پژوهشگران شرکت امنیتی Trend Micro ضمن شناسایی یک عملیات خربکارانه
سایبری اعلام کردند که این حمله تاکنون کامپیوترهای چندین وزارتخانه
دولتی، شرکت های فناوری، کانال های رسانهای، موسسههای تحقیقاتی
دانشگاهی و سازمانهای غیردولتی در بیش از صد کشور جهان را مورد هدف قرار
دادهاست. این عملیات خرابکارانه که شرکت ترند مایکرو آنرا SafeNet
میخواند با ترفندی موسوم به spear phishing، ایمیلهای قربانیان خود را با
الصاق ضمیمههای آلاینده مورد حمله قرار دادهاست.
به گزارش سافتگذر به نقل از فن آوری اطلاعات ایران، محققان ترندمایکرو دو گروه سرور فرمان و کنترل (بهاصطلاح
command-and-control یا C&C) را شناسایی کردهاند که به نظر میرسد
مجرمان از آنها بهعنوان دو پایگاه مجزا جهت ترتیب دادن حمله به اهداف
مختلف استفاده کردهاند. یکی از این پایگاهها ایمیلهایی با ضمیمه آلوده
ارسال میکرد که در آنها مطالبی درباره تبت و مغولستان نوشته شده بود.
ضمیمه این ایمیلها فایلهای ورد مایکروسافت با پسوند .doc بود و برای نفوذ
به کامپیوتر کاربر از ضعف موجود در برنامه ورد که البته مایکروسافت در
آوریل سال گذشته وصلهگذاری اش کرده بود، استفاده میکردند.
با بررسی لاگ های دسترسی روی سرورهای این پایگاه، در مجموع ۲۴۳ آدرس
آی پی منحصر بهفرد متعلق به کامپیوترهای قربانی بهدست آمد که در ۱۱
کشور جهان پراکنده بودند. البته زمانی که این حمله کشف شد، تنها آدرس آی
پی سه قربانی در دو کشور مغولستان و سودان فعال و با سرورهای مهاجم در
ارتباط بودند.
سرورهای C&C در پایگاه دوم ۱۱۵۶۳ آدرس آی پی منحصر بهفرد از ۱۱۶
کشور جهان را مورد حمله قرار داده بودند اما ظاهراً شمار قربانیانی که از
این حمله واقعاً تاثیر پذیرفتهاند بسیار کمتر از این تعداد بودهاست چون
حین بررسیها تقریباً ۷۱ قربانی همچنان با سرورهای C&C این پایگاه در
ارتباط بودند. هنوز مشخص نشدهاست که در حملههای ایمیلی پایگاه دوم از چه
راه کاری برای نفوذ به کامپیوترها استفاده شدهاست ولی هرچه که هست
بهنظر میرسد حمله پایگاه دوم در مقایسه با پایگاه نخست، گستردهتر بوده و
شش کشور هند، ایالات متحده، چین، پاکستان، فیلیپین و روسیه را بیش از
دیگران تحت تاثیر قرار دادهاست.
هدف بدافزاری که طی این حمله روی کامپیوترهای قربانی نصب میشد در وهله
اول، سرقت اطلاعات بود. روی سرورهای C&C نیز پلاگین هایی کشف شد که
میتوانستند گذرواژههای ذخیرهشده در مرورگرهای اینترنتاکسپلورر و
فایرفاکس و نیز اطلاعات ذخیرهشده روی Remote Desktop ویندوز را استخراج
کنند.