اتهام جاسوسی از سیستم نام دامنه به ایران

به گزارش کارگروه حملات سایبری سایبربان؛ پژوهشگران واحد تالوس شرکت سیسکو (Talos) به تازگی ادعا کرده‌اند گروه ایل ریگ (OilRig) که مسئول کمپین بدافزار جاسوسی دی.ان.اس (DNSpionage) به حساب می‌آید، یک عملیات پیچیده و هدفمند را آغاز کرده است که قربانیان را با نوع تازه‌ای از بدافزارها مواجه می‌کند. پژوهشگران مدعی هستند این گروه وابسته به دولت ایران است.

بدافزار جاسوسی سایبری معمولاً یک تروجان دسترسی از راه دور (RAT) است که به منظور ارتباط با سرور فرماندهی و کنترل (C&C)، از HTTP و ارتباطات DNS بهره می‌گیرد. هکرها نرم‌افزار مخرب خود را از طریق وبگاه‌ها یا اسناد آلوده منتشر می‌کنند.

در بخشی از گزارش تالوس آمده است:

ما در فوریه 2019، تغییراتی را در فرآیند عملکرد بازیگران بد شناسایی کردیم. این دگرگونی شامل استفاده از یک‌فاز جدید شناسایی و انتخاب اهدافی است که با بدافزار آلوده می‌شوند. همچنین در آپریل همین سال مشخص شد آن‌ها از بدافزار تازه‌ای استفاده می‌کنند. این نرم‌افزار مخرب کارکف (Karkoff) نام دارد.

پژوهشگران ادعا می‌کنند هکرها از کارکف به منظور انتخاب دقیق‌تر هدف و پنهان ماندن از دید نرم‌افزارهای امنیتی بهره می‌گیرند. این بدافزار امکان جمع‌آوری داده‌های سامانه‌های مرتبط با محیط‌های کاری، سیستم‌های عملیاتی، دامنه و فهرست فرآیندهای در حال اجرا توسط ابزارهای قربانی را فراهم می‌آورد.

کارکف در بستر «NET.» توسعه پیدا کرده و به هکرها اجازه می‌دهد، کد دلخواه خود را از راه دور روی هاست‌های آلوده اجرا کنند.

تحلیلگران تالوس پس از مشاهده همپوشانی میان زیرساخت فرماندهی و کنترل DNSpionage و کارکف، 2 حمله یاد شده را به یکدیگر مرتبط دانسته و مدعی شدند که توسط ایل ریگ انجام می‌شود.

بررسی پژوهشگران نشان داد بدافزار مذکور به طور خاص دو آنتی‌ویروس اویرا (Avira) و آواست (Avast) را جستجو می‌کند. اگر هر یک از این 2 روی سامانه قربانی نصب شده باشند، یک فلگ ویژه برای آن در نظر گرفته خواهد شد. در نتیجه این عمل تعدادی از گزینه‌های فایل پیکربندی نادیده گرفته می‌شوند. کارکف یک فایل لاگ را در سیستم آلوده ایجاد می‌کند که همه‌ی فرآیندهای اجرا شده را به ترتیب زمان عملکرد ثبت می‌کند.

محققان مدعی هستند که کمپین‌های DNSpionage روی نهادهایی در منطقه آسیای غربی شامل لبنان و امارت متحده عربی متمرکز هستند.