چکیده گاووس یک تهدید سایبری است که در ابتدا برای مانیتور کردن حسابهای بانکی انلاین طراحی شده و همانطور که بیان شد اغلب کاربران مبتلا …
چکیده
گاووس یک تهدید سایبری است که در ابتدا برای مانیتور کردن حسابهای بانکی انلاین طراحی شده و همانطور که بیان شد اغلب کاربران مبتلا شده به این بد افزار در خاور میانه هستند، روش گسترش این بدافزار هنوز مشخص نیست. طبق گفته های متخصصین کسپر اسکای این بدافزار ساختار پیچیده ای دارد که مطمئنا یک دولت – ملت پشتیبانی این ابزار جاسوسی سایبری را بر عهده دارد چراکه شباهتهای زیادی با بد افزار Flame دارد.
طبق انتظار کارشناسان یک بد افزار جدید دیگر به منظور انجام عملیات جاسوسی سایبری توسط تیم تحقیقاتی کسپر اسکی شناسایی شد. بعد از بد افزارهای Dugu , Flame و Madi این ابزار جاسوسی سایبری نیز در منطقه خاورمیانه مشاهده شد و مانند نمونه های مشابه قبلی قادر است داده های حساسی را نظیر اعتبارهای بانکی انلاین و رمز ورود جستجوگر ها و تنظیمات حساس سیستم را شناسایی و سرقت نماید.
نام این بد افزار از نام ریاضی دان آلمانی یوهان کارل فردریچ گاووس گرفته شده و نکته جالب اینست که ظاهرا این بدافزار با Stuxnet لینک شده و متخصصان معتفدند Gauss هم توسط همان کارخانه تولید کننده Stuxnet تولید شده است.Gauss در خلال بازرسی انجمن بین المللی ارتباطات (ITU) به منظور کاهش ریسک های تحمیلی از ناحیه تهدیدات سایبری کشف شد. نگاه به جزئیات ساختار این بد افزار نشان میدهد که ماژولهای بسیاری هستند که با نامهای ریاضی دانان و فلاسفه مشهوری چون کورت گودل، جان کارل فردریچ گاووس و جوزف لوئیس لاگرانژ نام گذاری شده و ماژول مرکزی که فرایند سرقت اطلاعات را انجام میدهد به اسم گاووس نامگذاری شده است.
گاووس به لطف تحقیقاتی که برای شناسایی بدافزار Flame صورت گرفته بود کشف شد، مطابق بازرسی های صورت گرفته گاووس در سپتامبر سال ۲۰۱۱ گسترش یافته و در ماه ژوئن ۲۰۱۲ شناسایی شد و در ماه جولای فرماندهی و کنترل زیرساختها توسط این نرم افزار بسته شده است. نکته جالب در این میان کشف بد افزار Dugu در یک آزمایشگاهCrysys در کشور مجارستان در همین بازه زمانیست. محققان کسپر اسکای می گویند:
دقیقا نمی دانیم که افرادی که بد افزار Durgu را طراحی کردند در آن زمان به سراغ Gauss رفتند یا نه اما تقریبا مطمئن هستیم که آنها با هم در ارتباطند. Gauss ارتباط نزدیکی با Flame دارد، Flame با Stuxnet مرتبط است و Stuxnet نیز رابطه تنگاتنگی با Dugu دارد. بنابر این Gauss هم با Dugu مرتبط است.
کارشناسان شرکت کسپراسکی اطلاعات اشکال زدایی شده در چند نمونه کشفی جزئیاتی را در مسیری که پروژه ها در آن ذخیره میشوند یافته اند که بر این واقعیت دلالت دارد که هدف اصلی حملات کشور لبنان بوده است چراکه اولا نرخ بسیار بالایی از ابتلا به این بد افزار در این کشور مشاهده شده ( بیش از ۱۶۰۰ قربانی) و در ثانی وجود عبارت ” سفید” (White) در کد داده های اشکال زدایی شده است چراکه نام کشور لبنان از ریشه سامی لبن به معنای سفید (احتمالا به دلیل کوههای پوشیده از برف) گرفته شده است.
بسته شدن موقتی فرماندهی و کنترل بد افزار گاووس به این معنی نیست که به طور قطعی این بدافزار از بین رفته بلکه به نظر میرسد به خواب کوتاهی فرو رفته و منتظر است تا سرورش مجددا فعال شود.
گاووس چیست و اهداف اصلی اش کدامست؟
گاووس یک تهدید سایبری است که در ابتدا برای مانیتور کردن حسابهای بانکی انلاین طراحی شده و همانطور که بیان شد اغلب کاربران مبتلا شده به این بد افزار در خاور میانه هستند، روش گسترش این بدافزار هنوز مشخص نیست. طبق گفته های متخصصین کسپر اسکای این بدافزار ساختار پیچیده ای دارد که مطمئنا یک دولت – ملت پشتیبانی این ابزار جاسوسی سایبری را بر عهده دارد چراکه شباهتهای زیادی با بد افزار Flame دارد.
ماژول Winshell در بدافزار Gauss سرقت اعتبارنامه برای ایجاد دسترسی به فرایندهای بانکی آنلاین را انجام میدهد حسابهایی از چندین بانک لبنانی نظیر بانک بیروت، بیبلوس و فرانسابانک از جمله آن حسابهای مبتلا شده هستند. لازم به ذکر است که این نخستین تروجانی است که با پشتیبانی یک دولت – ملت برای فعالیتهای بانکی و عمومی طراحی شده است.
سیستم امنیتی ابر پایه در آزمایشگاههای کسپر اسکای این بدافزار را اواخر مه ۲۰۱۲ کشف کرده اند، بیش از ۲۵۰۰ سیستم آلوده شده نشان از این واقعیت داشت که احتمالا ده ها هزار قربانی در حال الوده شدن هستند که در سطحی پایین تر از انتشار بد افزار Stuxnet اما بیشتر از تعداد حملات در Flame و Duguاست.
Gaussداده های قربانی را با نیت ارسال به تیم حمله کننده جمع اوری می کند این داده های جمع اوری شده میتوانند اطلاعات رابطهای شبکه، مشخصات BIOS و جزئیات درایو رایانه ها باشد. همچنین این بد افزار نیز Stuxnet و Flame با بهره برداری از ضعف (CVE-2012-2568) با سرقت داده ها از طریق اتصال USB موجب آلودگی سیستم قربانی میشود.
در همان زمان فرایند آلوده سازی اتصال USB هوشیارانه تر و موثرتر اتفاق می افتد چراکه Gauss قادر است درایو را در موقعیت های خواص ضد عفونی کند و از رسانه حذف شدنی برای ذخیره اطلاعات جمع اوری شده در یک فایل مخفی استفاده کند. این توانایی در جمع آوری اطلاعات در یک فایل مخفی در درایو های USB بخوبی در بد افزار Flame هم تعبیه شده بود.
کشف بد افزار Gauss این اجازه را به متخصصان میدهد تا باور کنند که در حال حاضر بدافزارهای فراوان دیگری در جاسوسی سایبری وجود دارد که واقعا عملیاتی هستند و بسیاری دیگر در آینده نزدیک توسعه خواهند یافت و این نشانیست از شروع یک جنگ واقعی در سرقت اطلاعات حساس در سکوت و در بازه زمانی بلند. اگرچه هنوز برخی از کارشناسان این شیوه را به عنوان یک سلاح سایبری جنگی نمیشناسند ولی به واقع روز به روز کاربرد این بد افزار ها در عملیات نظامی از قبیل جاسوسی و یا انجام حملات موثر غیر قابل جایگزین با هر متد دیگری میشود. البته بسیاری از کارشناسان منکر توسعه جنبه های ماژولی و کسب ماژولهای تکمیلی میشوند که قادر است در اینده هدایت عملیات جنگی علیه زیرساختهای حیاتی و مراکز اطلاعاتی فوق سری را بدست بگیرند ولی همانطور که توسط تیم کارشناسان شرکت کسپراسکی مطرح شده است: ” تنشهای موجود در خاورمیانه تنها نشانه هایی از شدت این تکنولوژی در جنگهای سایبری و جاسوسی سایبری در حال گسترش است.”
نویسنده: سید امیرحسین علوی فر
منابع:
http://www.kaspersky.com/about/news/virus/2012/Kaspersky_Lab_and_ITU_Discover_Gauss_A_New_Complex_Cyber_Threat_Designed_to_Monitor_Online_Banking_Accounts
http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution
http://www.wired.com/threatlevel/2012/08/gauss-espionage-tool