محققان فعال در زمینه امنیتی سایبری بهتازگی توانستهاند که نمونه بدافزار جدیدی را کشف کنند که میتواند از بیش از 50 آنتیویروس بزرگ و قدرتمندی که درحالحاضر در بازار وجود دارد، خودش را پنهان کند.
این بدافزار برای اولین بار توسط محققان امنیت سایبری واحد 42، یعنی همان تیم اطلاعات تهدیدات در شبکههای پالو آلتو کشف شد. این تیم برای اولین بار در ما می، زمانی که متوجه شدند که با استفاده از ابزار Brute Ratel که بیشتر با نام BRC4 شناخته میشود، ساخته شده است.
توسعهدهندگان BRC4 ادعا میکنند که حتی بزرگترین و قدرتمندترین آنتیویرویسهایی که درحالحاضر در بازار وجود دارند را با استفاده از مهندسی معکوسی بررسی کردهاند تا متوجه شوند که ابزار آنها بههیچ عنوان شناسایی نخواهد شد. کیفیت طراحی وس رعت توزیع این بدافزار بین قربانیان، محققان را متقاعد کرده که یک فرد یا گروه که تحت حمایت دولتها قرار دارد، این بدافزار را توسعه داده است.
درحالیکه این بدافزار بهخودی خود خطرناک است، اما محققان بیشتر به مسیر توزیع آن علاقمند هستند. این دست از افراد متوجه شدهاند که اگر قرار باشد بدافزاری با این قدرت و شدت پخش شدن در سیستمهای مختلف توسعه داده شود، حتما نیازبه حمایتهای یک دولت دارد.
نحوه پخش شدن این بدافزار با استفاده از یک فایل CV جعلی است. برای آن دست از افراد که نمیدانند، باید بگوییم که CV یک فایل ISO است که پس از نصب روی یک درایو مجازی، چیزی شبیهبه فایلهای مایکروسافت ورد را به ما نشان میدهد.
درحالیکه محققان هنوز نمیتوانند دقیقا مشخص کنند که عامل تهدیدکننده BRC4 چه کسی است، آنها به گروه APT29 که درحالحاضر در کشور روسیه مستقر است، شک دارند. این گروه در گذشته نیز از فایلهای ISO آلوده شده استفاده کرده بود تا بتواند به سیستمهای مختلف نفوذ و آنها را آلوده کند.
نکته دیگری که شک محققان امنیتی درمورد این ویروس را تبدیلبه واقعیت میکند که یک فرد یا گروه تحت حمایت دولتها در پشت آن قرار دارد، سرعت استفاده از BRC4 است. فایل ISO گفته شده در همان روزی ایجاد شده که آخرین نسخه BRC4 دردسترس قرار گرفته بود.
واحد 42 در یک پست وبلاگی درمورد این بدافزار و توسعهدهنده آن نوشت:
تجزیه و تحلیل دو نمونه توصیف شده در این وبلاگ و همچنین روش پیشرفته مورد استفاده برای بستهبندی این بسته به ما نشان میدهد که عوامل سایبری مخرب شروعبه استفاده از این قابلیت کردهاند. ما معتقدیم که ضروری است همه فروشندگان امنیتی برای شناسایی BRC4 روشهای محافظتی مورد نیاز را بهکار ببرند و همه سازمانها اقدامات پیشگیرانهای را برای دفاع دربرابر این ابزار انجام دهند.