Gerdab.IR | گرداب

به گزارش گرداب، در مطالعه‌ای که اخیراً انجام شده، محققان امنیتی جاسوس‌افزاری را شناسایی کرده‌اند که توسط سازمان Canidru (معروف به SOURGUM) ساخته شده و متعلق به اسرائیل است و سیستم‌های ویندوز، آیفون، مک، سیستم‌عامل اندروید و شبکه‌های ابری در سراسر جهان را مورد هدف قرار می‌دهد. طبق گزارشات، ارائه‌دهنده‌ی این جاسوس‌افزار، برنامه‌های مختلف برای هک کردن را در اختیار هکر‌های تحت حمایت دولت و آژانس‌های دولتی قرار می‌دهد.

جاسوس‌افزار DevilsTongue، متعلق به سازمان Canidru

در تحقیق مشترکی که توسط Citizenlab و Microsoft Threat Intelligence Center (MSTIC) انجام شد، جاسوس‌افزاری براییویندوز به نام زبان شیطان شناسایی شد که از دو آسیب‌پذیری ویندوز استفاده می‌کرد. در صورت سوءاستفاده از این آسیب‌پذیری‌ها، مهاجمان می‌توانند با دور زدن سندباکس مرورگر و به دست آوردن کد کِرنِل، به راحتی به سیستم دسترسی پیدا کنند. مایکروسافت در به‌روزرسانی امنیتی خود در ۲۲ ژوئیه، باگ‌ها را برطرف کرد.

هم‌چنین بیش از صد نفر از جمله سیاست‌مداران، روزنامه‌نگاران، اعضای دانشگاه، کارمندان سفارت، فعالان حقوق بشر و مخالفان سیاسی، قربانی این جاسوس‌افزار شده‌اند. مهاجمان از آسیب‌پذیری‌های مرورگر‌ها و ویندوز برای اجرای بدافزار خود در سیستم‌های مورد نظر استفاده کرده‌اند. آن‌ها لینک‌های مخرب یک‌بار مصرف را از طریق سرویس‌های پیام‌رسان مانند واتساپ به قربانیان خود فرستاده‌اند. بیش‌تر قربانیان زبان شیطان از فلسطین، اسرائیل، یمن، ایران، لبنان، اسپانیا، انگلیس، ترکیه، ارمنستان و سنگاپور هستند.

Citizenlab گزارش داد که بدافزار ویندوز Canidru، کار‌های مختلفی از جمله انتقال فایل‌ها به صورت غیرمجاز، دزدیدن کوکی‌ها و رمزعبور‌ها از مرورگر‌های کروم، اینترنت اکسپلورر، فایرفاکس، سفاری و اپرا را انجام می‌دهد و هم‌چنین به همه‌ی پیام‌های ذخیره شده در برنامه‌های پیام‌رسان دسترسی پیدا می‌کند. مایکروسافت اعلام کرد که اقدامات امنیتی لازم را برای محافظت از محصولات خود در برابر این جاسوس‌افزار پیچیده، انجام داده است.

مایکروسافت اعلام کرد: «ما این مشکلات را با گروه‌های امنیتی در میان گذاشتیم تا با همکاری هم بتوانیم تهدیدات را برطرف و کاهش دهیم. ما هم‌چنین به‌روزرسانی نرم‌افزار را در دسترس مشتریان ویندوز خود قرار دادیم تا امنیت سیستم آن‌ها در برابر سوءاستفاده‌گری‌های مهاجمان برای اجرای بدافزار پیچیده‌ی خود، تامین شود.»

چهارچوب سازمانی Canidru

به گزارش Citizenlab، Canidru در سال ۲۰۱۴ تاسیس شده و تا به امروز، چندین بار هویت سازمانی خود را تغییر داده است. با این که این سازمان در حال حاضر با نام Siato Tech Ltd. فعالیت می‌کند، اما قبلاً با چندین هویت مختلف مانند DF Associates در سال ۲۰۱۷، Grindavik Solutions در سال ۲۰۱۸ و Taveta در سال ۲۰۱۹ فعالیت کرده است. این سازمان، خدمات مختلف غیرقانونی مانند توزیع نرم‌افزار‌های مخرب شخصی‌سازی شده و جاسوسی سایبری (برای رایانه‌ها، دستگاه‌های موبایل و حساب‌های ابری) با مخفی نگه داشتن عملیات، زیرساخت‌ها و هویت کارکنان خود، ارائه می‌دهد. این سازمان مشتریانی از اروپا، خلیج فارس، اتحاد جماهیر شوروی سابق، آسیا و آمریکای لاتین دارد.

محققان بیش از ۷۵۰ وب‌سایت مرتبط با زیرساخت جاسوس‌افزار Canidru پیدا کرده‌اند که بسیاری از این وب‌سایت‌ها از سازمان‌های رفاه اجتماعی و حمایت از حقوق شخصی مانند عفو بین‌الملل و Black Lives Matter تقلید می‌کنند.