کمیته رکن چهارم – محققان امنیتی از شرکت ایست، اخیرا بدافزار جدیدی را شناسایی کردند که کنسولگریها، وزارتخانهها و سفارتخانهها را هدف قرار داده و قصد دارد از دیپلماتها و دولتها جاسوسی کند. این پویش از سال ۲۰۱۶ میلادی فعال بوده و به تازگی از یک دربِ پشتی با نام Gazer استفاده میکند. همچنین باورها بر این است که این بدافزار توسط گروه نفوذ تورلا که قبلا به روسیه نسبت داده میشد، مورد استفاده قرار میگیرد.
درب پشتی Gazer به زبان برنامهنویسی C++ نوشته شده و با استفاده از رایانامههای فیشینگ توزیع میشود و در دو مرحله سامانهی هدف را آلوده میکند. بدافزار ابتدا درب پشتی Skipper را نصب کرده و در مرحلهی بعدی، مولفهی Gazer را نصب میکند.
در پویشهای جاسوسی قبلی، گروه نفوذ تورلا از درب پشتی Carbon و Kazuar بهعنوان بدافزار دو-مرحلهای استفاده کرده بودند. هرچند محققان امنیتی ایست میگویند این درب پشتیها شباهت زیادی به Gazer دارند. مولفهی Gazer دستورات را بهحالت رمزنگاریشده از یک کارگزار دستور و کنترل دریافت میکند و با استفاده از وبگاههای آلوده و قانونی بهعنوان پروکسی، از شناسایی شدن توسط راهحلهای امنیتی نیز جلوگیری میکند.
این مولفهی جدید، بجای استفاده از واسط برنامهنویسی Crypto ویندوز، از کتابخانههای ویژهی ۳DES و RSA برای رمزنگاری دادهها پیش از ارسال به کارگزار دستور و کنترل استفاده میکند. این روش بهطور معمول توسط نفوذگران گروه تورلا مورد استفاده قرار میگیرد. مولفهی Gazer از روش تزریق کد برای کنترل ماشین و مخفی شدن برای مدت طولانی و سرقت اطلاعات استفاده میکند.
مولفهی Gazer همچنین دارای قابلیتی است که میتواند از یک ماشین، دستوراتی را که از کارگزار دستور و کنترل دریافت کرده به دیگر ماشینهای آلوده در سطح همان شبکه ارسال کند. محققان امنیتی تاکنون توانستهاند ۴ نسخهی مختلف از درب پشتی Gazer را شناسایی کنند که از بخشهای جنوب شرقی اروپا و شوروی سابق جاسوسی میکنند.
نکتهی قابل توجهی که وجود دارد این است که نسخهی قبلی بدافزار Gazer توسط یک گواهینامه که توسط کومودو صادر شده بود، امضاء شده بود ولی نسخهی اخیر توسط یک گواهینامهی SSL امضاء شده است. محققان میگویند این بدافزار قصد دارد اهداف زیادی را در سراسر جهان آلوده کند ولی بیشتر آنها در اروپا واقع شدهاند.
منبع : news.asis.io
