کسپراسکی شرکت روسی فعال در زمینه‌ آنتی‌ویروس و حملات سایبری روز دوشنبه یک برنامه جاسوسی سطح بالای سایبری را کشف کرده که طی چند سال اخیر برای کشورهای ایران و روسیه در جریان بوده است، بر اساس گزارشات، گروهی به نام Equation از سال ۲۰۰۸ با ابزاری هایی شبیه NSA جاسوسی‌های زیادی را به روش آلوده‌سازی سخت‌افزاری انجام داده‌اند که به راحتی قابل تشخیص و پاکسازی نیست.

کسپراسکی مسئولیت ایجاد این بدافزار را به گروه Equation منسوب کرده که ارتباط نزدیکی با آژانس امنیت ملی آمریکا (NSA) دارد. ابزارها، اکسپلویت ها و بد افزارهایی که این گروه استفاده می کند (بعد از میل شدید خود را برای رمزگذاری نام) شباهت بسیاری با تکنیک های NSA که در اسناد فوق سری منتشر شده در 2013 بود دارد.

Equation از سال ۱۹۹۶ فعالیت خود را آغاز کرد و از سال ۲۰۰۸ فعالیت خود را افزایش داد. در این راستا نیز ابزارهای جاسوسی فوق‌العاده‌ای را تولید کرده که کسپراسکی این ابزارها را با نام‌های Equationdrug، Doublefantasy، Triplefantasy، Grayfish، Fanny و Equationlaser شناسایی کرده است. این ابزارها توانایی این را دارند که سیستم‌های ویندوزی دارای فلش مموری‌ها و حتی فریم‌ورها را آلوده کنند.

چگونگی آلودگی

در عملیات اخیر توسط ابزارهای Equationdrug و Grayfish که Equation از آن‌ها برای بازنویسی دیسک‌های سخت تولیدی کمپانی‌های مکستر، سیگیت، وسترن دیجیتال و سامسونگ استفاده می‌کرد ابزارهای جاسوسی بر روی این هارد دیسک ها نصب کرده است. طبق گزارش کسپراسکی، کامپیوترهای بیش از 30 کشور دنیا در این عملیات مورد حمله قرار گرفتند ایران، روسیه، پاکستان، افغانستان، هند و چین و حتی فرانسه و سوئیس و بریتانیا بودند. سازمان هایی که در این کشورها دنبال شده بود نظامی، مخابراتی، دولتی، سفارت ها و مراکز تحقیقاتی اند.

مهمترین یافته کسپراسکی در توانایی Equation قابلیت آلوده کردن فریم ور یک هارد دیسک یا یک کد سطح پایین است که مابین نرم افزار و سخت افزار کار می کند. این بدافزار فریم ور هارد دیسک را دوباره بازنویسی می کند و سکتورهای مخفی ای را ایجاد می کند که دسترسی به آنها تنها از طریق یک رابط کاربری مخفی امکان پذیر است. بعد از نصب آن این بدافزار حذف آن تقریباً غیر ممکن است، با فرمت کردن هارد یا نصب دوباره سیستم عامل بازهم سکتورهای مخفی باقی خواهند ماند.

کاستین راجو، میر تحقیقات و آنالیز جهانی کسپراسکی می گوید:

به صورت تئوری، ما از امکان پذیر بودن آن آگاهی داشتیم، اما آنچه که می دانم این است که تنها موردی است که دیده شده مهاجم چنین قابلیت فوق العاده پیشرفته ای داشته باشد.

equation-1-100568507
نقشه آلودگی کشورها

این هارد دیسک ها که توسط شرکت هایی نظیر سی‌گیت، وسترن دیجیتال، هیتاچی، سامسونگ و توشیبا ساخته شده اند و با استفاده از ابزارهای Equationdrug و Grayfish اقدام به آلوده کردن آنها کرده اند و به نظر می رسد دانش این گروه بسیار بیشتر از اسناد عمومی است که توسط سازندگان ارائه می شود، آنها در مورد دستورات یکتای ATA که توسط سازنندگان برای فرمت محصولات بکار می رفته هم می دانند. اغلب دستورات ATA عمومی اند چرا که به صورت یک استاندارد ارائه شده تا هارد دیسک ها با همه دستگاه ها سازگار باشد. اما این دستورات عمومی نبوده و فقط توسط سازندگان برای کاربردهای خاص نظیر رفع خطا، حافظه داخلی و … استفاده می شد.به نظر می رسد که این گروه بسیار جلوتر از سازمان های امنیتی عمل می کنند. تقریباً شناسایی دستکاری آنها غیرممکن است چرا که آنها هارد دیسک ها را به طور کامل فلش کردند و یا جایگزینی فریم ور خود از خطا و شکست محفوظ است چرا که برخی از ماژول ها در بعضی از فریم ورها ماندگارند و امکان فرمت کردن آنها وجود ندارد و با توجه به ارزش بالای این حفره امنیتی، Equation کاملاً دلخواه در هدف های خودش مستقر شده است.

بد افزار Fanny

Fannyکشف دیگر کسپراسکی Fanny بود، کرمی که در سال 2008 ساخته شده بود و کشورهای خاورمیانه و آسیایی را هدف قرار داده بود.

برای اینکه کامپیوترها را آلوده کند از حفره روز صفر استفاده شده بود (اصطلاحی برای یک حمله نرم افزاری با استفاده از آسیب پذیری نرم افزار ناشناخته) که بعدها نیز استاکس نت از همان حفره برای حمله استفاده کرد. یک کرم ویندوزی که برای خرابکاری در عملیات غنی سازی اورانیوم ایران استفاده شد و تصور می‌شود که این یک پروژه مشترک بین آمریکا و اسرائیل بود.

استفاده از حفره روز صفر برای هر دو نمی تواند یک تصادف باشد، کسپراسکی می گوید که استفاده مشابه از آسیب پذیری بدان معنی است که گروه Equation و توسعه دهندگان استاکس نت یکسانند با یکدیگر کار می کنند.

استاکس نت و فنی، طراحی شده بودند برای نفوذ به شبکه های امن داخلی یا سیستم هایی که از اینترنت ایزوله بودند. در واقع آنها برای اهداف سازمانی طراحی شده بودند چرا که دسترسی به اینترنت در سازمان هایی نظیر انرژی اتمی محدود یا مسدود است اما Fanny با خود انتشاری رو وسایل قابل حمل نظیر فلش مموری خود را از طریق باقی کامپیوترهای خارج از هدف به اینترنت می رساند تا اطلاعات جمع آوری شده را ارسال کند.

مرد میانی

Equation همچنین تکنیک های «ممانعتی» (interdiction) را بکار بردند که شبیه استفاده NSA در رساندن نرم افزارهای آلوده به اهدافش بود.

کسپراسکی توضیح داد که چگونه برخی از شرکت کنندگان یک کنفرانس علمی در هوستون بعد از برگزاری یک CD حاوی محتوای کنفرانس را دریافت کردند. CD شامل دو حفره امنیتی روز صفر و روز صفر و یک بد افزار به ندرت دیده شده به نام مستعار Doublefantasy بود. این مسئله که چگونه CD ها دستکاری یا جایگزین شده بود نامشخص ماند. و کسپراسکی می گوید ما اعتقادی نداریم که برگزارکنندگان کنفرانس چنین هدفی داشتند اما اضافه کردن بدافزار بر روی CD نمی تواند اتفاقی باشد.

در دی ماه 92 در خلال مدارک فوق سری منتشر شده توسط ادوارد اسنودن که در اشپیگل نوشته شده بود گفته شد که دفتر عملیات دسترسی NSA معروف به TAO در متوقف کردن تحویل تجهیزات کامپیوتری جدید که یکی از روش های موفق ترین ضربه زدن به کامپیوتر است تخصص دارد.

5486tyguhef

جالب است بدانید ابزارهایی که این گروه استفاده می کند:

    EquationDrug: پلتفرم حمله بسیار پیچیده که برای حمله به قربانیان مورد استفاده قرار می‌گیرد. این پتلفرم از یک مکانیزم Plugin استفاده می‌کند که می‌تواند به صورت پویا بارگذاری و باربرداری گردد.
    DoubleFantasy: یک تروجان تایید کننده. این مولفه وظیفه دارد که تشخیص دهد آیا سیستم آلوده شده همان هدف از پیش مشخص شده است یا خیر. اگر تایید با موفقیت انجام گیرد، سیستم قربانی به یک پلتفرم قوی‌تر مانند EquationDrug یا GrayFish به روز رسانی می‌شود.
    Equestre: مانند EquationDrugTripleFantasy: Backdoor با قابلیت‌های بسیار که همراه با Grayfish مورد استفاده قرار می‌گیرد. احتمالاً یک نسخه به روز رسانی شده از DoubleFantasy است.
    GrayFish: پیچیده‌ترین پتلفرم حمله مورد استفاده توسط گروه Equation. تمامی مولفه‌های این پلتفرم در رجیستری قرار دارند و از یک Bootkit برای اجرا در حین بوت سیستم عامل استفاده می‌کند.
    Fanny: کرم تولید شده در سال ۲۰۰۸ که برای جمع‌آوری اطلاعات از اهدافی در خاورمیانه و آسیا مورد استفاده قرار گرفته است. سیستم‌های آلوده شده به این بدافزار بعداً با DoubleFantasy و EquationDrug به روز رسانی شده‌اند. این بدافزار از آسیب‌پذیری‌هایی استفاده می‌کند که بعداً در سال ۲۰۱۰ توسط استاکس‌نت مورد استفاده قرار گرفت.
    EuqationLaser: یک تروجان اولیه از گروه Equation که در بین سال‌های ۲۰۰۱ تا ۲۰۰۴ مورد استفاده قرار می‌گرفته است. با ویندوزهای ۹۵ و ۹۸ سازگار است

Equation به بیش از 300 دامنه متصل است که قدیمی ترین آن در 1996 ثبت شده و بعضی از آنها منقضی شده و کسپراسکی حدود 20 دامنه از آنها را ثبت کرده است. بسیاری از این دامنه ها در حاضر دیگر استفاده نمی شود اما سه تا از آنها همچنان فعالند و ما نمی دانیم کدام بدافزار از آنها استفاده می کنند اما در کل فعالیت های آن، سرنخ زیادی را ارائه نمی کند چرا که این گروه تاکتیک های خود را در اواخر سال 2013 عوض کرد.

3 thoughts on “جاسوس افزارها در هارد دیسک های وارد شده به ایران

  1. احمد گفت:

    مطلب جالبی بود.
    ضمنا فیرمویر(firmware) درست است نه فریمور(frameware).
    متشکر

  2. خدایار گفت:

    لی خدا نعلت کنه این گروه Equation را
    پس بگو چرا هر کاری می کنم هاردم فرمت نمیشه
    از همون اول می دونستم ویروس واردش کردند
    مگه اینکه دستم بهشون نرسه

    1. محمد گفت:

      حالا شما تند نرو اخوی. هارد خیلی هم خوب فرمت می شود، اما ویروس از بین نمی رود. دلیل فرمت نشدن هارد ویروس نیست. وانگهی چه گتری به کامپیوتر من شما دارند؟!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *