لینکهای قابل دسترسی

خبر فوری
چهارشنبه ۱۶ آبان ۱۴۰۳ ایران ۱۴:۰۳

بدافزار مهدی، کارزار جاسوسی علیه ایران و اسراییل


عکس از تارنمای شرکت کاسپارسکی
عکس از تارنمای شرکت کاسپارسکی
تحلیلگران امنیتی اینترنتی از یک «کارزار سایبری جاسوسی» جدید و ادامه دار پرده برداشته اند که ایران، اسراییل و کشورهای دیگر خاورمیانه را هدف اقدامات خرابکارانه خود قرار داده اند. آن ها معتقدند عملیات این بدافزار جاسوسی به این دلیل منحصر به فرد است که اولین نوع از حمله های اینترنتی بوده که کدهای آن به زبان فارسی نوشته شده است.

شرکت «Seculert» مستقر در اسراییل و شرکت «Kaspersky Labs» مستقر در روسیه روز سه شنبه (١٧ ژوییه ) اعلام کردند که این ویروس تا به حال به ۸۰۰ نهاد و موسسه در ایران، اسراییل، افغانستان، امارات متحده عربی و عربستان سعودی حمله کرده است.

این بدافزار «مهدی» نام گذاری شده است و به صورت رشته تصاویر Power Point که به ایمیل وصل شده بودند، به اهداف مورد نظر فرستاده شدند. این تصاویر حامل «تروژان» بودند و کامپیوترهایی دریافت کنندگان را به ویروس آلوده می کرد.

بنا به اعلام شرکت «Kaspersky Labs»، بدافزار «مهدی» هنوز فعال است و چندین گیگابایت اطلاعات را که «با دقت گزینش شده اند» از «قربانیان مهم و بانفوذ» به سرقت برده اند.

بارزگانانی که با ایران و اسراییل روی «پروژه های زیربنایی بسیار مهم و کلیدی» همکاری می کنند، موسسات مالی اسراییل، دانشجویان مهندسی مقیم خاورمیانه و چندین نهاد دولتی همچون سفارت خانه های منطقه از جمله اهداف اصلی این عملیات جاسوسی بوده اند.

آویو رف، مامور ارشد فن آوری شرکت «Seculert » روز چهارشنبه به صدای آمریکا گفت که این شرکت از ماه دسامبر تاکنون بدفزار «مهدی» را زیرنظر گرفته بوده اما از منشاء اصلی این نرم افزار جاسوسی مطمئن نیست.

وی گفت «ما توانستیم چهار سرور مختلف را که در کانادا بودند، شناسایی کنیم، اما یکی از سرورها در واقع در تهران مستقر بود. این به آن معنا نیست که هکرها اهل ایران هستند، احتمالاً به آن معنا است که گروه و یا گروه هایی که مسئول طراحی این بدافزار هستند، فارسی صحبت می کنند (اما) باز به این معنا نیست که آن ها اهل ایران هستند».

بدافزار «مهدی» به گونه ای طراحی شده است که در داخل کد «HTML» صفحاتی که شبیه صفحه های واقعی گوگل هستند، در داخل مونیتور قربانیان مخفی شده است.

رف می گوید این نرم افزار جاسوسی می تواند انواع فایل های کامیپوتری همچون فایل های «Word» و «PDF» را به سرقت ببرد. این بدافزار همچنین از مونیتور کامپیوتر قربانیان خود عکس می گیرد و می تواند صدای قربانیان را زمانی که در یک اتاقی که کامپیوتر مجهز به میکروفون و آلوده به ویروس را بشنوند.

شرکت «Seculert» در مورد اسامی نهادها و یا افرادی که هدف این حمله قرار گرفته اند و نه مورد اطلاعات واقعی که به سرقت رفته اند، اظهارنظر نمی کند، اما رف می گوید این کارزار هنوز «فعال» است و هنوز قربانیانی هستند که با سرورهای اصلی فرماندهی و کنترل این بدافزارها در حال ارتباط هستند».

رف به صدای آمریکا گفت «ما به کنترل و نظارت بر این کارزار، این حمله ادامه خواهیم داد تا ببینیم شاید اطلاعات جالب و جدیدی باشد که بتوانیم با عموم مردم در میان بگذاریم. در نهایت، حدس من این است که افرادی که این حمله ها را اجرا می کنند احتمالاً تلاش خواهند کرد تا این بدافزار را به روز کنند و فعالیت های خود را در سراسر جهان گسترش دهند».

این شرکت امنیتی می گوید قصد دارد تا طی هفته آینده با ارائه یک ابزار اینترنتی برای آزمایش آلودگی کامپیوترها با برخی از قربانیان خود تماس بگیرد.

«ما یک نوع اطلاعیه منتشر می کنیم. ما به جای این که بگذاریم قربانیان خود آلودگی کامپیوترهایشان را آزمایش کنند، مستقیم و بی پرده با آن ها صحبت خواهیم کرد».

شرکت «Seculert» می گوید هنوز روشن نیست که آیا بدافزار «مهدی» «حمله ای با حمایت دولت» است و یا خیر. این شرکت مسئله درمیان گذاشتن یافته های خود با نهادهای امنیتی اطلاعاتی را مورد تایید قرار نداد.

اما این شرکت خاطرنشان کرده است که توانایی «مهدی» برای تعیین یک اسم پیشوند منحصر به فرد برای هر یک از کامپیوترهای آلوده به ویروس از این واقعیت حکایت می کند که این عملیات «احتمالا به یک سرمایه گذاری عظیم و یا حمایت مالی نیاز داشته است».

رف می گوید این کد به زبان برنامه نویسی نوشته شده است که به آن «دلفی» می گویند و معمولاً یک کارشناس توسعه وب (web developer) آماتور از آن استفاده می کند اما این به آن معنا نیست که افراد مسئول طراحی این بدافزار آماتور و تازه کار بوده اند و می تواند به معنای آن باشد که برای نوشتن و طراحی این نرم افزار عجله داشتند تا هر چه سریع تر این کارزار را به راه بیاندازند.
XS
SM
MD
LG