کاروتک

تکنولوژی و علمی

تلویزیون و سینما

تلویزیون کاروتک

جزئیات جدیدی در مورد یک در پشتی لینوکس که قبلا شناسایی نشده بود، منتشر شده که گمان می‌رود توسط گروه بدنام Equation که با آژانس امنیت ملی ایالات متحده آمریکا یا همان NSA ارتباط دارد، ایجاد شده است.

طبق گزارش جدید منتشر شده از شرکت امنیت سایبری Pangu، محققات امنیتی تیم Advanced Cyber Security Research، برای اولین بار در سال 2013 و در زمان انجام یک سری از عملیات‌های کندوکاو در این سیستم‌عامل، در پشتی گفته شده را پیدا کرده‌اند. در آن زمان، تیم تصمی گرفت که این بدافزار را Bvp47 نام‌گذاری کند، زیرا رایج‌ترین رشته Bvp و 0x47 مقدار عددی مورد استفاده در الگوریتم رمزگذاری آن بود.

با وجود این واقعیت که Bvp47 تقریبا یک دهه پیش به پایگاه داده آنتی‌ویروسی Virus Total ارسال شده است، در حال حاضر تنها در یک موتور جستجو آنتی‌ویروسی قرار دارد. این مورد در نهایت با انتشار گزارشی از سوی Pangu تغییر پیدا کرد و طبق گفته‌های رسانه BleepingComputer، در حال حاضر شش موتور آنتی‌ویروسی بزرگ دنیا آن را شناسایی می‌کنند.

در طول تقریبا 10 سالی که بدافزار Bvp47 شناسایی نشده، از آن برای هدف قرار دادن بیش از 287 سازمان در 45 کشور دنیا که اکثر آن‌ها در بخش‌های مهمی مانند مخابرات، نظامی، آموزش عالی، مالی و علوم تمرکز کرده بودند، استفاده شده است.

ارتباط با گروه Equation

نمونه ویروس Bvp47 که تیم تحقیقات سایبری پیشرفته Pangu در سال 2013 کشف کرد، یک در پشتی پیشرفته لینوکس بود که در آن یک تابع کنترل از راه دور محافظت شده با استفاده از الگوریتم رمزگذاری نامتقارن RSA وجود داشت.

به این ترتیب ویروس گفته شده برای فعال شدن نیاز به یک کلید خصوصی داشت و این کلید خصوصی در یک سری از اطلاعات فاش شده توسط گروه هکری Shadow Brokers در طی سال‌های 2016 تا 2017 پیدا شد. اطلاعات فاش شده همچنین حاوی ابزارهای هک و سو استفاده معروف به Zero Day یا همان روز صفر بود. بر اساس شواهد موجود، از این ابزارها گروه هکری Equation استفاده می‌کرد. همان‌طور که گفتیم، این گروه هکری در حال حاضر مظنون به همکاری با سازمان امنیت ملی آمریکا با همان NSA است.

برخی از اجزای این اطلاعات فاش شده مانند dewdrop و solutionchar_agents در چهارچوب Bvp47 ادغام شده‌اند که این موضوع به ما نشان می‌دهد که این در پشتی می‌تواند در سیستم‌عامل‌های مبتنی‌بر یونیکس مانند JunOS، FreeBSD و Solaris موجود باشد.

بر اساس آنالیزهای خودکار مربوط به در پشتی توسط Kaspersky Threat Attribution Engine یا همان KTAE، 34 تا از 483 رشته یافت شده در Bvp47 با نمونه‌های مربوط به گروه Equation برای سیستم‌های Solaris SPARC مطابقت کامل دارد. همچنین تا 30 درصد شباهت با نمونه بدافزار دیگری از گروه Equation که در سال 2018 به شرکت Virus Total ارسال شده بود، وجود دارد.

کاستین رایو، مدیر تحقیقات جهانی و تیم تحلیل Kaspersky در گفتگویی با رسانه BleepingComputer گفت که شباهت کدهای Bvp47 با نمونه‌های دیگر در مجموعه بدافزاری آن‌ها نیز مطابقت دارد. این می‌تواند نشانه خوبی باشد، چرا که به ما نشان می‌دهد استفاده از این بدافزار در سطح گسترده نبوده است. در واقع این حمله انجام شده کاملا مطابق با حملات سایبری بزرگی است که در سراسر دنیا اتفاق می‌افتد و هدف‌مند هستند.

در حال حاضر که در پشتی لینوکس Bvp47 آشکار شده است، محققان امنیتی احتمالا تجزیه و تحلیل بیشتری را روی آن انجام خواهند داد و می‌توانید در آینده‌ای بسیار نزدیک شواهد بیشتری مبنی‌بر استفاده از ان در سایر حملاتی که در گذشته انجام شده‌اند را پیدا کنیم.