دوکو و کشف حمله‌های هدفمند به اهداف ایرانی و سودانی

متخصصین آزمایشگاه کسپرسکی به طور پیوسته به تحقیقات خود روی برنامه مخرب جدید Duqu ادامه می‌دهند.
این برنامه ویژگی‌های مشترکی با کرم بدنام استاکس‌نت دارد که در گذشته تأسیسات صنعتی را در ایران هدف قرار داد.

گرچه هدف نهایی ایجادکننده‌های این تهدید سایبری جدید هنوز معلوم نیست، تاکنون مشخص شده است که دوکو یک ابزار جهانی است که برای انجام حمله‌های هدفمند به تعداد محدودی از اهداف استفاده می‌شود و می‌توان آن را بسته به کار مورد نظر تغییر داد.

به گزارش ایتنا از موسسه دیده بان آی تی، روابط عمومی کسپرسکی در ایران، چند ویژگی این کرم در اولین مرحله تجزیه و تحلیل دوکو توسط متخصصین کسپرسکی آشکار شد.
اول اینکه، در هر یک از گونه‌های شناسایی شده این برنامه مخرب، درایورها و راه‌اندازهای مورد استفاده برای آلوده کردن سیستم‌ها تغییر داده شده بود. در یک مورد، برنامه راه‌اندازی از یک امضای دیجیتال جعلی استفاده می‌کرد و در موارد دیگر، برنامه راه‌اندازی اصلاً امضا نداشت.
دوم اینکه، معلوم شد اجزای دیگری از دوکو احتمالاً وجود دارند، اما هنوز شناسایی نشده‌اند. این یافته‌ها روی هم رفته به ما امکان می‌دهد که فرض کنیم کارکردهای این برنامه مخرب را می‌توان بسته به هدف خاص مورد حمله، تغییر داد.

تشخیص موارد بسیار معدود آلودگی (در لحظه انتشار اولین بخش از تحقیق آزمایشگاه کسپرسکی درباره دوکو فقط یک مورد ردیابی شد) مسئله‌ای است که در کنار مشابهت‌ها، دوکو را از استاکس‌نت متمایز می‌سازد.
از زمان شناسایی اولین نمونه‌های این برنامه مخرب، چهار مورد جدید آلودگی به لطف شبکه امنیتی ابری کسپرسکی ردیابی شد. محل یکی از این موارد کامپیوتر یک کاربر در سودان بود و سه مورد دیگر در ایران شناسایی شد.

در هر یک از این چهار مورد از آلودگی به دوکو، از نوع یکسانی از برنامه راه‌انداز مورد نیاز برای آلودگی، استفاده شده بود. مهم‌تر اینکه، در ارتباط با یکی از آلودگی‌های ایرانی، دو حمله شبکه‌ای شناسایی شد که از آسیب‌پذیری MS۰۸-۰۶۷ سوءاستفاده می‌کردند.

این آسیب‌پذیری توسط استاکس‌نت و یک برنامه مخرب قدیمی‌تر دیگر به نام Kido نیز استفاده شد. اولین حمله از این دو حمله شبکه‌ای در چهارم اکتبر روی داد و حمله دیگر در شانزدهم اکتبر صورت گرفت و هر دو حمله از یک نشانی IP یکسان که سابقاً به یک ارائه‌دهنده خدمات اینترنتی در آمریکا تعلق داشت، نشأت می‌گرفتند. اگر فقط یک حمله از این دست وجود داشت، ممکن بود به عنوان فعالیت عادی کیدو نادیده گرفته شود، اما دو حمله متوالی وجود داشت: این نکته حاکی از احتمال یک حمله هدفدار به یک هدف در ایران است.
همچنین این امکان وجود دارد که در طی عملیات، از سایر آسیب‌پذیری‌های نرم‌افزاری نیز استفاده شده باشد.

الکساندر گوستف، متخصص ارشد امنیتی آزمایشگاه کسپرسکی، در توضیح یافته‌های جدید گفت: «با وجود این که محل سیستم‌های مورد حمله قرار گرفته از طریق دوکو در ایران شناسایی شده است، تاکنون شواهدی مبنی بر اینکه این سیستم‌ها، سیستم‌های مرتبط با برنامه‌های صنعتی یا هسته‌ای هستند، به دست نیامده است. همچنین نمی‌توان تأیید کرد که هدف برنامه مخرب جدید با هدف استاکس‌نت یکسان است. با این وجود، واضح است که همه آلودگی‌های صورت گرفته از طریق دوکو در نوع خود منحصر به فرد هستند. این اطلاعات به ما امکان می‌دهد که با اطمینان بگوییم از دوکو برای حمله‌های هدفمند به اهداف از پیش تعیین‌شده استفاده می‌شود.»

نتایج مفصل تحقیق جدید روی دوکو را در Securelist.com ببینید.