Gerdab.IR | گرداب

گروه امنیت سایبری؛ ابتدا چکیده این گزارش و در ادامه متن کامل آن تقدیم شده است.

· چندی پیش شرکت امنیت سایبری کسپرسکی از کشف بدافزاری پیشرفته موسوم به «پروژه سارون» خبر داد. کسپرسکی مدعی شده است که این پروژه با پیچیدگی‌های فنی بسیار، مسئول حملات سایبری بسیار گسترده‌ای علیه سازمان‌های کلیدی دولتی در چند کشور جهان از جمله ایران است و به منظور انجام عملیات‌های بلندمدت طراحی شده است.

· بر اساس گزارش شرکت تولید‌کننده آنتی‌ویروس سیمانتک، این بدافزار حداقل از سال 2011 تا 2016 فعالیت داشته و موفق به فریب پیچیده‌ترین سیستم‌های شناسایی شده است.

· پروژه سارون از لحاظ پیچیدگی و پیشرفته بودن با خطرناک‌ترین تهدیدات APT از جمله اکوئیشن، رجین، دوکو و کارتو برابری می‌کند؛ بدافزارهایی که ارتباط اکثر آن‌ها با آژانس امنیت ملی آمریکا، اسرائیل و همچنین سرفرماندهی ارتباطات دولتی بریتانیا تأیید شده است.

· پروژه سارون که به منظور جاسوسی سایبری طراحی شده، قادر است فعالیت‌هایی از جمله نفوذ به شبکه‌های داخلی سازمان‌ها و سیستم‌ها، سرقت اطلاعات شخصی و پیدا کردن رمز عبور سیستم‌ عامل‌ها از طریق رديابي حركت كليد‌هاي صفحه ‌كليد کامپیوترهای قربانی را انجام دهد.

چندی پیش شرکت امنیت سایبری کسپرسکی[1] از کشف بدافزاری پیشرفته موسوم به «پروژه سارون»[2] خبر داد. کسپرسکی مدعی شده است که این پروژه با پیچیدگی‌های فنی بسیار، مسئول حملات سایبری بسیار گسترده‌ای علیه سازمان‌های کلیدی دولتی در چند کشور جهان از جمله ایران است و به منظور انجام عملیات‌های بلندمدت طراحی شده است. بر اساس گزارش شرکت تولید‌کننده نرم‌افزار آنتی‌ویروس سیمانتک (Symantec)، این بدافزار حداقل از سال 2011 تا 2016 فعالیت داشته و موفق به فریب پیچیده‌ترین سیستم‌های شناسایی شده است. محققان شرکت سیمانتک بر این باورند که گروهی از هکرها به نام استرایدر[3] این پروژه را طراحی کرده‌اند و در نتیجه نام آن را «استرایدر» گذاشته‌اند. کسپرسکی هم که کلمه سارون را در پیکربندی فایل‌های این بدافزار یافته بود، نام آن را سارون نهاد. محققان این دو شرکت معتقدند که احتمال اینکه این هکرها هنوز فعالیت خود را متوقف نکرده باشند، وجود دارد.

وجود کلمه سارون در پیکربندی فایل‌های بدافزار سارون

کسپرسکی، کاشف پروژه سارون

چندی پیش یکی از مشتریان شرکت کسپرسکی از این شرکت خواست تا دلیل وجود ترافیک غیر عادی در شبکه سیستم‌هایش را پیدا کند. محققان این شرکت به بررسی این موضوع پرداختند و نهایتاً تجزیه و تحلیل نتایج به دست آمده به کشف یک برنامه اجرایی ناشناخته انجامید. بر اساس گزارش‌های شرکت کسپرسکی، این پروژه که از بدافزاری پیشرفته به نام «رمسک» استفاده می‌کرد، با پیدا کردن رمز عبور سیستم‌ عامل قربانی به اطلاعاتی حساس دسترسی پیدا کرده بود. به علت پیچیدگی بسیار این پروژه و عدم تبعیت از الگویی خاصی در طراحی آن، کشف آن کار دشواری بوده است و تا پیش از بررسی‌های انجام شده توسط کسپرسکی هیچ یک از سازمان‌هایی که این پروژه به آن‌ها حمله کرده بود، نتوانستند آن را شناسایی و با آن مقابله کنند. هکرها با اطلاع داشتن از اینکه که محققان برای پیدا کردن آن‌ها همواره به دنبال الگوها هستند برای حمله به هر یک از اهداف مورد نظر، نسخه‌ای متفاوت از بدافزار با حجم‌ها و اسامی گوناگون طراحی کرده بودند تا احتمال لو رفتن عملیات به حداقل برسد.

یوجین کسپرسکی، بنیان‌گذار و مدیر شرکت کسپرسکی

پروژه سارون یکی از پیشرفته‌ترین حملات APT  [4]

حملات APT یا «تهدیدات پیشرفته و مستمر»، به حملات سایبری پیچیده‌ای گفته می‌شود که سازمان‌ها و مراکز مهم را هدف قرار می‌دهند و توانایی پنهان ماندن تا مدت زیادی را دارند. در سال‌های اخیر تعداد این حملات افزایش چشمگیری داشته است. بسیاری از حملات APT با مقاصد مالی انجام می‌شوند و معمولاً چندین کشور در یک منطقه جغرافیایی را مورد حمله قرار می‌دهند. هدف مهاجمان APT به دست آوردن اطلاعات صنایع یا سازمان‌های خاص است، اما پروژه سارون بسیار گزینشی عمل کرده است و تنها تعداد معدودی از کشورها در نقاط مختلفی از جهان را به منظور جمع‌آوری اطلاعات بسیار با ارزش تمام مراکز کلیدی منطقه مورد نظر، هدف قرار داده است؛ بنابراین به طور قطع هدف از طراحی پروژه سارون، جاسوسی سایبری از کشورها بوده است.

پیچیدگی حملات APT

پروژه سارون از لحاظ پیچیدگی و پیشرفته بودن با خطرناک‌ترین تهدیدات APT از جمله اکوئیشن [5]، رجین [6]، دوکو [7] و کارتو [8] برابری می‌کند. حملات APT بسیار پیشرفته، معمولاً ویژگی‌های مشترکی دارند، از جمله اینکه معمولاً توانایی هدف قرار دادن چندین سازمان دولتی در کشورهای مختلف را دارا هستند؛ این بدافزارها تا قبل از شناسایی شدن اطلاعات گسترده‌ای را سرقت و پس از آن از چندین کانال برای خروج مخفیانه استفاده می‌کنند. آن‌ها از مسیرهایی ناشناخته برای رسیدن به هدف خود استفاده می‌کنند و قادرند با استفاده از روش‌های خاصی حفره‌های امنیتی در نرم‌افزارهای سیستم‌های هدف را پیدا و از آن برای حمله به قربانی خود استفاده کنند. پروژه سارون اکثر این ویژگی‌ها را دارا است اما اینکه توانسته باشد با روش‌های خاص حفره‌های امنیتی در سیستم‌ها را پیدا کند، به اثبات نرسیده است. با این حال، از آنجا که پروژه سارون توانایی نفوذ به سیستم‌های air-gapped [9] را دارد و رمز گذاری فایل‌ها در USBهایی که به این سیستم‌ها متصل می‌شوند، به تنهایی به مهاجمان توانایی کنترل سیستم‌های air-gapped را نمی‌دهد، در نتیجه این کار باید با حمله به حفره‌های امنیتی نرم‌افزارها انجام شده باشد. پیدا نشدن چنین توانایی‌ای در بررسی‌های انجام شده روی پروژه سارون، می‌تواند به این دلیل باشد که چنین حملاتی تنها توسط نسخه‌هایی از این بدافزار که پیدا کردن آن‌ها سخت‌تر است و کمتر مورد استفاده قرار گرفته‌اند، انجام شده باشد.

هک رمز عبور سیستم‌ها توسط پروژه سارون

پروژه سارون که به منظور جاسوسی سایبری طراحی شده، قادر است فعالیت‌هایی از جمله نفوذ به شبکه‌های داخلی سازمان‌ها و سیستم‌ها، سرقت اطلاعات شخصی و پیدا کردن رمز عبور سیستم‌ عامل‌ها از طریق رديابي حركت كليد‌هاي صفحه ‌كليد کامپیوترهای قربانی را انجام دهد. وقتی که برنامه سارون نصب می‌شود، ابتدا هیچ گونه فعالیتی از خود نشان نمی‌دهد و منتظر می‌ماند تا در فرصتی مناسب که در حافظه این برنامه توسط مهاجمان برنامه‌ریزی شده فعالیت خود را شروع کند. این روش عملکردی، به این برنامه اجازه می‌دهد تا بدون اینکه شناسایی شود در سرور سیستم‌های هدف برای مدت بیشتری بماند.

دست‌یابی به رمز عبور سیستم‌ عامل توسط پروژه سارون

ویژگی‌هایی که پروژه سارون را تبدیل به بدافزار جاسوسی پیشرفته کرده است

پروژه سارون چندین مشخصه دارد که آن را به یک بدافزار جاسوسی پیشرفته تبدیل کرده است. این مشخصه‌ها عبارتند از:

1) اتخاذ رویکردی منحصر به فرد: عاملان این پروژه حدود 50 نسخه بدافزاری متفاوت با اسامی و سایزهای مختلف طراحی و هر یک از آن‌ها را به سیستم‌های یک هدف خاص وارد کردند؛ برخی از این نسخه‌های بدافزاری ظاهر و اسامی‌ای مشابه فایل‌های تولید شده توسط مایکروسافت داشتند که می‌توانستند به راحتی کاربر را فریب داده و شناسایی آن را برای محققین بسیار دشوارتر کنند. پروژه سارون برای ارسال اطلاعات جمع آوری شده از سیستم‌های هدف و رساندن آن به دست مهاجمان از روش‌های گوناگون و متنوعی استفاده می‌کند. 

شبیه‌سازی فایل‌های مایکروسافت توسط مهاجمان

2) نصب شدن روی حافظه سیستم: این بدافزار که به زبان باینری (صفر و یک) نوشته می‌شود، معمولاً بر روی حافظه سیستم ذخیره می‌شود، کنترل سیستم را به دست می‌گیرد و به مهاجم امکان آلوده کردن دوباره سیستم، بدون اینکه از خود ردی باقی بگذارد را می‌دهد.

3) توانایی دسترسی به ارتباطات رمزگذاری شده: این بدافزار همچنین می‌تواند به اطلاعات مدارک و ایمیل‌هایی که از امنیت بالایی برخوردارند، دسترسی پیدا کند.

4) عبور از سیستم‌های air-gapped: رمسک از USB حاوی فایل‌های مخفی به منظور نفوذ به سیستم‌های air-gapped   که به اینترنت متصل نیستند و در نتیجه از امنیت بالایی در مقابل تهدیدات سایبری برخوردار هستند، استفاده می‌کند. در گذشته، ویروس استاکس‌نت این توانایی را به اثبات رسانده است.

چگونگی آلوده شدن کامپیوترهای air-gapped از طریق اتصال USB

بدافزار رمسک که کار خود را با تغییر کدهای برنامه نویسی در سیستم‌های هدف انجام می‌دهد، با وارد شدن به سیستم‌ها به عنوان نرم افزار دانلود عمل می‌کند و بعد از اتصال به آدرس IP کامپیوتر هدف، کل پروژه را از آنجا دانلود می‌کند. پروژه سارون برای نفوذ به تمام نسخه‌های جدید سیستم عامل مایکروسافت ویندوز طراحی شده است.

پروژه سارون محصول کشوری قدرتمند

سارون پروژه‌ای بسیار پیشرفته است که در طراحی آن از چندین گروه متخصص با دانش فنی بسیار بالا استفاده شده و میلیون‌ها دلار صرف اجرایی شدن آن شده است. بر اساس گزارش‌های شرکت کسپرسکی و سیمانتک، پیچیدگی پروژه سارون و هدف قرار دادن سازمان‌های مهم در کشورهای خاص نشان می‌دهد که هدف پروژه دزدیدن اطلاعات بسیار محرمانه بوده و در نتیجه مسلماً دولت یا دولت‌هایی قدرتمند مسئول آن هستند. بهره بردن از تکنیک‌های جاسوسی بسیار پیشرفته، احتمال دست داشتن کشورهای غربی در ساخت این پروژه را تقویت می‌کند.

کشوری قدرتمند عامل طراحی پروژه سارون

دشمنان آمریکا هدف اصلی پروژه سارون

بر اساس گزارش‌های کسپرسکی، پروژه سارون بیش از 30 سازمان در کشورهای مختلف اعم از ایران، روسیه، جمهوری رواندا و برخی از کشورهای ایتالیایی زبان را هدف قرار داده است. از بین این حملات  36 حمله به 7 سازمان در چهار کشور بلژیک، سوئد، روسیه و چین صورت گرفته است که مراکز مهمی از جمله سفارتخانه‌ای در بلژیک، سازمانی در سوئد و یک خط هوایی در چین را شامل می‌شود. این بدافزار همچنین چندین مرکز دولتی، سایت‌های نظامی و سیستم‌های شرکت‌های فناوری اطلاعات، سیستم‌های مخابراتی و مراکز تحقیقات علمی را مورد حمله سایبری قرار داده است.

مناطق هدف حمله پروژه سارون

احتمال دست داشتن آمریکا در پروژه سارون

اگرچه که محققان دو شرکت امنیتی سیمانتک و کسپرسکی انگشت اتهامشان را به سمت ایالات متحده نگرفته‌اند، اما اهداف این پروژه عمدتاً سازمان‌ها و اشخاصی بوده است که مورد توجه سازمان‌های جاسوسی کشورهای غربی بوده‌اند و همچنین کشورهایی را مورد هدف قرار داده که اکثراً دشمنان ایالات متحده هستند. این پروژه از تکنیک‌هایی در طراحی بهره برده است که تعدادی از آن‌ها پیش‌تر در بدافزارهای فلیم، دوکو، اکوئیشن و رجین مورد استفاده قرار گرفته بودند؛ بدافزارهایی که ارتباط اکثر آن‌ها با آژانس امنیت ملی آمریکا [10]، اسرائیل و همچنین سرفرماندهی ارتباطات دولتی بریتانیا [11] تأیید شده است و در برخی موارد کشورهای استرالیا، کانادا و نیوزلند که با ایالات متحده و انگلیس ائتلاف جاسوسی پنج چشم را تشکیل می‌دهند هم در این پروژه‌ها دخالت داشتند. با این حال نمی‌توان به طور قطع گفت که پروژه سارون کار پنج چشم یا سازمان‌های مربوط به ایالات متحده است. البته اگر سارون کار آمریکا باشد این اولین باری نیست که آمریکا جاسوسی سایبری در چنین مقیاسی را برنامه‌ریزی می‌کند. در سال 2012، ویروس استاکس‌نت که توسط آمریکا و اسرائیل طراحی شده بود به تأسیسات هسته‌ای ایران حمله کرد.

شباهت زیاد سارون با بدافزارهای ساخته آمریکا و هم‌پیمانانش

بر اساس تحقیقات کسپرسکی پروژه سارون هیچ گونه کد مشترکی با بدافزارهای فوق پیشرفته از قبیل فلیم، دوکو و رجین که پیش‌تر کشف شده‌اند، ندارد؛ با این وجود شباهت‌هایی در طراحی پروژه سارون و این بدافزارها وجود دارد؛ در ساخت پروژه سارون از تکنیک‌های پیشرفته‌ای بهره برده شده که از آن‌ها در ساخت دوکو، فلیم، رجین و بدافزارهای اکوئیشن گروپ استفاده شده بود.

شباهت سارون با فلیم

بر اساس بررسی‌های محققان شرکت امنیتی کسپرسکی، پروژه سارون با بدافزار فلیم شباهت‌های ساختاری زیادی دارد. در سال 2012 ابزاری جاسوسی به نام فلیم کشف شد که به مدت 6 سال شبکه‌های کامپیوتری چندین کشور در خاورمیانه بالأخص ایران را آلوده کرده بود. این حمله که به اسرائیل و آمریکا و بعدها به سرفرماندهی ارتباطات دولتی بریتانیا نسبت داده شد، با بدافزار استاکس‌نت که تأسیسات هسته‌ای ایران را هدف قرار داد نیز شباهت‌های زیادی داشت. بر اساس این استدلال‌ها، پروژه سارون می‌تواند حلقه بعدی این زنجیره و جزئی از برنامه مشترک این کشورها باشد. شباهت فنی پروژه سارون به بدافزار فلیم در استفاده از زبان برنامه نویسی Lua است؛ با این تفاوت که در پروژه سارون این زبان در مقایسه با فلیم اندکی ارتقاء یافته است. این زبان برنامه نویسی که حجم کمی دارد و تنها 100 کیلو بایت فضا اشغال می‌کند، می‌تواند چارچوب مناسبی برای یک بدافزار باشد. شباهت دیگر پروژه سارون به فلیم توانایی هر دو بدافزار در حمله به سیستم‌های  air-gapped از راه دور است.

شباهت سارون با دوکو

دوکو بدافزار پیشرفته دیگری است که رژیم صهیونیستی از آن به منظور جاسوسی از مذاکرات هسته‌ای ایران استفاده می‌کرده است. این بدافزار همانند سارون از چندین نسخه بدافزاری با اسامی و حجم‌های متفاوت برای حمله به هر یک از اهداف استفاده کرده بود. شباهت دیگر دوکو با سارون ذخیره شدن هر دو بدافزار روی حافظه سیستم و در نتیجه توانایی بالای آن‌ها در کنترل سیستم‌های هدف است.

شباهت سارون با رجین و اکوئیشن گروپ

گروه جاسوسی اکوئیشن گروپ (Equation Group) که یکی از گروه‌های پیشرفته جاسوسی وابسته به NSA است، با بدافزار رجین که طبق افشاگری‌های پیشین کسپرسکی کار گروه جاسوسی پنج چشم بوده است، ارتباط دارد و هر دو این بدافزارها با پروژه سارون شباهت‌های ساختاری اعم از توانایی حمله به سیستم‌های air- gapped و پنهان کردن فایل‌های حاوی بدافزار را دارند. نکته قابل توجه دیگر این است که یکی از اهدافی که پروژه سارون به آن حمله کرده است، پیش‌تر توسط بدافزار رجین نیز مورد حمله قرار گرفته بود.

با وجود اینکه، محققان دو شرکت سیمانتک و کسپرسکی علت این شباهت‌ها را مطالعه مهاجمان پروژه سارون بر روی بدافزارهای فلیم، رجین، دوکو و اکوئیشن و استفاده آن‌ها از نقاط قوت این بدافزارها و درس گرفتن از نقاط ضعف آن‌ها می‌دانند، به دلیل پیچیدگی زیاد پروژه و لزوم داشتن دانش فنی بسیار بالا به منظور الگوبرداری از این بدافزارها، باز هم می‌توان گفت که احتمال دست داشتن عاملان بدافزارهای پیشین در این پروژه وجود دارد.

منابع:

https://www.rt.com/news/355165-sauron-malware-cyber-espionage

https://securelist.com/analysis/publications/75533/faq-the-projectsauron-apt

http://www.darkreading.com/attacks-breaches/symantec-discovers-strider-a-new-cyberespionage-group/d/d-id/1326532

https://www.privacyinternational.org/sites/default/files/Witness_Statement_Of_Eric_King.pdf

https://www.inverse.com/article/19401-project-sauron-malware-strider

http://www.sciencealert.com/scientists-just-found-an-advanced-form-of-malware-that-s-been-hiding-for-at-least-5-years

http://www.networkworld.com/article/2875739/microsoft-subnet/researchers-link-qwerty-keylogger-code-to-nsa-and-five-eyes-regin-espionage-malware.html

http://www.tabnak.ir/fa/news/614183/%DA%A9%D8%B4%D9%81-%D8%A8%D8%AF%D8%A7%D9%81%D8%B2%D8%A7%D8%B1%DB%8C-%D9%BE%DB%8C%D8%B4%D8%B1%D9%81%D8%AA%D9%87-%D9%88-%D9%BE%D9%86%D9%87%D8%A7%D9%86%DB%8C-%D9%BE%D8%B3-%D8%A7%D8%B2-%DB%B5-%D8%B3%D8%A7%D9%84

https://threatpost.com/projectsauron-apt-on-par-with-equation-flame-duqu/119725

http://www.bankinfosecurity.com/espionage-malware-penetrates-air-gapped-networks-a-9331

http://www.symantec.com/connect/blogs/strider-cyberespionage-group-turns-eye-sauron-targets

http://www.bbc.co.uk/news/technology-37021957