ایست از شناسایی نمونههای جدید جاسوسافزار شرکت Hacking Team در چهارده کشور خبر داد، اما نامی از این کشورها نبرد.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
ایست از شناسایی نمونههای جدید جاسوسافزار شرکت Hacking Team در چهارده کشور خبر داد، اما نامی از این کشورها نبرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، ایست هشدار میدهد که اخیرا نمونههای جدیدی از پرچمدار جاسوسافزار شرکت Hacking Team به نام سامانه کنترل از راه دور (RCS) ظاهر شدهاست که با نسخههای مشاهدهشده پیشین تفاوت اندکی دارند.
شرکت Hacking Team، یک فروشنده جاسوسافزار است که در سال ۲۰۱۳ میلادی تاسیس شدهاست و بهعنوان فروشنده ابزارهای نظارتی به دولتهای سراسر جهان شناخته شدهاست. در سال ۲۰۱۵ میلادی به این شرکت نفوذ شد و درنتیجه آن ۴۰۰ گیگابایت از دادههای داخلی این شرکت ازجمله فهرست مشتریان، ارتباطات داخلی و کد منبع جاسوسافزار بهصورت برخط افشا شد.
این حادثه نهتنها باعث شد که فعالیتهای شرکت Hacking Team افشا شود و این شرکت مجبور شود از مشتریان خود بخواهد که استفاده از RCS را متوقف کنند، بلکه باعث شد که عاملان تهدید مختلف از کد افشاشده استفاده کنند و از آن بهعنوان بخشی از عملیات مخرب خود سوءاستفاده کنند.
به دنبال این افشای اطلاعاتی، شرکت Hacking Team با آیندهای نامعلوم مواجه شد، اما اولین گزارشها درباره فعالیت دوباره این شرکت پس از گذشت تنها 6 ماه با ظهور یک جاسوسافزار جدید برای مک، منتشر شد. در همین حال، یک شرکت به نام Tablem Limited مستقر در قبرس که گویا به عربستان سعودی مرتبط است در این شرکت سرمایهگذاری کرد.
محصول برتر شرکت Hacking Team، سامانه کنترل از راه دور یا همان RCS، ابزاری است که تمام قابلیتهای مورد انتظار از یک درب پشتی را فراهم میکند: این ابزار قادر است پروندههای موجود در یک سامانه هدف را استخراج کند، ایمیلها و پیامهای فوری را متوقف کند و از راه دور، وبکم و میکروفون سامانه هدف را فعال کند.
ایست میگوید: «نمونههای جدید RCS که اخیرا شناسایی شدهاند در میانه سپتامبر ۲۰۱۵ و اکتبر ۲۰۱۷ میلادی جمعآوری شدهاند و میتوانند به یک گروه خاص نسبت دادهشوند و نمیتوان گفت که توسط چند عامل مخرب مختلف و با بهرهبرداری از کد منبع افشاشده توسعه دادهشدهاند. علاوهبر این، این نمونهها توسط یک گواهی دیجیتالی معتبر که پیش از این مشاهده نشدهبود و توسط شرکت Thawte برای یک شرکت به نام Ziber Ltd صادر شدهبود، امضا شدهاند.»
ایست اظهار کرد: «نسخه جدید شامل فرادادههای جعلی درباره پروندههای اعلان است تا خود را بهعنوان یک برنامه قانونی معرفی کند و نویسنده آن به منظور دور زدن راهکارهای حفاظتی از مبهمساز تجاری VMProtect استفادهمیکند. این ویژگی بین جاسوسافزار افشاشده قبلی Hacking Team و این نمونه جدید مشترک است.»
آنچه که نشان میدهد این نمونهها توسط خود توسعهدهندگان شرکت Hacking Team ساخته شدهاست، نسخهبندی نمونههای جدید است چرا که از آخرین شماره منتشره توسط این شرکت قبل از نفوذ، شروع میشود و یک الگوی مشابه پیروی میکند. ایست همچنین متوجه شد تغییرات معرفیشده در بهروزرسانیهای پس از افشا با سبک کدنویسی شرکت Hacking Team همخوانی دارد و ارتباط عمیق بین این دو را نشان میدهد.
این شرکت امنیتی میگوید: «احتمال بسیار کمی دارد که برخی از عاملان مخرب دیگر، یعنی به غیر از توسعهدهندگان شرکت Hacking Team که در زمان ایجاد نسخههای جدید تغییراتی را دقیقا در این قسمتها در کد منبع افشاشده Hacking Team اعمال کنند.»
پژوهشگران همچنین تفاوت کوچکی بین اندازه پروندههای نصب کشف کردند. در نسخههای پیش از افشا، اندازه عملیات رونوشت پرونده ۴ مگابایت بود در حالی که در نسخههای پس از افشا، اندازه آن به ۶ مگابایت رسیدهاست.
قابلیتهای جاسوسافزار مانند قبل باقی ماندهاند و هیچ بهروزرسانی قابلتوجهی تا به امروز منتشر نشدهاست، اگرچه این شرکت پس از افشا گفت که یک محصول جدید منتشر خواهدکرد. در دو مورد مختلف، بردار توزیع مشاهدهشده یک پرونده قابل اجرا بود که مانند یک سند PDF طراحی شده و از طریق یک ایمیل فیشینگ هدفدار به قربانی ارسال شدهاست.
ایست میگوید: «تحقیق به ما اجازه میدهد که با اعتماد به نفس بالا ادعا کنیم که با یک استثنا، نمونههای پس از افشا که مورد تجزیهوتحلیل قرار دادیم در واقع توسط توسعهدهندگان شرکت Hacking Team توسعه یافتهاند و درنتیجه سوءاستفاده عاملان مخرب دیگر از کد منبع افشاشده ایجاد نشدهاند.»
این شرکت امنیتی ادعا میکند که در حال حاضر نمونههای جاسوسافزار جدید شرکت Hacking Team در ۱۴ کشور کشف شدهاند، اما نام این کشورها را افشا نکرد.