روت کیت سارق، به دنبال نفوذ در کامپیوترهای اداری هند و ایران

طبق اعلام شرکت های امنیتی، یک برنامه مخرب پیشرفته حملات گسترده ای را بر علیه سیستم های زیرساخت و حیاتی مراکز مختلف در هند و ایران شروع کرده است. شرکت امنیتی فنلاندی F-Secure که همیشه مشغول کنترل و تجزیه و تحلیل بدافزارها در سطح جهان است، می گوید که زیرساخت های حیاتی کشورهای ایران و هند به این بدافزار مبتلا گردیده اند.

این بد افزار از طریق فایلهای shortcut ویندوز (lnk) منتشر می شود و به نظر می رسد قصد آن آلوده کردن برنامه Siemens WinCC Scada software است، که بر روی ویندوز 7 نسخه اینترپرایز x86 اجرا می شود. شیوه انتشار این روت کیت هم بیشتر توسط کول دیسک است. به محض اینکه کول دیسک آلوده، به سیستم وصل شود و ایکون میانبر آلوده نشان داده شود، بدافزار به صورت خودکار اجرا شده و سیستم را آلوده می کند.

جامعه هدف این بدافزار سیستم های کنترل نظارتی و جمع آوری داده ها است، که معمولا در سازمان های زیرساخت های حیاتی مانند کارخانجات، وزارتخانه ها و شرکت های آب و برق مورد استفاده قرار می گیرند. اولین باری که بدافزار روی سیستم فعال شود، سراغ تمامی بانک های اطلاعاتی روی آن می رود و اطلاعات آنها را کپی برداری می کند.

مشاور امنیتی اف- سکیور می گوید ما در حقیقت با یک برنامه پیشرفته و سمج طرف هستیم که برای جاسوسی و دزدی اطلاعات سیستم ها مورد استفاده قرار می گیرد. در هند موارد آلودگی فراوانی تا کنون مشاهده شده است.  حتی گفته می شود که این بدافزار در مواردی توانسه است به نام کاربری و رمزعبورهای کاملا کدگذاری شده نرم افزار زیمنس هم دست پیدا کند.

این بدافزار برای تایید اعتبار درایورهای خود بر روی سیستم، از گواهینامه های منقضی شده، اما معتبر صنایع نیمه هادی Realtek استفاده می کند. البته مسئولان ریل تک هنوز در این باره اظهار نظری نکرده اند.

شرکت سوفوس هم می گوید که این یک اخطار و نگرانی جدی است که یک برنامه مخرب توانسته اینگونه در سه کشور ایران، هند و مالزی منتشر و به صورت وسیع توزیع شود. البته سوفوس می گوید که با اقدامات پیشگیرانه ای از قبیل غیرفعال کردن قابلیت آتوران (Autorun) و اجرای خودکار (Autoplay) در ویندوز، تا حدی می توان جلوی آن را گرفت. اما برخی هم می گویند به این سادگی نیست و با غیر فعال کردن آتوران مشکلی حل نمی شود، زیرا تنها مشاهده آیکون روی صفحه کامپیوتر برای آلوده شدن کافی است!

 این بدافزار در هفدهم ژوئن ۲۰۱۰  توسط محققان شرکت امنیتی بلاروسی VirusBlokAda کشف شده است. شرکت اف سکیور هم متن VirusBlokAda را با جزئیات تهدیدات برنامه روز پنجشنبه گذشته (۲۴ تیرماه) در سایت اش منتشر کرد.
مایکروسافت هم می گوید که «ما هنوز در حال بررسی آلودگی اعلام شده هستیم و بعد از تکمیل تحقیقات، مطمئنا تصمیمات لازم برای حمایت از کاربران مان و اکوسیستم اینترنت را اخذ خواهیم کرد.»
اطلاعات تخصصی روت کیت TmpHider را می توانید در این فایل پی دی اف ببینید.

ZDNet UK