کشف جاسوس‌افزار پیشرفته سایبری/کدنویسی هوشمند با مقاصد ملی و مالی

مرکز افتا هشدار داد؛

کشف جاسوس‌افزار پيشرفته سايبري/کدنويسي هوشمند با مقاصد ملي و مالي

امنيت سايبري

مرکز مديريت راهبردي افتاي رياست جمهوري از کشف جاسوس افزار جديد خطرناک با نام InvisiMole خبر داد که به عنوان ابزاري براي مقاصد ملي و مالي مورد استفاده قرار مي گيرد.

به گزارش خبرگزاري مهر به نقل از مرکز مديريت راهبردي امنيت فضاي توليد و تبادل اطلاعات (افتا)، پژوهشگران امنيتي ESET بدافزاري را کشف کرده‌اند که در ۵ سال گذشته به شدت مورد استفاده قرار گرفته است؛ درحالي که ريشه اين بدافزار جديد مشخص نشده، اما باورها بر اين است که اين بدافزار يک ابزار پيشرفته جاسوسي سايبري است که براي مقاصد ملي و مالي مورد استفاده قرار مي‌گيرد.

اين جاسوس افزار که InvisiMole نام گرفته، از سال ۲۰۱۳ فعال بوده است. به گفته پژوهشگران، اين بدافزار از کدنويسي هوشمندانه‌اي برخوردار بوده و از دو ماژول تشکيل شده است. هر دو ماژول داراي ويژگي‌هاي جاسوسي اطلاعات هستند و به يکديگر کمک مي‌کنند تا اطلاعات را استخراج کنند.

ماژول نخست که RC۲FM نام دارد و پيچيدگي کمتري نسبت به ماژول دومي دارد، فقط از ۱۵ دستور پشتيباني مي‌کند و قابليت‌هاي ويرايش سيستم محلي و جستجو و سرقت اطلاعات را دارد. ويژگي بارز اين ماژول، قابليت آن در استخراج تنظيمات پراکسي از مرورگرها و استفاده از پيکربندي آنها و ارسال اين اطلاعات به سرور C&C است.

ساير قابليت‌هاي اين ماژول شامل روشن کردن ميکروفون کاربر، ضبط صدا، تبديل آن به فايل MP۳ و ارسال به سرور C&C است. همچنين اين جاسوس افزار مي‌تواند وب‌کم کاربر را روشن کند و از صفحه نمايش کاربر screenshot بگيرد. استخراج اطلاعات سيستمي و تغييرات در پيکربندي سيستم از ساير قابليت‌هاي آن است.

ماژول دوم که RC۲CL نام دارد، داراي قابليت‌هاي پيشرفته‌اي است که مي‌توان از يک جاسوس ابزار حرفه‌اي، انتظار داشت. اين ماژول حاوي ۸۴ دستور در پشتي است که مي‌تواند دستورات shell را به صورت راه دور اجرا کند، کليدهاي رجيستري را تغيير دهد، فايل اجرا کند، ليست نرم‌افزارهاي نصب شده را بدست آورد، درايورها را بارگذاري کند، اطلاعات شبکه را بدست آورد، UAC را غير فعال کند، فايروال ويندوز را غيرفعال کند و غيره. اين ماژول نيز مانند ماژول اول مي‌تواند ميکروفون کاربر را روشن کند و همچنين از صفحات عکس بگيرد.

از ويژگي‌هاي منحصر به فرد اين ماژول، قابليت آن در حذف فايل‌ها خود پس از جمع‌آوري اطلاعات به منظور مخفي ماندن از ابزارهاي کشف بدافزار و ويروس است. ويژگي ديگر آن در تبديل خود به يک پراکسي و تسهيل اتصالات با ماژول اول و سرور C&C مهاجم است.