بدافزار Mask، تهدید پیشرفته سایبری برای ۳۱ کشور جهان

محققان امنیتی شرکت کسپرسکی اعلام داشتند که بدافزار پیشرفته ای با نام Mask در عملیات جاسوسی سایبری از سال 2007 تا به الان در کشورهای گوناگونی از جمله ایران فعال بوده و سیستم‌های حساس نهاد‌های دولتی، دفاتر دیپلماتیک و سفارتخانه‌ها را نیز آلوده کرده است.

 پس از کشف استاکس‌نت، زنجیره‌ی اکتشافات تهدیدات پیش‌رفته‌ مستمر موسوم به APT ، ادامه پیدا کرد. در سال ۲۰۱۲، بدافزار Flame، یک تهدید پیش‌رفته‌ مستمر با هدف جاسوسی در خاورمیانه کشف شد که البته شواهدی از وجود ارتباط این بدافزار با تروجان استاکس‌نت وجود داشت. بدافزار‌ی که با وجود این‌که ثابت شد کشورهای آمریکا و رژیم صهیونیستی آن‌ را با هدف تخریب تجهیزات هسته‌ای نظنز، توسعه داده بودند.

اما این‌طور که پیداست این زنجیره هم‌چنان ادامه داشت و در اوایل سال۲۰۱۳، بدافزار دیگری با نام Red Octocer کشف شد که با هدف جاسوسی از مراکز دیپلماتیک، طراحی شده بود و سپس در ژوئن سال ۲۰۱۳ بدافزار NetTraveler و در نهایت در سپتامبر همین سال، کمپین جاسوسی Kimsuky کشف شد.

همان‌طور که در اخبار قبلی نیز منتشر شد، این تهدیدات پیش‌رفته‌ مستمر، هر کدام به یک زبان یکتا توسعه داده شده بودند که نشان‌دهنده‌ سرنخی از تیم‌های توسعه‌دهنده‌ این بدافزار‌ها داشت.

آزمایشگاه شرکت امنیتی کسپرسکی به تازگی گزارش داده که یک کمپین بدافزاری دیگری با نام Mask، دست ‌کم به مدت هفت سال از سال ۲۰۰۷ میلادی فعال بوده و سیستم‌های حساس دولتی از ۲۷ کشور جهان را مورد حمله قرار داده است.

این بدافزار بسیار پیش‌رفته از کدهای سوء استفاده‌ از آسیب‌پذیری‌‌های بسیار مشهوری استفاده کرده و دارای بخش‌های بوت ‌کیت و روت‌کیت پیش‌رفته است که می‌توانند کاربران مک و لینوکس را هم آلوده کنند و احتمالا نسخه هایی از این بد افزار برای آندروید، آی پد وآی فون نیز در نظر گرفته شده است.

اما چرا این بدافزار Mask لقب گرفته است؟

نام "Mask" از کلمه عامیانه اسپانیایی "Careto " می‌آید که به معنای ماسک و یا صورت زشت می‌باشد که نویسندگان در برخی از ماژول‌های نرم افزارهای مخرب از آن استفاده می‌کنند. بدافزار Mask از بدافزار Duqu پیچیده‌تر می‌باشد و به نظر می‌رسد یکی از راه‌هایی که از طریق آن منتشر می‌شود، آسیب‌پذیریِ CVE-2014-0497 است.

قربانیان این بدافزارچه کسانی هستند؟

آزمایشگاه تحقیقاتی کسپرسکی بیان می‌کند که هدف اصلیCareto  هدف قرار دادن نهاد‌های دولتی، دفاتر دیپلماتیک و سفارتخانه ها، شرکت‌های انرژی و نفت و گاز، موسسات تحقیقاتی، شرکت‌های سهام خصوصی و فعالان سیاسی می‌باشند.

اگر چه تعداد دقیق قربانیان هنوز نامعلوم است، اما بیش از هزار آدرس IP  آلوده در  31 کشور مشاهده شده است. این آلودگی در کشورهای الجزایر، آرژانتین، بلژیک، بولیوی، برزیل، چین، کلمبیا، کاستاریکا، کوبا، مصر، فرانسه، آلمان، گواتمالا، عراق، لیبی، مالزی، مکزیک، مراکش، نروژ، پاکستان، لهستان، آفریقای جنوبی، اسپانیا، سوئیس، تونس، ترکیه، انگلستان، ایالات متحده، ونزوئلا و حتی کشور عزیزمان ایران نیز مشاهده شده است.

پس از آلوده کردن دستگاه مورد نظر، Mask چه کاری را انجام می‌دهد؟

این نرم افزار مخرب تمام کانال‌های ارتباطی را ره گیری می‌کند و اطلاعات حیاتی از جمله کلید‌های رمزگذاری، تنظیمات VPN، کلید‌های SSH  و فایل‌های RDP از سیستم آلوده را جمع آوری می‌کند . تشخیص آن نیز به دلیل قابلیت‌های روت کیت مخفی، کاری بسیار دشوار است.

علاوه بر ویژگی‌های تعبیه شده در آن، عملگرهای Mask می‌توانند ماژول‌های اضافی را که هر کار مخرب انجام می‌دهند، آپلود کنند. با توجه به ماهیت قربانیان شناخته شده، تاثیر بالقوه این بدافزار نیز بسیار بالا ذکر شده است.

آزمایشگاه تحقیقاتی کسپرسکی ادعا می‌کند که تمام مدل‌های این بد افزار مخرب را با نام‌های Trojan.Win32/Win64.Careto و Trojan.OSX.Careto  توسط کنسول‌های مدیریتی ضد ویروس این شرکت شناسایی کرده است./