بدافزار "مدی" بعد از دانلود شدن چه می‌کند؟

تاریخ انتشار : ۰۱ شهريور ۱۳۹۱

فایل‌دزدی، از کار انداختن کلید‌ها، نظارت بر ایمیل‌ها و تصویربرداری از صفحه نمایشگر کاربر، از جمله کارکردهای ویروس "مدی" است.

گرداب- "موسسه بین‌المللی مطالعات راهبردی" آمریکا در مقاله‌ای به قلم "راندولف بل" مدیر موسسه، می‌نویسد: بدافزار جدید مدی (madi) یا مهدی (mahdi) علی‌رغم بدافزارهای گذشته از سیستم برنامه‌نویسی بسیار ساده‌ای استفاده کرده که همین مسئله پی بردن به سازندگانش را دشوار می‌سازد. از طرفی دیگر، برای ارتباط با رایانه آلوده، از زبان فارسی استفاده شده که خود نشان‌دهنده شناخت محلی زیاد سازنده بوده است.

حملات سایبری جدید علیه ایران
طی چند هفته گذشته، آزمایشگاه‌های شرکت "کسپرسکی" که یک شرکت امنیت سایبری روسی است، اطلاعاتی درباره حمله دیگری از سلسله حملات سایبری علیه ایران منتشر کرده است، اما با وجود بیشتر داستان‌های مشابه، حمله بدافزار "mahdi" به سادگی تبلیغات جعلی مواد نیروزا در فایل ایمیل‌های مزاحم شماست.

بدافزار "mahdi" از ساده‌لوحی کاربران رایانه سوءاستفاده می‌کند
حملات سایبری پیشین علیه ایران، از جمله  "استاکس‌نت"، "دوکو"، و "فلیم" از تکنیک‌های برنامه‌ریزی فوق‌العاده پیشرفته‌ای استفاده می‌کردند تا به شبکه‌های ایرانی نفوذ کنند، اما بدافزار "mahdi"، از طریق چندین تکنیک "مهندسی اجتماعی"، از ساده‌لوحی کاربران رایانه سوء استفاده می‌کند، به این شکل که کاربران با بازکردن یکی از چندین فایل پیوست ظاهرا بی‌ضرر ایمیل، خودشان این بدافزار را روی رایانه و سیستم‌‌شان نصب می‌کنند.

بیشتر کاربران به هشدارها بی‌توجهند
یکی از نمونه‌هایی که کسپرسکی در موردش صحبت کرده، "magicmachin1123.pps"، است که "بدافزار را از طریق اسلایدهایی پاورپوینتی که ظاهرا معمایی ریاضی را مطرح می‌کنند، روی رایانه نصب می‌کند؛ معمایی که تعداد دستورالعمل‌های ریاضی‌اش خارج از توان بیننده است." با اینکه برنامه پاورپوینت هشدار می‌دهد که ممکن است محتوای فایلی که کاربر باز کرده، ویروسی در خود داشته باشد، همه کاربران از این هشدارها آگاه نیستند و آن‌ها را جدی نمی‌گیرند و همچنان کلیک می‌کنند و برنامه پرخطر را به اجرا درمی‌آورند.

کارکرد این بدافزار برداشتن فایل‌ها و از کار انداختن برخی قسمت‌هاست
بدافزار "mahdi" پس از دانلود شدن همان کاری را می‌کند که فلیم می‌کرد؛ فایل‌دزدی، از کار انداختن کلید‌ها، نظارت بر ایمیل‌ها و تصویربرداری از صفحه نمایشگر کاربر. قربانیان این بدافزار عبارتند از تأمین کنندگان زیرساخت‌های مهم، دانشجویان مهندسی، موسسات دولتی و نهادهای مالی. (هم "mahdi" و هم "flame" با پسرعموی‌شان "stuxnet" که مشخصا برای آسیب زدن به سانتریفیوژهای ایرانی طراحی شده بود، متفاوتند) با اینکه بیشتر حدودا 800 رایانه‌ آلوده شده در ایران هستند، این بدافزار افرادی در اسرائیل، افغانستان، امارات متحده عربی و عربستان سعودی را هم دچار مشکل کرده است.

"mahdi" ساده‌تر از آن است که بتوان به دولتی خاص نسبتش داد
پس از آنکه از جانب مقامات آمریکا اطلاعاتی به "دیوید سنگر" گزارشگر داده شد، حملات استاکس‌نت را نهایتا متوجه دولت‌های آمریکا و اسرائیل دانستند. (کسپرسکی، ویروس‌های فلیم و دوکو را نیز به همان سازندگان استاکس‌نت نسبت می‌دهد، اما هنوز هیچ دولتی رسما مسئولیت ساخت آن را به عهده نگرفته است) اما حتی پیش از آنکه قطعا معلوم شود استاکس‌نت را کدام کشور ساخته، بیشتر تحلیلگران بر این عقیده بودند که پیشرفته بودن این بدافزار نشان از حمله‌ای دولتی دارد، اما نسبت دادن ساخت "mahdi" به دولتی خاص دشوارتر است چون این بدافزار از نمونه‌های پیشین خیلی ساده‌تر است.

84 درصد حملات این ویروس در ایران صورت گرفته است
ممکن است سازمانی جنایی، گروه مخالف رژیم که از لحاظ مالی خوب تأمین شده، یا کشوری که برنامه جنگ سایبری بسیار سطح پایین‌تری نسبت به امکانات آمریکا و اسرائیل دارد آن را ساخته باشد. مضاف بر این، اهداف این حمله که افراد و دانشگاهیان هستند، به آسانی خام گمان‌های ساده مهاجمان یا انگیزه‌هایشان نمی‌شوند. نهایت اینکه، "سیمنتک"، یک شرکت امنیت سایبری آمریکایی، گزارش کرد که اکثر قربانیان این ویروس را در اسرائیل شناسایی کرده‌اند، نه ایران و این خود نسبت دادن آن را به کشوری خاص دشوارتر می‌سازد. اگر نتوانیم بر سر اینکه چه کسانی قربانی این حمله شده‌اند به توافق برسیم، چطور می‌توانیم مهاجمان را شناسایی کنیم؟ اما کسپرسکی تحلیل‌های بیشتری انجام داده که نتیجه‌شان نتیجه‌گیری شرکت سیمنتیک را نقض می‌کنند؛ آنها هفته گذشته گزارش کردند 84 درصد حملات در ایران صورت گرفته و فعلا پرونده‌اش را بسته‌اند.

موفقیت این بدافزار نشان‌دهنده ناآگاهی کاربران
موفقیت بدافزار "mahdi" اطلاعاتی در باب رشد آن‌لاین قربانیان در اختیارمان می‌گذارد. مهندسی اجتماعی مورد استفاده "mahdi" برای کاربران قدیمی اینترنت به شکلی مضحک ساده است. آیا ما در سال 1996 در حساب‌های کاربری "آاُال" (AOL) خود با همین حقه مواجه نشدیم؟ (مهندسی اجتماعی هنوز موفق است، اما مهاجمان از تکنیک‌های ظریف‌تری استفاده می‌کنند.) موفقیت مهاجمان در آلوده کردن رایانه قربانیان غیرتصادفی که ظاهرا همه از سطوح بالای تجارت و دولت هستند، نشان دهنده عدم آگاهی این افراد از ظرفیت حملات سایبری و تاریخچه‌ آنهاست. خلاصه اینکه شاید ایرانیان از ویروس‌های رایانه‌ای هرروزه کمتر آگاهی دارند یا به آنها شک می‌کنند.

هر کس "mahdi" را ساخته اطلاعات بومی زیادی داشته
این اطلاعات و این مسئله که "madi" یکی از نخستین بدافزارهایی است که برای ارتباطات بین سرور فرمان و رایانه آلوده از زبان فارسی استفاده می‌کند، هویت مهاجمان را روشن‌تر می‌سازد. هر کس "mahdi" را ساخته اطلاعات بومی زیادی داشته و به جای آنکه از دانش پیشرفته رایانه‌ای سود برد، از اطلاعات بومی‌اش جهت نیل به هدف سود جسته است.

منبع: فارس