Guest

وضعیت کاربر: میهمان  ورود

چهارشنبه 21 آذر ماه 1397
 
شیوع
شیوع

دوکو نام یکی از جدیدترین ویروس های کامپیوتری است که نخستین بار در اوایل دسامبر ۲۰۱۱، پس از آنکه کاربری در مجارستان یکی از بخش های نرم افزار مخربی را روی وب سایت ویروس توتال آپلود کرد، کشف شد. دوکو ویروسی تروجان (جاسوس) است که از راه یک فایل متنی وُرد از نرم افزارهای مایکروسافت گسترش می یابد و از این طریق سطح امنیت کامپیوترها را تغییر می دهد. بر اساس گزارش های منتشر شده، این ویروس به این دلیل «دوکو» نام گذاری شده است که فایل هایی با پسوند دی کیو می سازد. گفته می شود ویروس دوکو که برای اولین بار توسط لابراتوار رمزنویسی و امنیت سیستم های رایانه ای The Laboratory of Cryptography and System Security در دانشگاه بوداپست ردیابی شده، توسط فایل متنی شرکت مایکروسافت پخش شده است. گروهی از محققان راهکاری پیدا کردند تا جلوی فایلی را که این بدافزار را روی سیستم هدف نصب می کند، بگیرند. به گفته محققان این ویروس جدید که نوعی بدافزار است پیش درآمدی از یک حمله از نوع استاکس نت در آینده می باشد. ویروس دوکو دارای همان کدهای مخربی است که برنامه هسته ای ایران را مورد هدف قرار داده بود.

مایکروسافت می گوید نقص در موتور فونت باعث شده این ویروس به انواع مختلف سیستم نفوذ کرده و اسناد دارای فرمت ورد XP را آلوده کند.

بدافزار دوکو که از اجزاء مختلف نرم افزاری تشکیل شده که با همکاری هم امکانات حمله به سیستم را فراهم می آورند. در حال حاضر این بخش شامل توانایی های سرقت اطلاعات و در ابزارهای زمینه، نرم افزارهای اصلی و اینجکشن است.

این ویروس به شکلی طراحی شده که قادر است اطلاعات حساس را از صنایع به سرقت ببرد و شرکت هایی را در نقاطی از اروپا مورد هدف قرار دهد. بدافزار دوکو که سیستم های صنعتی و سازمان های حساس را هدف گرفته، خطری به مراتب جدی تر از آن است که تا به حال تصور می شد. این ویروس با دقت به سوی شمار معدودی از سازمان ها به خاطر دارایی های مشخص آن ها هدف گرفته شده است. افرادی که کنترل دوکو را در دست دارند، آن را برای انجام هر حمله از درون بسته بندی و آماده می کنند؛ تلاش برای طراحی و توسعه این بدافزار سابقه طولانی داشته و به سال ۲۰۰۷ بازمی گردد. تجزیه و تحلیل نمونه های این حمله و همین طور بررسی اطلاعات جمع آوری شده در این زمینه ثابت می کند که تهدید دوکو را باید کاملاًً جدی گرفت و از کاربرد روش های سنتی برای مقابله با آن پرهیز کرد. گفته می شود هسته اولیه این بدافزار در تاریخ ۳۱ آگوست سال ۲۰۰۷ طراحی شده، هر چند برخی کارشناسان هم فوریه سال ۲۰۰۸ را آغاز فعالیت دوکو می دانند. با توجه به نحوه عملکرد دوکو می توان گفت که این بدافزار قربانیان خود را به دقت انتخاب می کند و برای حمله به هر یک از آن ها از روش منحصر به فرد و اختصاصی استفاده می کند. نکته مهم دیگر تلاش فزاینده و جالب دوکو برای مخفی کاری و پاک کردن ردپای خود است.

این ویروس می تواند با جمع آوری اطلاعات سیستم ها و مجتمع های صنعتی زمینه را برای در اختیار گرفتن کنترل آن ها از راه دور فراهم کند منابع غربی می گویند بدافزار دوکو ۲ کار اصلی انجام می دهد:

● سرقت اطلاعات مجتمع های صنعتی و فراهم آوردن امکان کنترل از راه دور این مجتمع ها

از آنجا که این ویروس، ویروسی هوشمند است به دنبال نرم افزاری می گردد که بتواند به سانتریفیوژها آسیب قطعی برساند. در صورت پیدا کردن این نرم افزار، ویروس یا سرعت سانتریفیوژ را می گیرد و یا آن را کند می کند و سانتریفیوژ، به صورت خودکار خراب شده، به گونه ای که کاربران هم متوجه آن نمی شوند یا وقتی در می یابند که بسیار دیر شده است. «دوکو» به گونه ای طراحی شده است که به درون سیستم های ایرانی نفوذ کرده و اطلاعات درون آن ها را جمع آوری می کند. به نظر می رسد استاکس نت نتوانسته است همه هدف های نویسندگان آن را محقق کند و انتظار می رود در ماه های آینده، ویروس های پیچیده تری هم برای نفوذ در رایانه های ایرانی ایجاد شود. تولید ویروس و انتقال آن به سایت های سازمان های حساس ایران، نبردی جدی و جدیدی است که به هیچ وجه نمی توان با تساهل از کنار آن گذشت. مجهز کردن سیستم های حراست و حفاظت سازمان های دولتی و غیر دولتی خاص، به آخرین تجهیزات امنیتی و کارشناسان برجسته، در این مرحله ضرورتی انکار ناپذیر است. جنگ سایبری برای آلوده کردن رایانه های ایرانی، هرچند مدتی است آغاز شده، در ماه های آِینده به مراحل اوج خود خواهد رسید طبق گفته محققان دوکو با نفوذ به فایل ورد زیرو دی (zero day)، آسیب پذیری هسته را بیشتر می کند و در نتیجه ویروس نصب می شود. زیرو دی اکسپلویت نوعی تهدید کامپیوتری است که از خطاهای نرم افزار قبلی استفاده می کند و به مهاجم اجازه عمل می دهد. زمانی که شخصی فایل آلوده به ویروس ورد را باز می کند، اجزای اصلی سازنده دوکو به سرعت در سیستم مذکور انتشار می یابند. اما محققان بر این باورند که این تنها راه حمله این ویروس نمی باشد و علاوه بر حمله از طریق فایل ورد، از راه های دیگری هم قادر به نفوذ به سیستم هستند.

زمانی که دوکو سیستمی را آلوده کرد، به جستجوی کانتکت های فرد مورد نظر در ایمیل او می پردازد و با نفوذ به فایل های ضمیمه ای ورد، تکثیر می یابد. فرد از این طریق می داند که ایمیل را از یک شخص مطمئن دریافت کرده و آن را باز می کند و در نتیجه سیستمش آلوده به این ویروس می شود. تا زمانی که شخص فایل ضمیمه شده ی ورد را باز نکند، اتفاقی نخواهد افتاد.

دوکو قادر است حتی در سیستم هایی که هرگز به اینترنت وصل نمی شوند نیز راه یابد و تکثیر شود. طبق مقاله ای منتشر شده از سیمانتک، ویروس دوکو می تواند از طریق شبکه های SMB نیز تکثیر شود. به گفته سیمانتک، دوکو در مواردی که سیستم به اینترنت دسترسی ندارد تا بتواند سرورهای آن ها را آلوده کند، از طریق استفاده از فایلی هوشمند که فایلی را به اشتراک می گذارد، به کامپیوتر شخص راه می یابد. مایکروسافت مدعی است موفق شده آسیب پذیری را در موتور تجزیه فونت «ویندوز تروتایپ» بیابد که می تواند منجر به آلوده شدن یارانه ها شود. از این رو این شرکت به صورت موقتی نرم افزاری را برای جبران این آسیب پذیری ارائه کرده تا در آینده ای نامشخص آن را جبران کند. یکی از رازهایی که تاکنون در مورد دوکو فاش نشده، شیوه اصلی نفوذ آن به داخل سیستم است. جست وجو برای شکار این ماژول دوکو هنوز ادامه دارد، آنچه مشخص است این ماژول به متخصصان در یافتن هدف نهایی این برنامه مخرب کمک خواهد کرد.

● مقایسه کرم دوکو با استاکس نت

شباهت بسیار زیاد کرم دوکو به استاکس نت نگران کننده بوده و بر اساس همین شباهت، محققان سیمانتک بر این باورند که تیم سازنده ی دوکو همان تیم سازنده ی استاکس نت است و یا تیم دیگری که به کدهای اطلاعاتی استاکس نت دسترسی داشته است. کرم استاکس نت، مهاجمی است که پیچیده ترین کرم کامپیوتری دهه ی گذشته محسوب می شود، یک سلاح پیچیده ی فضای مجازی که در سال گذشته قصد داشت با بیشترین وسعت و شدت ممکن، تشکیلات مورد هدف خود از جمله تاسیسات انرژی هسته ای را نابود کند. این کرم به طور خاص، دستگاه های کنترل منطقی قابل برنامه ریزی مورد استفاده در تاسیسات انرژی هسته ای ایران را مورد هدف قرار داد. شایعه شده است که نیروی نظامی یا جاسوسی آمریکا یا اسرائیل، به منظور تضعیف توانایی های هسته ای ایران، استاکس نت را برنامه ریزی کرده اند. کرم دوکو براساس کدهای هسته ای کاملاً مشابه استاکس نت ساخته شده، با این تفاوت که اهداف دوکوما کلاً متفاوت از استاکس نت است. نحوه ی سرایت و سایر موارد یکسان است، تنها این بار نیازی به برنامه ریزی های مربوط به انرژی هسته ای نیست.

سیمانتک، براساس گزارش کریسیسس، به تفصیل مقاله ای تخصصی منتشر کرده و معتقد است که سازندگان دوکو همان سازندگان استاکس نت هستند و یا اینکه سازندگان دوکو به کدهای اصلی استاکس نت دسترسی داشته اند. این کرم، همانند استاکس نت، تاییدیه ی دیجیتالی جعلی دارد و برای حملات بعدی خود در آینده، اطلاعات جمع آوری می کند. میکوُ هیپونِن، محقق F Secure، بیان داشته که نرم افزار اصلی دوکو، JMINET۷.SYS، آن چنان مشابه به MRXCLS.SYS مربوط به استاکس نت بوده که ابزار آنتی ویروس و عقبه ی سیستم F Secure، آن را استاکس نت تشخیص داده است. هیپونن در ادامه گفته است که تاییدیه دیجیتالی دوکو از C Media، واقع در تایپه تایوان، به سرقت رفته است. قرا بود این تاییدیه ها در دوم آگوست ۲۰۱۲ منقضی شوند اما براساس دستور سیمانتک، در ۱۴ اکتبر ۲۰۱۱، لغو شدند.محققان مک کافی نیز اطمینان دارند که تیم سازنده ی استاکس نت و دوکو یکی هستند. آن ها نتیجه گیری خود را مبتنی بر استفاده از تکنیک ها و کلیدهای پنهان سازی، کدهای ورودی و تاییدیه های دیجیتالی جعلی مشابه در هر دو ویروس می دانند که برای کمپانی های تایوان صادر شده اند. این تاییدیه های دیجیتالی بسیار حقیقی به نظر می رسند که باعث می شود برنامه ها قانونی جلوه کنند. با این حال، و با وجود تمامی این شباهت ها، برخی متخصصان معتقدند هدف دوکو آسیب زدن به سرمایه ها و نزدیکان ایالات متحده است و تیم های سازنده ی دوکو و استاکس نت یکی نیستند.

● اهداف دوکو

دوکو از پروتکل همتای SMB استفاده می کند تا به شبکه های ایمن، از ناحیه های با ایمنی پایین تر گرفته تا ناحیه های کاملاً ایمن وارد شود. طبق گفته ی مک کافی، یکی از اهداف دوکو سرقت تاییدیه های دیجیتالی از کامپیوترهای مورد حمله است تا کمک کند ویروس های بعدی، نرم افزارهایی ایمن به نظر برسند. دوکو از یک فایل jpeg ۵۴×۵۴ پیکسل (۳۶۴.۵ bytes) و فایل های ساختگی رمزدار شده به عنوان کانتینرهای قاچاق اطلاعات به مرکز کنترل و فرماندهی خود استفاده می کند. متخصصان امنیتی هنوز در حال بررسی کد این کرم هستند تا تشخیص دهند در این انتقالات چه داده و اطلاعاتی رد و بدل می شود. یافته های اولیه نشان می دهد این ویروس به طور خودکار بعد از ۳۶ روز خود را از بین می برد، که باعث مشکل و محدود شدن ردیابیش می شود.برخلاف استاکس نت، که برای حمله به یک نوع سیستم کامپیوتری خاص طراحی شده بود، به نظر نمی رسد که دوکو هدف مشخص و واضحی داشته باشد.

سیمانتک بر این باور است که تا بدین جا، هدف ابتدایی دوکو جمع آوری هوشمند اطلاعات از تولیدکنندگان سیستم های کنترل صنعتی بوده است. دوکو با عملکردهای سیستم های مورد حمله ی خود درگیر نمی شود و هدفش تنها شناسایی این سیستم هاست.سازندگان این ویروس به دنبال اطلاعاتی نظیر اسناد طراحی مورد استفاده در سیستم های کنترل نظارتی و فراگیری داده (SCSADA) بوده اند که برای کنترل ماشین آلات و سایر عملکردهای کلیدی مورد استفاده قرار می گیرد و می تواند در زمان حمله به تاسیسات صنعتی و نیروگاه های قدرت کارساز باشند. آن ها از دسامبر ۲۰۱۰ به آرامی و بی صدا کامپیوترها را تحت نظر داشته اند؛ فعالیت های دوکو بیشتر شبیه به مقدمه ای برای یک حمله بزرگ و گسترده تر است. سیمانتک می گوید نکته ی گمشده در به اره ی این ویروس، بر خلاف استاکس نت، این است که ما واقعاً نمی دانیم سازندگان دوکو به دنبال چه هستند. تا بدین جا، دوکو تنها یک در پشتی و پنهانی در سیستم های مورد حمله ایجاد کرده است و به یک سرور کنترل و فرماندهی در جایی در هند متصل است. این در پنهانی به مدت ۳۶ روز و قبل از نابودی خودکار دوکو باز می ماند. محققان سیمانتک، برای اولین بار هنگامی با دوکو مواجه شدند که یک شرکت دیگر که مورد حمله ی این کرم قرار گرفته بود نمونه ی آلوده ی خود را برای آن ها فرستاد. محققان نمونه را بررسی کردند و بعد از آن پی بردند که تمامی کامپیوترهای صنعتی در سراسر جهان آلوده شده اند. سیمانتک از بردن نام اولین قربانی و یا معرفی تعداد کل قربانی های این ویروس سر باز زده است. دوکو به کشورهای مختلفی حمله کرده است. بعد از تحقیقات گسترده ی توسط کریسیس، ثابت شده که دوکو در تشکیلات و سازمان های مختلفی در سراسر جهان نفوذ کرده و یک سرور کنترل و فرماندهی در هند و بلژیک در حال فعالیت داراست. کریسیس از طریق ردیابی ISP ها، کشورهای درگیر با دوکو را به هشت کشور در ۶ منطقه ی A تا F طبقه بندی کرده است. گروه A شامل فرانسه، اوکراین، سوئیس و هلند می شود. گروه B هند، گروه C و D ایران و گروه E سودان و ویتنام هستند. سایر کشورهای درگیر عبارتند از اتریش، اندونزی، انگلستان و مجارستان.

ایران آلوده شدن سیستم های کامپیوتری خود را توسط این ویروس تائید کرده و مدعی است پس از شناسایی دوکو در حال توسعه ی نرم افزار مبارزه با آن است.

تاريخ تنظيم: جمعه 7 بهمن ماه 1390
کليه حقوق اين سايت متعلق به Intelligent Communication Chip می باشد.