• شنبه 26 اسفند 1396
  • دسته‌بندی: ویروس
  • کد خبر: 2703
  • خبرنگار : shahkar0098

شناسایی نمونه‌های جدید جاسوس‌افزار شرکت Hacking Team

شناسایی نمونه‌های جدید جاسوس‌افزار شرکت Hacking Team

ای‌ست هشدار می‌دهد که اخیرا نمونه‌های جدیدی از پرچم‌دار جاسوس‌افزار شرکت Hacking Team به نام سامانه کنترل از راه دور (RCS) ظاهر شده است، که با نسخه‌های مشاهده‌شده‌ی پیشین تفاوت اندکی دارند.

شرکت Hacking Team، یک فروشنده‌ی جاسوس‌افزار است که در سال ۲۰۱۳ میلادی تاسیس شده است، و به عنوان فروشنده‌ی ابزارهای نظارتی به دولت‌های سراسر جهان شناخته شده است. در سال ۲۰۱۵ میلادی، به این شرکت نفوذ شد و در نتیجه‌ی آن ۴۰۰ گیگابایت از داده‌های داخلی این شرکت از جمله فهرست مشتریان، ارتباطات داخلی، و کد منبع جاسوس‌افزار به صورت برخط افشاء شد.

این حادثه نه تنها باعث شد که فعالیت‌های شرکت Hacking Team افشاء شود و این شرکت مجبور شود از مشتریان خود بخواهد که استفاده از RCS را متوقف کنند، بلکه باعث شد که عاملان تهدید مختلف از کد افشاء‌شده استفاده کرده و از آن به عنوان بخشی از عملیات مخرب خود سوء استفاده کنند.

 

به دنبال این افشاء اطلاعاتی، شرکت Hacking Team با آینده‌ای نامعلوم مواجه شد، اما اولین گزارش‌ها درباره‌ی فعالیت دوباره‌ی این شرکت پس از گذشت تنها شش ماه، با ظهور یک جاسوس‌افزار جدید برای مک، منتشر شد. در همین حال، یک شرکت به نام Tablem Limited که در قبرس مستقر است اما به نظر می‌رسد که به عربستان سعودی مرتبط است، در این شرکت سرمایه‌گذاری کرد.

محصول برتر شرکت Hacking Team، سامانه‌ی کنترل از راه دور یا همان RCS، ابزاری است که تمام قابلیت‌های مورد انتظار از یک درب پشتی را فراهم می‌کند: این ابزار قادر است پرونده‌های موجود در یک سامانه‌ی هدف را استخراج کند، رایانامه‌های و پیام‌های فوری را متوقف کند، و از راه دور وب‌کم و میکروفون سامانه‌ی هدف را فعال کند.

ای‌ست می‌گوید: «نمونه‌های جدید RCS که اخیرا شناسایی شده‌اند، بین تاریخ‌های سپتامبر ۲۰۱۵ میلادی و اکتبر ۲۰۱۷ میلادی جمع‌آوری شده‌اند و می‌توانند به یک گروه خاص نسبت داده شوند، و نمی‌توان گفت که توسط چند عامل مخرب مختلف و با بهره‌برداری از کد منبع افشاء‌شده توسعه داده‌ شده‌اند. علاوه‌بر این، این نمونه‌ها توسط یک گواهی دیجیتالی معتبر که پیش از این مشاهده نشده‌ بود، و توسط شرکت Thawte برای یک شرکت به نام Ziber Ltd صادر شده بود، امضاء شده‌اند.»

ای‌ست اظهار کرد: «نسخه‌ی جدید شامل فراداده‌های جعلی درباره‌ی پرونده‌های اعلان است تا خود را به عنوان یک برنامه‌ی قانونی معرفی کند و نویسنده‌ی آن به منظور دور زدن راه‌کارهای حفاظتی از مبهم‌ساز تجاری VMProtect استفاده می‌کند؛ این ویژگی بین جاسوس‌افزار افشاء‌شده‌ی قبلی Hacking Team و این نمونه‌ی جدید مشترک است.»

آن‌چه که نشان می‌دهد که این نمونه‌ها توسط خود توسعه‌دهندگان شرکت Hacking Team ساخته شده است، نسخه‌بندی نمونه‌های جدید است چرا که از آخرین شماره‌ی منتشر شده‌ توسط این شرکت قبل از نفوذ، شروع می‌شود و یک الگوی مشابه پیروی می‌کند. ای‌ست همچنین متوجه شد تغییرات معرفی‌شده در به‌روزرسانی‌های پس از افشاء با سبک کدنویسی شرکت Hacking Team هم‌خوانی دارد و ارتباط عمیق بین این دو را نشان می‌دهد.

 

این شرکت امنیتی می‌گوید: «احتمال بسیار کمی دارد که برخی از عاملان مخرب دیگر، یعنی به غیر از توسعه‌دهنده(های) شرکت Hacking Team، که در زمان ایجاد نسخه‌های جدید تغییراتی را دقیقا در این قسمت‌ها در کد منبع افشاء‌شده‌ی Hacking Team اعمال کنند.»

پژوهش‌گران همچنین تفاوت کوچکی بین اندازه‌ی پرونده‌های نصب کشف کردند. در نسخه‌های پیش از افشاء، اندازه‌ی عملیات رونوشت پرونده ۴ مگابایت بود، در حالی که در نسخه‌های پس از افشاء اندازه‌ی آن به ۶ مگابایت رسیده است.

قابلیت‌های جاسوس‌افزار مانند قبل باقی مانده‌اند، و هیچ به‌روزرسانی قابل‌‌‌‌‌‌توجهی تا به امروز منتشر نشده است، اگرچه این شرکت پس از افشاء گفت که یک محصول جدید منتشر خواهد کرد. در دو مورد مختلف، بردار توزیع مشاهده‌شده یک پرونده‌ی قابل‌ اجرا بود که مانند یک سند PDF طراحی شده و از طریق یک رایانامه‌ی فیشینگ هدف‌دار به قربانی ارسال شده است.

ای‌ست می‌گوید: «تحقیق ما به ما اجازه می‌دهد که با اعتماد به نفس بالا ادعا کنیم که، با یک استثناء، نمونه‌های پس از افشاء که ما مورد تجزیه و تحلیل قرار دادیم، در واقع توسط توسعه‌دهندگان شرکت Hacking Team توسعه یافته‌اند، و در نتیجه‌ی سوء استفاده‌ی عاملان مخرب دیگر از کد منبع افشاءشده ایجاد نشده‌اند.»

این شرکت امنیتی ادعا می‌کند که در حال حاضر نمونه‌های جاسوس‌‌افزار جدید شرکت Hacking Team در ۱۴ کشور کشف شده‌اند، اما نام این کشورها را افشاء نکرد.

  • در زمینه انتشار نظرات مخاطبان رعایت چند مورد ضروری است:
  • -لطفا نظرات خود را با حروف فارسی تایپ کنید.
  • -«ایسنا» مجاز به ویرایش ادبی نظرات مخاطبان است.
  • - ایسنا از انتشار نظراتی که حاوی مطالب کذب، توهین یا بی‌احترامی به اشخاص، قومیت‌ها، عقاید دیگران، موارد مغایر با قوانین کشور و آموزه‌های دین مبین اسلام باشد معذور است.
  • - نظرات پس از تأیید مدیر بخش مربوطه منتشر می‌شود.

نظرات

شما در حال پاسخ به نظر «» هستید.