ابزار جاسوسی از مذاکرات ۵+۱ و ایران چه بود؟ / حضور بازیگر چهارم ناشناخته در ساخت استاکس نت

تحقیقات اخیر در مورد تهدیدات قدیمی نرم افزار‌های مخرب مرتبط با Stuxnet علیه برنامه هسته‌ای ایران حدود یک دهه پیش، چندین کشف جدید از جمله همکاری یک بازیگر چهارم ناشناخته احتمالی در این عملیات مخفی و همچنین نسخه‌های نشناخته‌ای از ویروس Flame و تروجان Duqu را منتشر کرده است.

 

امروزه شرکت Chronicle تابعه Alphabet، یافته های محققان خود «خوان آندرس گوئررو ساده» و «سیلاس کاتلر» را در کنفرانس امنیتی کسپرسکی در سنگاپور، و همچنین در وبلاگ این شرکت که توسط گزارش های دقیق تر تحلیلی تکمیل شده است، منتشر کرد.

 

سلسله این اکتشاف ها می تواند تا یک کلید واحد، که از یک گزارش امنیتی در سال 2017 سرچشمه گرفته است ردیابی شود، که احتمال یک پیوند جدید بین بدافزار مخرب جاسوسی سایبری شناخته شده به عنوان Flame و گروهی از بازیگران دولتی که احتمالا درگیر در حمله بدافزار Stuxnet هستند برقرار می کند. این حمله باعث شد که کنترل کننده های منطقی برنامه ریزی شده برای تأسیسات هسته ای ایران در نطنز دچار اشکال شوند که نتیجه آن آسیب به سانتریفیوژها بود که در آن زمان ایده های هسته ای ایران را به پیش می برد.

 

این گونه فهمیده شده مهاجمان استاکس نت، که کرونیکل به طور کلی آنها را «GOSSIPGIRL» می نامد، به طور گسترده ای شامل توسعه دهندگان ویروس Flame و Duquو گروه موسوم به گروه «معادله» می شود. گروه معادله به طور قابل توجهی با NSA مرتبط بوده است، در حالی که ساخت Duqu به اسرائیل مرتبط دانسته شده و Flame به یک عملیات اطلاعاتی مشترک بین ایالات متحده و اسرائیل مرتبط است.

اما بر اساس یافته های کرونیکل، گویا یک بازیگر چهارم در توسعه استاکسنت دخالت داشته باشد. این بازیگر یک برنامه مخرب قدیمی به نام Flowershop که اهداف خاورمیانه ای را در دوره فعالیت خود از سال 2002 تا 2013 آلوده کرده ایجاد نموده است. کد این بدافزار را می توان در یک بخش خاص از Stuxnet به نام Stuxshop پیدا کرد و از آن برای ارتباط با سرورهای C2 و البته کارکردهای دیگر بهره برد.

 

گوئررو و کاتلر در گزارش فنی خود بیان کرده اند: «ارزش این یافته اخیر در دو جنبه است: اولا، این یافته ها نشان می دهد که تیم دیگری با پلت فرم بدافزار خود در توسعه اولیه Stuxnet مشارکت داشته است. و دوم انکه این دیدگاه را پشتیبانی می کند که استاکس نت در واقع محصول یک چارچوب توسعه مدولار است که به منظور ایجاد امکان همکاری میان بازیگران تهدید کننده مستقل و پراکنده، طراحی شده. یافته های اخیر ما، همراه با بخش برجسته ای از تجزیه و تحلیل فنی که قبلا در مورد این تهدید گزارش شده، تیم طراح Flowershop را در کنار گروه معادله، طراحان Flame و Duqu به عنوان بازیگرانی که در تهیه مرحله های مختلف استاکس نت به عنوان یک عملیات که احتمالا از اوایل سال 2006 فعال بودند، قرار می دهد.

 

تحقیقات بیشتر نشان داده که یکی دیگر از شگفتی ها این است، بدافزار Flame که در ماه می 2012 پس از کشف عمومی اش ناپدید شد، تقریبا دو سال بعد به شکل Flame 2.0 مجددا ظاهر شده است.

 

Flame، که نام آن sKyWIper است و در سال 2012 کشف شد، از لحاظ تاریخی رایانه های مبتنی بر ویندوز را در ایران آماج قرار میداده است. ابزار جاسوسی سایبری، که احتمالا در زمانبندی 2014-2016 استفاده شده، قادر به جمع آوری اطلاعات سیستم، ایجاد خلأهای نفوذ پنهانی و انتشار بدافزار در سراسر شرکت ها از طریق به روز رسانی ویندوز است.

 

در طول دوره مطالعه خود، این محققان همچنین یک نسخه ناشناخته Duqu را که بدافزاری ساخته شده از Stuxnet است که به منظور سرقت اطلاعات مفید برای حمله به سیستم های کنترل صنعتی استفاده می شود، کشف کرده اند.

 

این نسخه با نام Dubbed Duqu 1.5 به نظر می رسد، یک پل ارتباطی است بین تهدید اصلی Duqu 1.0 و تهدید پیشرفته Duqu 2.0 که بدافزاری با فرم مدولار فعال در حافظه رم است و به شدت دفاتر آزمایشگاه کسپرسکی را آلوده کرده بود، و همچنین مذاکرات هسته ای P5 + 1 و ایران در سوئیس را هدف قرار داده بوده. (کرونیکل بیان کرده که دیگر نسخه های Duqu اخیر در شرکت های اروپایی، آفریقا و خاورمیانه جاسوسی کرده اند)

 

کرونیکل بیان کرده: «ویژگی های موجود در نسخه 1.5 عبارتند از: یک زنجیره بارگذاری فراختر، عملیاتی ـ تجربی و چند لایه ای. این کار با یک درایور کرنل تروجانی آغاز می شود که با یک گواهی به سرقت رفته امضا شده است، تا سیستم فایل مجازی رجیستری (VFS) را که هماهنگ کننده مادر بدافزار را در حافظه بارگذاری می کند، آلوده سازد و پس از آن یک VFS را روی دیسک بارگذاری می کند تا یک سری پلاگین نصب شود تا راه برای گسترش بیشتر و دسترسی به منافذ پنهان ماشین های آلوده، باز شود.