوري اطلاعات درباره بدافزار جديدي هشدار داد و خطاب به كاربران گفت: از باز كردن ايميل ها و فايل هايي كه از طريق كاربران ناشناخته براي آنها ارسال مي شود، خودداري كنند.
فناوران- رضا تقيپور وزیر ارتباطات در ارتباط با بدافزاري كه از سوي آزمایشگاه كسپرسكی به نام «Madi» نامگذاری شده، گفت: ما روزبهروز شاهديم كه حجم بيشتري از اطلاعات دستگاههاي اجرايي و مردم در شبكه قرار داده ميشود و اين اطلاعات هرروز زيادتر ميشود و به طبع آن طمع دشمنان نيز نسبت به اين اطلاعات و محتواي ارزشمند، زيادتر ميشود.
وي با اشاره به فعال شدن ويروسها و بدافزارهاي مختلف براي اهداف مختلف در شبكه گفت: برخي از آنها به منظور جمعآوري اطلاعات و تخريب اطلاعات و در مجموع ايجاد نارضايتي فعاليت ميكنند و در واقع با توجه به اين موضوع از فضاي فناوريهاي اطلاعات استقبال ميشود، آنها ميخواهند مشكلاتي را در اين راستا ايجاد كنند و در واقع جلوي پيشرفت كار در اين زمينه را بگيرند.
وزير ارتباطات ادامه داد: مشكل اخير نيز يكي از اين موارد است و آنها براساس روانشناسي اجتماعي كه انجام دادهاند، بدافزاري را ايجاد كردند و در قالب پاورپوينت و فايل ارسال ميشود؛ ما از مردم ميخواهيم كه فايلها و ايميلهايي را كه از طريق كاربران ناشناخته براي آنها ارسال ميشود، باز نكنند.
تقيپور با بيان اينكه كار در راستاي مقابله با اين بدافزار آغاز شده است و اين بدافزار به بانك ضد بدافزارها اضافه شده است، گفت: اطلاعات لازم در مورد اين بدافزار و نحوه مقابله با آن در سايت ماهر كه در واقع مركز امداد هماهنگ رايانهای است و يكي از مراكز زيرمجموعه فناوري اطلاعات است و يكي از مراكزي است كه 24 ساعته تهديدات را رصد و مثل يك قرارگاه عملياتي عمل ميكند، گذاشته شده است.
به گفته وی در واقع اين مركز به دستگاهها و كاربران اطلاعات لازم را در مورد نحوه مقابله با اين بدافزار ارایه داده است و به تمام دستگاههايي كه در شبكه آن هستند، آماده باش داده و نحوه مقابله با اين ويروس را براي آنها ارسال كرده است.
وي با بيان اينكه حجم اين ويروسها روز به روز در حال زيادتر شدن هستند و از روشهاي كيفي و پيچيدهتري استفاده ميكنند، گفت: در مورد اخير نيز مشاهده ميكنيم كه از روش مهندسي نيز استفاده كردهاند.
وزير ارتباطات گفت: اين ويروس كل اطلاعات سيستم را كه مورد حمله قرار ميدهد، به جاهايي كه هدفگذاري شده، به عنوان يك جاسوس ارسال ميكند، پسوردهاي سيستمها را ضبط و براي آن مراكز ارسال ميكند. اين بدافزار، ميكروفن سيستمها را فعال ميكند و فايل صوتي را به جاهاي مختلف كه هدفگذاري شده براي اهداف مدنظر ارسال كند.
وي با بيان اينكه مردم نبايد فايلهاي ناشناخته را بازكنند و قبل از باز كردن آن با آنتي ويروس و با استفاده از نرمافزارهاي بومي در اين ارتباط آن را بررسي كنند، ادامه داد: اين بدافزارها عمدتا براي جاسوسي و تخريب هستند.
ادعاي رويترز درباره حمله سايبري جديد به ايران
دو شركت سازنده نرمافزارهاي امنيتي مدعي حمله ويروس جديدي كه به زبان فارسي برنامهنويسي شده است، به كامپيوترهاي پنج كشور خاورميانه از جمله ايران شدند.
براساس این گزارش، خبرگزاری رويترز از بوستون گزارش داد: كارشناسان امنيتي از يک حمله جاسوسی سايبري خبر دادند که ايران و ديگر کشورهای خاورميانه را هدف گرفته است. اين حمله بنا به گفته كارشناسان نخستين عملياتي است كه در آن از ابزارهاي ارتباطي استفاده شده است كه برنامه آنها به فارسي نوشته شدهاند.
اين کارشناسان میگويند، حملات جاسوسی اينترنتی همچنان ادامه دارد و در همین زمینه ويروس جاسوسی اينترنتی جدیدی از نوع «تروجان» کشف شده که در آن برای نخستین بار از ابزار ارتباطی نوشته شده به زبان فارسی استفاده شده است.
شرکت امنيتی صهيونيستي «سکيولرت» و شرکت روسی «کاسپرسکی»، روز سه شنبه گفتند که تاکنون بيش از ۸۰۰ مورد قربانی اين ويروس را شناسايي كردهاند. هدفهای اين ويروس شامل شرکتهای زيربنايی حساس، كامپيوترهاي دانشجويان مهندسی، شركتهاي خدمات مالی و سفارتخانههای دولتها در پنج کشور خاورميانه بوده و بيشترين آلودگی اين ويروس در ايران رخ داده است.
سكيولرت و كاسپرسكي از مشخص كردن هدفهاي خاص اين حمله که معتقدند دست كم از هشت ماه قبل فعال شده است، خودداري كردند. آنها گفتند که نمیدانند چه کسانی پشت اين حملات قرار دارد و سازنده اين ويروس دولت خاصي است يا نه.
آويو راف، مدير بخش تکنولوژی شرکت سکيولرت گفت: مطمئنا يک شخص که به زبان فارسی مسلط است در اين كار دست داشته است، اما اينکه تيم نويسندگان اين ويروس چه مليتی دارند، معلوم نيست.
سكيولرت و كاسپرسكي گفتهاند که اين ويروس به مهاجمان اجازه میدهد که فايلهای کامپيوتر آلوده شده را سرقت و بر ايميلها و پيامهای کوتاه اينترنتي نظارت کنند. اين ويروس همچنين میتواند صداها، کليدهای فشار داده شده در صفحه کليد کامپيوتر را ثبت کند و از فعاليتهايی که در صفحه مانيتور کامپيوتر نشان داده میشود، عکسبرداری کند.
اين شرکتها اعلام كردهاند که معتقدند اين ويروسها چندين گيگابايت اطلاعات کامپيوترهای مورد هدف قرار گرفته را به خارج ارسال كردهاند.
راف گفت: برخي در حال تلاش برای ايجاد پروندهای بزرگ از برخی چيزها هستند، اما نمیدانيم که آنها نهايتا دنبال انجام چه کاری هستند.
ویروس جاسوسی «مدی» ایرانی است یا اسراییلی؟
براساس این گزارش، آزمایشگاه کسپرسی در گزارشی اعلام کرده است، این ویروس جاسوسی که در آن از کدهایی فارسی استفاده شده است، هم سیستمهای ایران را آلوده کرده است و همه سیستمهای اسراییل را. در عین حال احتمال دارد که یا ایران و یا اسراییل این ویروس را ساخته باشند.
ویروسی جاسوسی به نام «مدی»، تاکنون 800 کامپیوتر ر ا در ایران و کشورهای دیگر آلوده کرده است. لابراتوار «کاسپرسکی» در روسیه و «سکیولرت» در اسراییل این ویروس جاسوسی را شناسایی و معرفی کردهاند.
این ویروس زمانی که فایلها را آلوده میکند، نام «مدی» مشخص میشود. کارشناسان میگویند که این ویروس جاسوسی چندان پیچیده نیست و از طریق یک سرور کنترل و پخش میشود و میتواند فایلهای مکتوب و صوتی را به سمت سرور خود هدایت کند. تاکنون 378 کامپیوتر در ایران و 54 کامپیوتر در اسراییل به این ویروس جاسوسی آلوده
شدهاند.
کارشناسان میگویند، نخستین نشانههای این ویروس از طریق یک ایمیل منتقل شده است. ویروسی که به همراه یک «فایل ورد»، انتقال داده شده است.
این فایل ورد، مقالهای از سایت دیلی بست درباره حمله نرمافزاری اسراییل به تاسیسات و زیرساختهای ایران بوده است. ویروس مدی حداقل با چهار سرور در ارتباط بوده است که یکی از آنان در تهران و سه سرور دیگر در کانادا بودهاند.
شرکت اسراییلی «سکیورلت» بلافاصله به دلیل تشابه این ویروس جدید با ویروس فلیم یا همان شعله بلافاصله با کارشناسان کاسپرسکی تماس میگیرند، اما متوجه میشوند که ارتباطی بین این دو ویروس وجود ندارد ولی عملکرد بسیار مشابهای دارند.
در زمانی که ویروس جاسوسی «فلیم» منتشر شد، یکی از کارشناسان دولتی آمریکا به واشنگتن پست گفت که این ویروس محصول مشترک آمریکا و اسراییل بوده است.
اما ویروس جدید مدی، در ارتباط با سرور خود کدهایی به زبان فارسی دارد، علاوه بر این در تنظیم و طراحی آن، کدهایی دارد که مطابق تاریخ در تقویمهای ایرانی است.
نفوذ این ویروس در ایران و اسراییل این احتمال را به ذهن متبادر میکند که این ویروس با توجه به کدهای فارسی، ساخت ایران باشد. علاوه بر این نفوذ آن در سیستمهای ایران احتمالا حاکی از این است که این ویروس برای خرابکاری در داخل ایران ساخته شده و بعدا برای مصرف بیرون هم استفاده شده است.
یک احتمال هم این است که اسراییل به علایم و کدهایی فارسی این ویروس را برنامهریزی کرده باشند.
ناگفتههايي درباره ويروس رايانهاي جديد «Madi»
اهم فعالیتهای این بدافزار به شرح ذیل است: ثبت اطلاعات صفحه كلید، عكس گرفتن از صفحه مانیتور در فواصل مشخص، عكس گرفتن در صورت استفاده از ابزارهای ارتباطی از قبیل facebook، skype و یا Gmail، ایجاد درهای پشتی برای نفوذ و دسترسی مهاجم، ضبط، ذخیره و ارسال فایلهای صوتی.
بر اساس اعلام مركز مديريت امداد و هماهنگي عمليات رخدادهاي رايانهای، این تروجان توسط آزمایشگاه كسپرسكی به نام «Madi» نامگذاری شده به این دلیل كه این بدافزار فایلی برروی سیستم قربانی ایجاد میكند. همچنین ادعا شده كه در كد این برنامه عبارات فارسی و نیز تاریخهایی با فرمت تقویم ایرانی مشاهده شده است.
بررسیهای صورت گرفته بر روی نمونه بدافزار توسط مركز ماهر نتایج ذیل را بدست میدهد: منبع اولیه شناسایی و اعلام این بدافزار شركتی با عنوان seculert است كه یك شركت امنیت فناوری اطلاعات رژيم صهيونيستي است.
همچنين بررسیهای به عمل آمده بر روی نمونههای بدافزار نشان میدهد كه این یك بدافزار ساده و كم هزینه است. همچنین در این بدافزار از هیچ آسیبپذیری خاصی برای انتشار و
آسیب رسانی به سیستمها استفاده نشده است. لذا بر خلاف ادعاهای صورت گرفته مبنی بر مقایسه این بدافزار با تهدیداتی نظیر flame و در نظر گرفتن آن به عنوان یك تهدید هدفمند سایبری دور از ذهن به نظر میرسد.
با یك جستوجوی ساده در اینترنت به راحتی میتوان فهمید كه این بدافزار از مدتها پیش شناسایی شده است. شركت ضدبدافزار Sophos حدود پنج ماه پیش (28 بهمن 1390) طی گزارشی به تشریح عملكرد این بدافزار پرداخته است.