کمیته رکن چهارم – کارشناسان امنیتی درب پشتی مخرب مورداستفاده توسط گروه جرائم سایبری Stealth Falcon را شناسایی کردند.
کارشناسان شرکت امنیتی ESET یک درب پشتی مخربی شناسایی کردهاند که متعلق به گروه جرائم سایبری Stealth Falcon است. این گروه فعالیت خود را از سال ۲۰۱۲ آغاز کرده و فعالین سیاسی و روزنامهنگاران خاورمیانه را موردتهاجم قرار میدهد. برخی تحلیلگران عملکرد این گروه را با Project Raven مرتبط میدانند که گفته میشود در آن کارکنان سابق آژانس امنیت ملی ایالاتمتحده نقشآفرینی میکنند. بهتازگی بخشی از دادههای فنی مربوط به Stealth Falcon منجمله درب پشتی مخرب PowerShell افشاء شده است که از طریق یک سند آلوده در ایمیل مخرب به رایانه انتقال مییابد. نفوذ گران از طریق این درب پشتی در امارات متحده عربی و عربستان سعودی، تایلند و هلند حملات بسیاری تدارک دیدهاند. آخرین تهاجم مربوط به یک هیئت دیپلماتیک یکی از کشورهای خاورمیانه بوده است.
گروه Win32 یا StealthFalcon از روشی نسبتاً غیرمعمول برای برقراری ارتباط با سرور فرمان خود استفاده میکند که از طریق بخشی از ویندوز تحت عنوان پسزمینه خدمات انتقال هوشمند (BITS) انجام میگیرد. در مقایسه با ارتباط از طریق توابع API، ارتباط با BITS بهصورت مخفیانه و به کمک رابط COM صورت میگیرد. بهاینترتیب فایروالها نمیتوانند آنها را مسدود کنند. این گروه علاوه بر ارتباط غیرمعمول با سرور C&C، چندین روش پیشرفته دیگر نیز برای جلوگیری از شناسایی و آنالیز شدن دارد.
منبع : سایبربان
