اطلاعاتی در مورد ویروس مذاکرات
ارسال شده: یکشنبه ژوئن 14, 2015 5:47 pm
ویروسی که از مذاکرات هستهای ایران جاسوسی میکرد
شرکت کسپرسکی اطلاعاتی را در مورد ویروس Duqu 2.0 که به جاسوسی از مذاکرات هستهای ایران پرداخته است، منتشر کرد.
به گزارش فارس، کسپرسکی اوایل سال میلادی جاری از یک حمله و نفوذ سایبری به چند سیستم درونسازمانی خود خبر داد.
بعد از این حادثه، تحقیقات همهجانبهای کلید خورد که به کشف پلتفرم بدافزاری جدید، ناشناخته و بسیار پیشرفته و قدرتمندی به نام Duqu انجامید.
به اعتقاد متخصصان کسپرسکی، مهاجمان با اطمینان کامل از این که هیچ رد و اثری برجا نمیگذارند حمله سایبری خود را ترتیب دادند. این حمله ویژگیهای منحصربهفردی داشت که تا پیش از آن در حملات سایبری دیگر دیده نشده و تقریبا هیچ ردی از آن برجا نمانده بود.
این حمله با استفاده از آسیبپذیریهای شناخته نشده، آزادی عمل بدافزار را افزایش داده و سپس از طریق فایلهای Microsoft Software Installer (MSI) در شبکه گسترش پیدا میکند. فایلهای MSI فایلهایی هستند که مدیران سیستم اغلب برای نصب نرمافزار روی کامپیوترهای مبتنی بر ویندوز و بهصورت راه دور از آن استفاده میکنند.
این حمله سایبری هیچ رد و نشانی روی هارد دیسک یا تنظیمات سیستم برجای نگذاشت تا شناسایی آن به کار بسیار پیچیده و دشواری تبدیل شود. به بیان ساده، فلسفه و بینشی که در پس طراحی Duqu 2.0 نهفته یک نسل جلوتر از تمام تهدیداتی است که در فضای سایبری امروزی شاهد بودهایم.
محققان کسپرسکی پی بردند که Duqu در خاورمیانه و همچنین در بین کشورهای غربیها و چند کشور آسیایی نیز قربانی گرفته است. شاخصترین مورد این آلودگی طی دو سال گذشته به حملات Duqu به محل مذاکرات هستهای حساس بین ایران و گروه 5+1 برمیگردد. علاوه بر این گروه طراح Duqu 2.0، طی حملات مشابهی هفتادمین سالگرد آزادسازی اردوگاه آشویتس-بیرکنو در لهستان را هدف گرفتند. این درحالیست که در هر دو رویداد سیاستمداران و مقامات عالیرتبهای حضور داشتند.
کاستین رایو (Costin Raiu) مدیر تیم تحقیق و بررسی بینالملل کسپرسکی میگوید: «تیم نرمافزاری طراح Duqu از نخبه ترین و پرقدرتترین افراد در حوزه تهدیدات پیشرفته و مداوم تشکیل شده است. آنها برای مخفی نگه داشتن ردپای خود همه کار کردند. در این حمله بسیار پیچیده از سه آسیبپذیری ناشناخته استفاده شده بود که انجام چنین عملیاتی از سرمایهگذاری هنگفتی در پس Duqu حکایت میکند.
«این تهدید بدافزاری برای مخفی ماندن تنها در حافظه کرنل خود را ذخیره میکند تا به این ترتیب نرمافزارهای آنتی ویروس به راحتی آن را شناسایی نکنند. همچنین این تهدید برخلاف بدافزارهای مرسوم، بهطور مستقیم به مرکز کنترل و فرمان مهاجمان متصل نمیشود. در عوض، مهاجمان با نصب درایورهای خرابکارانه، gateway و فایروال شبکههای سازمانی را آلوده کرده و تمام ترافیک شبکه سازمانی را به مرکز کنترل و فرمان خود تغییر مسیر میدهند.»
یافتههای اولیه کسپرسکی در مطالعه Duqu 2.0 نشان میدهد که این حمله کاملا برنامهریزی شده بهوسیله همان گروهی انجام گرفت که حمله سایبری معروف Duqu در سال 2011 را ترتیب داده بودند. کسپرسکی براین باور است که چنین حملهای تنها با حمایت مالی یک دولت امکانپذیر است.
http://www.entekhab.ir/fa/news/209905
--- ویرایش شده ---
یه مطلبی هم در دیسنا دیدم>>
http://disna.ir/post/5210
کد MD5 قطعات نسخه دوم ویروس دوکو به شرح زیر می باشند :
MD5s
Action loaders:
089a14f69a31ea5e9a5b375dc0c46e45
16ed790940a701c813e0943b5a27c6c1
26c48a03a5f3218b4a10f2d3d9420b97
a6dcae1c11c0d4dd146937368050f655
acbf2d1f8a419528814b2efa9284ea8b
c04724afdb6063b640499b52623f09b5
e8eaec1f021a564b82b824af1dbe6c4d
10e16e36fe459f6f2899a8cea1303f06
48fb0166c5e2248b665f480deac9f5e1
520cd9ee4395ee85ccbe073a00649602
7699d7e0c7d6b2822992ad485caacb3e
84c2e7ff26e6dd500ec007d6d5d2255e
856752482c29bd93a5c2b62ff50df2f0
85f5feeed15b75cacb63f9935331cf4e
8783ac3cc0168ebaef9c448fbe7e937f
966953034b7d7501906d8b4cd3f90f6b
a14a6fb62d7efc114b99138a80b6dc7d
a6b2ac3ee683be6fbbbab0fa12d88f73
cc68fcc0a4fab798763632f9515b3f92
Cores:
3f52ea949f2bd98f1e6ee4ea1320e80d
c7c647a14cb1b8bc141b089775130834
شرکت کسپرسکی اطلاعاتی را در مورد ویروس Duqu 2.0 که به جاسوسی از مذاکرات هستهای ایران پرداخته است، منتشر کرد.
به گزارش فارس، کسپرسکی اوایل سال میلادی جاری از یک حمله و نفوذ سایبری به چند سیستم درونسازمانی خود خبر داد.
بعد از این حادثه، تحقیقات همهجانبهای کلید خورد که به کشف پلتفرم بدافزاری جدید، ناشناخته و بسیار پیشرفته و قدرتمندی به نام Duqu انجامید.
به اعتقاد متخصصان کسپرسکی، مهاجمان با اطمینان کامل از این که هیچ رد و اثری برجا نمیگذارند حمله سایبری خود را ترتیب دادند. این حمله ویژگیهای منحصربهفردی داشت که تا پیش از آن در حملات سایبری دیگر دیده نشده و تقریبا هیچ ردی از آن برجا نمانده بود.
این حمله با استفاده از آسیبپذیریهای شناخته نشده، آزادی عمل بدافزار را افزایش داده و سپس از طریق فایلهای Microsoft Software Installer (MSI) در شبکه گسترش پیدا میکند. فایلهای MSI فایلهایی هستند که مدیران سیستم اغلب برای نصب نرمافزار روی کامپیوترهای مبتنی بر ویندوز و بهصورت راه دور از آن استفاده میکنند.
این حمله سایبری هیچ رد و نشانی روی هارد دیسک یا تنظیمات سیستم برجای نگذاشت تا شناسایی آن به کار بسیار پیچیده و دشواری تبدیل شود. به بیان ساده، فلسفه و بینشی که در پس طراحی Duqu 2.0 نهفته یک نسل جلوتر از تمام تهدیداتی است که در فضای سایبری امروزی شاهد بودهایم.
محققان کسپرسکی پی بردند که Duqu در خاورمیانه و همچنین در بین کشورهای غربیها و چند کشور آسیایی نیز قربانی گرفته است. شاخصترین مورد این آلودگی طی دو سال گذشته به حملات Duqu به محل مذاکرات هستهای حساس بین ایران و گروه 5+1 برمیگردد. علاوه بر این گروه طراح Duqu 2.0، طی حملات مشابهی هفتادمین سالگرد آزادسازی اردوگاه آشویتس-بیرکنو در لهستان را هدف گرفتند. این درحالیست که در هر دو رویداد سیاستمداران و مقامات عالیرتبهای حضور داشتند.
کاستین رایو (Costin Raiu) مدیر تیم تحقیق و بررسی بینالملل کسپرسکی میگوید: «تیم نرمافزاری طراح Duqu از نخبه ترین و پرقدرتترین افراد در حوزه تهدیدات پیشرفته و مداوم تشکیل شده است. آنها برای مخفی نگه داشتن ردپای خود همه کار کردند. در این حمله بسیار پیچیده از سه آسیبپذیری ناشناخته استفاده شده بود که انجام چنین عملیاتی از سرمایهگذاری هنگفتی در پس Duqu حکایت میکند.
«این تهدید بدافزاری برای مخفی ماندن تنها در حافظه کرنل خود را ذخیره میکند تا به این ترتیب نرمافزارهای آنتی ویروس به راحتی آن را شناسایی نکنند. همچنین این تهدید برخلاف بدافزارهای مرسوم، بهطور مستقیم به مرکز کنترل و فرمان مهاجمان متصل نمیشود. در عوض، مهاجمان با نصب درایورهای خرابکارانه، gateway و فایروال شبکههای سازمانی را آلوده کرده و تمام ترافیک شبکه سازمانی را به مرکز کنترل و فرمان خود تغییر مسیر میدهند.»
یافتههای اولیه کسپرسکی در مطالعه Duqu 2.0 نشان میدهد که این حمله کاملا برنامهریزی شده بهوسیله همان گروهی انجام گرفت که حمله سایبری معروف Duqu در سال 2011 را ترتیب داده بودند. کسپرسکی براین باور است که چنین حملهای تنها با حمایت مالی یک دولت امکانپذیر است.
http://www.entekhab.ir/fa/news/209905
--- ویرایش شده ---
یه مطلبی هم در دیسنا دیدم>>
http://disna.ir/post/5210
کد MD5 قطعات نسخه دوم ویروس دوکو به شرح زیر می باشند :
MD5s
Action loaders:
089a14f69a31ea5e9a5b375dc0c46e45
16ed790940a701c813e0943b5a27c6c1
26c48a03a5f3218b4a10f2d3d9420b97
a6dcae1c11c0d4dd146937368050f655
acbf2d1f8a419528814b2efa9284ea8b
c04724afdb6063b640499b52623f09b5
e8eaec1f021a564b82b824af1dbe6c4d
10e16e36fe459f6f2899a8cea1303f06
48fb0166c5e2248b665f480deac9f5e1
520cd9ee4395ee85ccbe073a00649602
7699d7e0c7d6b2822992ad485caacb3e
84c2e7ff26e6dd500ec007d6d5d2255e
856752482c29bd93a5c2b62ff50df2f0
85f5feeed15b75cacb63f9935331cf4e
8783ac3cc0168ebaef9c448fbe7e937f
966953034b7d7501906d8b4cd3f90f6b
a14a6fb62d7efc114b99138a80b6dc7d
a6b2ac3ee683be6fbbbab0fa12d88f73
cc68fcc0a4fab798763632f9515b3f92
Cores:
3f52ea949f2bd98f1e6ee4ea1320e80d
c7c647a14cb1b8bc141b089775130834
