کمیته رکن چهارم – هنگامی که ما در مورد بدافزارها صحبت میکنیم سعی بر این داریم مطالبی را انتخاب کنیم که افراد زیادی را تحت تاثیر خود قرار داده باشند. تسلا کریپت، CryptXXX و دیگر بدافزارها که به میلیونها نفر در سراسر جهان حمله کردهاند چندین نمونه از بدافزارهای قوی هستند که تا به حال به کرات آنها را مورد بررسی قرار دادهایم.
به گزارش کمیته رکن چهارم،همانطور که میدانید تعداد بدافزارها بسیارند و برای ما مقدور نخواهد بود که به تکتک آنها اشاره کنیم و در مورد آنها صحبت کنیم، اما میتوانیم رفتارهای بسیاری از آنها را با توجه به رفتار بدافزارهای دیگر حدس بزنیم. به بیان سادهتری بسیاری از آنها از یک قانون خاصی پیروی میکنند و این برای ما یک امتیاز محسوب میشود. حالا ما در این مقاله قصد داریم تا در مورد بدافزاری با لقب EyePyramid صحبت کنیم. قابل توجه است که این نام را ما برای این بدافزار انتخاب نکردهایم و سازندگانش این بدافزار را اینگونه لقب دادند. امروز ما قصد داریم در مورد این نمونه از بدافزار صحبت کنیم زیرا که این گونه کمی عجیب است و داستانش کمی شبیه افسانه بهنظر میرسد.
جاسوسی از کسبوکار توسط خانواده ایتالیایی
بیایید با این واقعیت که EyePyramid در اصل یک کسبوکار خانوادگی بود، این داستان را شروع کنیم. این بدافزار توسط شخص ۴۵ ساله ایتالیایی، Giulio Occhionero که دارای مدرک در رشته مهندسی هستهای بود، توسعه داده شد. او و خواهر ۴۸ سالهاش، Francesca Maria Occhionero در راستای گسترش این بدافزار کار کرده بودند. آنها با هم در یک شرکت سرمایهگذاری کوچک به نام شرکت سرمایهگذاری Westland کار میکردند.
با توجه به گزارش پلیس ایتالیا که به تازگی منتشر شده است، EyePyramid از طریق حمله فیشینگ و با هدفگیری اعضای دولت ایتالیا، شرکتهای حقوقی، دانشگاهها و حتی کاردینالها توزیع شده است.
روند آلوده شدن به EyePyramid چگونه بود؟ پس از نصب بدافزار روی سیستم، دسترسی به تمام منابع روی کامپیوتر قربانی برای سازندگان بدافزار EyePyramid مقدور میشد. تنها هدف آنها از این حمله، جمعآوری اطلاعات بود و همانطور که مجله SC به آن اشاره کرده است، دسترسی به این اطلاعات برای سرمایهگذاری آنها سودآور بوده است.
ماجرا تا جایی پیش رفت که مشخصات سازندگان این بدافزار تا حدودی مشخص شد اما پلیس ایتالیا نتوانست به جز نشانی سرور فرمان کنترل (C&C) و چند تا از ایمیلهایی که از آنها استفاده کرده بودند و توجه کارشناسان امنیتی ما را به خود جلب کرده بود، جزئیات دقیقتری را در مورد EyePyramid فاش کنند. به همین خاطر متخصصان امنیتی ما تصمیم گرفتند که تحقیق و بررسی در این مورد انجام دهند.
جرایم سایبری تازهکارها
با استفاده از اطلاعاتی که از طرف پلیس ایتالیا در اختیار ما قرار داده شده است، تحلیلگران ما قادر شدند ۴۴ نمونه مختلف از EyePyramid را بیابند و تا حد زیادی سر از کار آنها در بیاورند. برخی از رسانهها مدعی شدند که EyePyramid، بدافزاری پیچیده و در هم است. اما این گونه نبود، این گونه جزء سادهترینهای بدافزارهای شناخته شده است. این دو مجرم سایبری با استفاده از روشهایی مثل استفاده از فضاهای متعدد برای پنهان سازی پسوند فایلهای اجرایی که در آنها بدافزارها به کار رفته است، مشغول میشدند. استفاده از این روش کاملا آسان است و میبینیم که به راحتی توانستند آن را به کار گیرند.
همچنین طبق گزارشات پلیس، مشخص شد که خانواده Occhioneroها بخش جنایی کسبوکار خود را خیلی وقت است که آغاز کردهاند، تا آنجایی که ما متوجه شدیم آنها از سال ۲۰۱۰ این روند را پیش گرفتهاند. و البته مقامات ایتالیایی میگویند که ممکن است فعالیت این دو از سال ۲۰۰۸ آغاز شده باشد.
هر دوی آنها در زمینه جرایم سایبری کاملا آماتور بودهاند و در زمینه حفظ امنیت عملیات خود ناکام ماندند. در واقع آنها مراقبت لازم را در مورد امنیت به خوبی انجام ندادند، آنها به طور منظم با قربانیان تماسهای تلفنی داشتند (همانطور که میدانید ردیابی و شناسایی آنها توسط سازمانهای اجرای قانون به راحتی امکان پذیر است) و البته استفاده مکرر از واتساَپ ردی پررنگ از آنها برای پلیس ایتالیا به جای گذاشت.
با این حال، طبق تخمینهای پلیس، آنها بیش از ۸ سال است که فعالیت داشتند و ۱۶۰۰۰ قربانی را مورد هدف قرار دادهاند وبالای ۱۰۰ بار موفق به گرفتن دسترسی کامپیوتر قربانیان شدهاند. این خواهر و برادر توانستند اطلاعات بسیاری را فراگیرند و دهها گیگابایت اطلاعاتی را که ممکن بود باعث پیشرفت سرمایهگذاری آنها شود را دریابند.
داستان به پایان میرسد
در دهم ژانویه هم Giulio و هم Francesca Maria Occhionero توسط FBI دستگیر شدند و آنها به پایان خط رسیدند. طولانی شدن فعالیت این بدافزار واقعا تعجبآور است اما راز نهفته در آن را میتوان سادگی بدافزار و نحوه عملکرد آن دانست. بررسی آن و نگاه طولانی مدت روی آن خیلی خستهکننده به نظر میرسد و لابراتوار کسپرسکی تنها توانست ۹۲ تلاش برای آلودگی این بدافزار را نشان دهد که در مقایسه با تلاش برای حملات باجافزارهای معروف همانند یک قطره در اقیانوس بود. در هر صورت مجرمان حالا در زندان هستند و حق به حق دار رسیده است.
منبع: کسپرسکیآنلاین