کشفیات جدید در مورد استاکس نت، Flame و Duqu:

 ابزار جاسوسی از مذاکرات 5+1 و ایران چه بود؟ / حضور بازیگر چهارم ناشناخته در ساخت استاکس نت

تحقیقات اخیر در مورد تهدیدات قدیمی نرم افزار‌های مخرب مرتبط با Stuxnet علیه برنامه هسته‌ای ایران حدود یک دهه پیش، چندین کشف جدید از جمله همکاری یک بازیگر چهارم ناشناخته احتمالی در این عملیات مخفی و همچنین نسخه‌های نشناخته‌ای از ویروس Flame و تروجان Duqu را منتشر کرده است.
کد خبر: ۸۹۰۷۲۴
|
۲۱ فروردين ۱۳۹۸ - ۱۰:۲۸ 10 April 2019
|
22723 بازدید
|

تحقیقات اخیر در مورد تهدیدات قدیمی نرم افزار‌های مخرب مرتبط با Stuxnet علیه برنامه هسته‌ای ایران حدود یک دهه پیش، چندین کشف جدید از جمله همکاری یک بازیگر چهارم ناشناخته احتمالی در این عملیات مخفی و همچنین نسخه‌های نشناخته‌ای از ویروس Flame و تروجان Duqu را منتشر کرده است.

امروزه شرکت Chronicle تابعه Alphabet، یافته های محققان خود «خوان آندرس گوئررو ساده» و «سیلاس کاتلر» را در کنفرانس امنیتی کسپرسکی در سنگاپور، و همچنین در وبلاگ این شرکت که توسط گزارش های دقیق تر تحلیلی تکمیل شده است، منتشر کرد.

سلسله این اکتشاف ها می تواند تا یک کلید واحد، که از یک گزارش امنیتی در سال 2017 سرچشمه گرفته است ردیابی شود، که احتمال یک پیوند جدید بین بدافزار مخرب جاسوسی سایبری شناخته شده به عنوان Flame و گروهی از بازیگران دولتی که احتمالا درگیر در حمله بدافزار Stuxnet هستند برقرار می کند. این حمله باعث شد که کنترل کننده های منطقی برنامه ریزی شده برای تأسیسات هسته ای ایران در نطنز دچار اشکال شوند که نتیجه آن آسیب به سانتریفیوژها بود که در آن زمان ایده های هسته ای ایران را به پیش می برد.

 ابزار جاسوسی از مذاکرات 5+1 و ایران چه بود؟ / حضور بازیگر چهارم ناشناخته در ساخت استاکس نت

این گونه فهمیده شده مهاجمان استاکس نت، که کرونیکل به طور کلی آنها را «GOSSIPGIRL» می نامد، به طور گسترده ای شامل توسعه دهندگان ویروس Flame و Duquو گروه موسوم به گروه «معادله» می شود. گروه معادله به طور قابل توجهی با NSA مرتبط بوده است، در حالی که ساخت Duqu به اسرائیل مرتبط دانسته شده و Flame به یک عملیات اطلاعاتی مشترک بین ایالات متحده و اسرائیل مرتبط است.

بیشتر بخوانید

اما بر اساس یافته های کرونیکل، گویا یک بازیگر چهارم در توسعه استاکسنت دخالت داشته باشد. این بازیگر یک برنامه مخرب قدیمی به نام Flowershop که اهداف خاورمیانه ای را در دوره فعالیت خود از سال 2002 تا 2013 آلوده کرده ایجاد نموده است. کد این بدافزار را می توان در یک بخش خاص از Stuxnet به نام Stuxshop پیدا کرد و از آن برای ارتباط با سرورهای C2 و البته کارکردهای دیگر بهره برد.

گوئررو و کاتلر در گزارش فنی خود بیان کرده اند: «ارزش این یافته اخیر در دو جنبه است: اولا، این یافته ها نشان می دهد که تیم دیگری با پلت فرم بدافزار خود در توسعه اولیه Stuxnet مشارکت داشته است. و دوم انکه این دیدگاه را پشتیبانی می کند که استاکس نت در واقع محصول یک چارچوب توسعه مدولار است که به منظور ایجاد امکان همکاری میان بازیگران تهدید کننده مستقل و پراکنده، طراحی شده. یافته های اخیر ما، همراه با بخش برجسته ای از تجزیه و تحلیل فنی که قبلا در مورد این تهدید گزارش شده، تیم طراح Flowershop را در کنار گروه معادله، طراحان Flame و Duqu به عنوان بازیگرانی که در تهیه مرحله های مختلف استاکس نت به عنوان یک عملیات که احتمالا از اوایل سال 2006 فعال بودند، قرار می دهد.

تحقیقات بیشتر نشان داده که یکی دیگر از شگفتی ها این است، بدافزار Flame که در ماه می 2012 پس از کشف عمومی اش ناپدید شد، تقریبا دو سال بعد به شکل Flame 2.0 مجددا ظاهر شده است.

Flame، که نام آن sKyWIper است و در سال 2012 کشف شد، از لحاظ تاریخی رایانه های مبتنی بر ویندوز را در ایران آماج قرار میداده است. ابزار جاسوسی سایبری، که احتمالا در زمانبندی 2014-2016 استفاده شده، قادر به جمع آوری اطلاعات سیستم، ایجاد خلأهای نفوذ پنهانی و انتشار بدافزار در سراسر شرکت ها از طریق به روز رسانی ویندوز است.

در طول دوره مطالعه خود، این محققان همچنین یک نسخه ناشناخته Duqu را که بدافزاری ساخته شده از Stuxnet است که به منظور سرقت اطلاعات مفید برای حمله به سیستم های کنترل صنعتی استفاده می شود، کشف کرده اند.

این نسخه با نام Dubbed Duqu 1.5 به نظر می رسد، یک پل ارتباطی است بین تهدید اصلی Duqu 1.0 و تهدید پیشرفته Duqu 2.0 که بدافزاری با فرم مدولار فعال در حافظه رم است و به شدت دفاتر آزمایشگاه کسپرسکی را آلوده کرده بود، و همچنین مذاکرات هسته ای P5 + 1 و ایران در سوئیس را هدف قرار داده بوده. (کرونیکل بیان کرده که دیگر نسخه های Duqu اخیر در شرکت های اروپایی، آفریقا و خاورمیانه جاسوسی کرده اند)

کرونیکل بیان کرده: «ویژگی های موجود در نسخه 1.5 عبارتند از: یک زنجیره بارگذاری فراختر، عملیاتی ـ تجربی و چند لایه ای. این کار با یک درایور کرنل تروجانی آغاز می شود که با یک گواهی به سرقت رفته امضا شده است، تا سیستم فایل مجازی رجیستری (VFS) را که هماهنگ کننده مادر بدافزار را در حافظه بارگذاری می کند، آلوده سازد و پس از آن یک VFS را روی دیسک بارگذاری می کند تا یک سری پلاگین نصب شود تا راه برای گسترش بیشتر و دسترسی به منافذ پنهان ماشین های آلوده، باز شود.

 

اشتراک گذاری
تور پاییز ۱۴۰۳ صفحه خبر
بلیط هواپیما
نظرات بینندگان
غیر قابل انتشار: ۳
در انتظار بررسی: ۰
انتشار یافته: ۲۰
ناشناس
|
Iran (Islamic Republic of)
|
۱۱:۳۰ - ۱۳۹۸/۰۱/۲۱
کاش یک ترجمه روان و ویراستاری شده از خبر اصلی قرار میدادید
پاسخ ها
ناشناس
| Iran (Islamic Republic of) |
۱۳:۵۷ - ۱۳۹۸/۰۱/۲۱
اصلا مذاکرات نیاز به جاسوسی نداشت چون نقشه از قبل آماده آمریکا پذیرفته شده بود .وکل ماجرا فیلم بازی کردن
ناشناس
| Iran (Islamic Republic of) |
۱۴:۴۰ - ۱۳۹۸/۰۱/۲۱
متن کاملا تخصصی است شاید برای کارشناسان حوزه شبکه و نرم افزار قابل روان تر باشد البته مقالات فنی و دقیق تری خصوصا توسط شرکتهای تولید کننده انتی ویروس نشر یافته است
علی
| Iran (Islamic Republic of) |
۱۴:۵۸ - ۱۳۹۸/۰۱/۲۱
یاد اشتباهات مترجم خودمان در جلسه مشترک روسای جمهور ایران و افغانستان و هندوستان افتادم
که دوبار اشرف غنی اشتباهات مترجم ایرانی را در وسط
سخنرانی اش اصلاح کرد !؟
واقعا تاسفباره
ناشناس
| China |
۱۵:۲۲ - ۱۳۹۸/۰۱/۲۱
تا حملات در زمینه های مختلف پیش نیاد هرگز به فکر چاره و یا پیشگیری نخواهند افتاد ، کلا پیشگیری مفهومی ندارد و سیاست اینه که صبر کنید جرم واقع شود بعد به فکر چاره بیافتید پس حملات در زمینه های مختلف برای آنها بسیار سازنده و باعث ذوقشان میشود.
علی
| Iran (Islamic Republic of) |
۱۵:۴۵ - ۱۳۹۸/۰۱/۲۱
ناشناس 13:57 احسنت. کلی حال کردم.
بهزاد
|
Netherlands
|
۱۱:۴۷ - ۱۳۹۸/۰۱/۲۱
ترجمه های اینجوری رو که کاملا واضحه توسط یک متخصص کامپیوتر انجام شده خواهشا به یک مترجم بدین که یک بازبینی و ویراستاری بکنه. جملات همگی نامفهوم و بدون چارچوب هستند.
پاسخ ها
رضا
| France |
۱۶:۵۵ - ۱۳۹۸/۰۱/۲۱
جای خبرهای تکنلوژی در تابناک خالی است و انتشار اخبار فنی و تکنولوژی می توان مخاطبین بیشتری را جذب تابناک کرد
با تشکر
ناشناس
| Iran (Islamic Republic of) |
۲۰:۵۰ - ۱۳۹۸/۰۱/۲۱
اتفاقا گمانم یک مترجم ترجمه کرده. مهندسی که متن را دقیق بفهمد می تواند روان بازنویسی کند.
ناشناس
| United States of America |
۲۲:۵۸ - ۱۳۹۸/۰۱/۲۱
اصلا چنیین نیست اتقاقا ترجمه توسط یک شخص مترجمی که هیچ شناحتی و تخصصی از کامپیوتر و مفاهیم شبکه نداشته صورت گرفته.
آیت
|
Iran (Islamic Republic of)
|
۱۱:۵۳ - ۱۳۹۸/۰۱/۲۱
منظورت از راننده همون درایور هست دیگه!
ناشناس
|
Iran (Islamic Republic of)
|
۱۱:۵۵ - ۱۳۹۸/۰۱/۲۱
مثلا ترجمه کردید!!!
ناشناس
|
Iran (Islamic Republic of)
|
۱۲:۲۴ - ۱۳۹۸/۰۱/۲۱
خیلی تخصصی شرح داده شده یک مقدار اسانتر شرح دهید.
سپهر
|
Iran (Islamic Republic of)
|
۱۳:۰۰ - ۱۳۹۸/۰۱/۲۱
به نظرم نباید سیستم های حساس را با کنترل اتوماتیک و ماشینی اداره کنیم. دشمنان همیشه در کمین هستند و ممکن است بدافزارهای جدید تولید کنند.
بهتر است برای کنترل سیستم های حساس مانند تأسیسات هسته‌ای، پدافند هوایی، نیروگاه‌های تولید برق، سدها، سامانه‌های موشکی و پالایشگاه‌ها قید کنترل نرم‌افزاری را زده و به سیستم‌های بسته یا انسان‌محور روی بیاوریم.
باید سازمان پدافند غیرعامل خیلی قوی‌تر از اینها ظاهر شود.
پاسخ ها
sina
| Iran (Islamic Republic of) |
۱۴:۳۱ - ۱۳۹۸/۰۱/۲۱
با کنترل انسانی میشه فهمید موشکی در حال آماده سازی و شلیک به سمت ماست؟
ناشناس
|
Iran (Islamic Republic of)
|
۱۳:۰۴ - ۱۳۹۸/۰۱/۲۱
من که فهمیدم ویروس بده!
ناشناس
|
Netherlands
|
۱۳:۳۸ - ۱۳۹۸/۰۱/۲۱
چرت بود
ناشناس
|
Iran (Islamic Republic of)
|
۱۴:۲۷ - ۱۳۹۸/۰۱/۲۱
عاشق این ترجمه شدم!
ناشناس
|
Iran (Islamic Republic of)
|
۱۷:۰۱ - ۱۳۹۸/۰۱/۲۱
اولین شرط مترجمی این است که مترجم به ادبیات و زبان ملی کشور خود کاملا مسط باشد و آنرا بشناسد..
برچسب منتخب
# مهاجران افغان # حمله ایران به اسرائیل # قیمت دلار # سوریه # دمشق # الجولانی
الی گشت
قیمت امروز آهن آلات
نظرسنجی
تحولات اخیر سوریه و سقوط بشار اسد چه پیامدهایی دارد؟