کسپرسکی اعلام کرد شبکه بزرگ جاسوسی سایبری علیه دیپلماتهای جهان از جمله ایران را کشف کرده است.
کشورهای عضو شوروی سابق و کشورهای آسیای مرکزی و خاورمیانه هدف اصلی این عملیات بوده اند که ظاهرا هنوز ادامه دارد.
جمع آوری اطلاعات حساس از تلفن های موبایل، سیستم های کامپیوتری و لپ تاپ و پی سی مستقر در سفارتخانه ها و نیز سرورها و تجهیزات شبکه نا امن ؛ کار اصلی این عملیات سایبری-جاسوسی بوده است.
اطلاعات جمع آوری شده به سرورهای موسوم به command-and-cintrol (شبیه آنچه در بدافزار فلیم کشف شد) ارسال می شود.
بدافزار از طریق ایمیل و فیشینگ به اهداف از پیش تعیین شده و دقیق ارسال می شوند که با کلیک روی لینکهای جعلی بدافزار روی سیستم قربانی نصب می شود. از سه اکسپلویت موجود روی مایکروسافت اکسل و ورد سوء استفاده می شود. تروجان نصب شده شروع به جستجو برای سیستم های آسیب پذیر روی شبکه می کند.
عملیات با فایلهای .dll انجام شده و در نهایت بعد از ارسال به سرور حمله کننده، سعی می شود ردپاها از بین رود.
کارهای اصلی تحت one-time به شرح زیر است:
- انتظار برای فایل پی دی اف و سایر اسناد تا کد مخرب داخل آن هنگام ذخیره شدن، جاسازی شود.
- ایجاد کانال ارتباطی جدید با سرور حمله کننده
- ساخت تصویر از هر نوع حرکت کیبورد و ... به صورت اسکرین شات
- بازخوانی ایمیل ها و فایل های ضمیمه
- جمع آوری اطلاعات کلی نرم افزار و سخت افزار
- ذخیره پسورد از روی مرورگرهای کروم، اینترنت اکسپلورر،فایرفاکس و اپرا و نیز هیستوری مرورگرها
- گرداوری هش ویندوز hashes
- گرداوری اطلاعات اکانت آتلوک مایکروسافت
- جمع آوری و جاسوسی از دستگاههای سیسکو
- نه تنها فایلهای رمز گذاری شده را می خواند و می برد بلکه فایلهای دیلیت شده را نیز جستجو کرده و با خود می برد.
مانند پلاگین به مایکروسافت ویندوز می چسبد و ظاهر شدن آلودگی را از بین می برد. دسترسی به دیتابیس ایمیل ها، سرقت اطلاعات از روی سرورهای اف تی پی و هاردهای اکسترنال از دیگر کارهای این بدافزار است که طی جاسوسی سایبری از سرورها و لپ تاپ های دیپلماتها و مقامات کشوری و لشگری انجام می دهد.
بیش از 60 سرور در کشورهای مختلف برای جاسوسی اختصاص داده شده است که سیستم های قربانی اطلاعات خود را روی این 60 سرور ارسال می کرده اند. کسپرسکی از روی دومین سرورها حدس می زند که عملیات مذکور قدمتی 5 ساله دارد.
کسپرسکی می گوید اطلاعات اغلب ژئوپلیتیک به سرقت رفته به درد حکومتها می خورد تا افراد. همچنین ممکن است این اطلاعات بعدا به صورت مبادله ای در قبال دریافت پولهای هنگفت، به خریدار منتقل شود.
شبکه ای از اطلاعات سرقت رفته برای استفاده های بعدی هکرها به صورت دیتابیس واحد برداشت می شود؛ یک شبکه کامل جاسوسی با آنالیز لحظه ای از رخدادهای سیاسی- دیپلماتیک در کشورهای مورد نظر.(39 کشور مورد حمله قرار گرفته شده منهای چین)
کسپرسکی معتقد است هکرها و طراحان عملیات اکتبر قرمز و بدافزار روس زبان هستند چرا که ایمیل افرادی هم که اطلاعات به آنها بزا می گردد روس بوده و زبان روسی بیس برنامه نویسی بدافزاری آنها بوده و اکسپلویتها به زبان چینی هستند.
اولین گزارش از عملیات اکتبر قرمز توسط منابع ناشناس در اکتبر 2012 به کسپرسکی داده شده است.
برای دیدن نقشه در ابعاد بزرگتر روی تصویر کلیک کنید.
| RUSSIAN FEDERATION | 35 |
| KAZAKHSTAN | 21 |
| AZERBAIJAN | 15 |
| BELGIUM | 15 |
| INDIA | 15 |
| AFGHANISTAN | 10 |
| ARMENIA | 10 |
| IRAN | 7 |
| TURKMENISTAN | 7 |
| UKRAINE | 6 |
| UNITED STATES | 6 |
| VIET NAM | 6 |
| BELARUS | 5 |
| GREECE | 5 |
| ITALY | 5 |
| MOROCCO | 5 |
| PAKISTAN | 5 |
| SWITZERLAND | 5 |
| UGANDA | 5 |
| UNITED ARAB EMIRATES | 5 |
| BRAZIL | 4 |
| FRANCE | 4 |
| GEORGIA | 4 |
| GERMANY | 4 |
| JORDAN | 4 |
| MOLDOVA | 4 |
| SOUTH AFRICA | 4 |
| TAJIKISTAN | 4 |
| TURKEY | 4 |
| UZBEKISTAN | 4 |
| AUSTRIA | 3 |
| CYPRUS | 3 |
| KYRGYZSTAN | 3 |
| LEBANON | 3 |
| MALAYSIA | 3 |
| QATAR | 3 |
| SAUDI ARABIA | 3 |
| CONGO | 2 |
| INDONESIA | 2 |
| KENYA | 2 |
| LITHUANIA | 2 |
| OMAN | 2 |
| TANZANIA | 2 |
Countries with more than one infections
| Algeria - Embassy |
| Afghanistan - Gov, Military, Embassy, |
| Armenia - Gov, Embassy |
| Austria - Embassy |
| Azerbaijan - Oil/Energy, Embassy, Research, |
| Belarus - Research, Oil/Energy, Gov, Embassy |
| Belgium - Embassy |
| Bosnia and Herzegovina - Embassy |
| Botswana - Embassy |
| Brunei Darussalam – Gov |
| Congo – Embassy |
| Cyprus - Embassy, Gov |
| France - Embassy, Military |
| Georgia - Embassy |
| Germany - Embassy |
| Greece – Embassy |
| Hungary -Embassy |
| India – Embassy |
| Indonesia - Embassy |
| Iran – Embassy |
| Iraq – Gov |
| Ireland - Embassy |
| Israel - Embassy |
| Italy -Embassy |
| Japan - Trade, Embassy |
| Jordan - Embassy |
| Kazakhstan - Gov, Research, Aerospace, Nuclear/Energy, Military |
| Kenya - Embassy |
| Kuwait - Embassy |
| Latvia - Embassy |
| Lebanon - Embassy |
| Lithuania - Embassy |
| Luxembourg - Gov |
| Mauritania - Embassy |
| Moldova - Gov, Military, Embassy |
| Morocco - Embassy |
| Mozambique - Embassy |
| Oman - Embassy |
| Pakistan - Embassy |
| Portugal - Embassy |
| Qatar - Embassy |
| Russia - Embassy, Research, Military, Nuclear/Energy |
| Saudi Arabia - Embassy |
| South Africa - Embassy |
| Spain - Gov, Embassy |
| Switzerland - Embassy |
| Tanzania - Embassy |
| Turkey - Embassy |
| Turkmenistan - Gov, Oil/Energy |
| Uganda - Embassy |
| Ukraine - Military |
| United Arab Emirates - Oil/Energy, Embassy, Gov |
| United States - Embassy |
| Uzbekistan - Embassy |
IP addresses and public WHOIS information or remote system names.
ساختار و مراحل حمله
مشخصات دومین حمله کنندگان
C&C infrastructure
5656
نظر شما