NSA پشتِ دروازه

نوشته شده توسط رامین در ۱ اسفند ۱۳۹۳

۱۴ سال همزیستی با ویروس NSA در خانه

شروع داستان:
در سال ۲۰۰۹، چند نفر از محققان معتبر CD حاوی تصاویر و فیلم‌هایی از یک کنفرانس علمی که اخیرا در هوستون انجام‌شده بود از طریق پست دریافت کردند. CD دریافت شده علاوه بر محتوایِ کنفرانس، حاویِ برنامه‌هایِ مخربی بود که قسمتی از یک برنامه‌یِ هکِ پیشرفته به‌حساب می‌آمد که از سالِ ۲۰۰۱ آغازشده بود. (بعضی از متخصصان معتقدند که این حملات از سال ۱۹۹۶ آغازشده است.)

این اولین باری نبوده که برنامه‌هایِ مخرب از طریق بسته‌هایِ پستی برای مقاصدِ خاصی ارسال‌شده است. در سالِ ۲۰۰۲ و یا ۲۰۰۳ گروهی سعی کرند با ایجاد تغییرات در CD راه‌انداز پایگاه داده‌ی اوراکل و آلوده کردنِ آن، اطلاعاتی را از اهدافِ خود دریافت کنند.

شرکت امنیتی کسپرسکی که به این فعالیت تروریستی سایبری فوقِ پیشرفته لقبِ Equation group را داده، معتقد است که ریشه‌ی این حملات به سال‌های ۲۰۰۱ و یا احتمالاً ۱۹۹۶ بازمی‌گردد. Equation group با استفاده از بدافزارهایِ چند سکویی متعدد که برخی از آن‌ها با عنوانِ خانواده‌یِ رجین می‌شناسیم (نظیر رجین، استاکس‌نت و فِلِیم،  Gauss، Duqu) سعی در دزدی اطلاعات از اهدافی خاص داشته. این گروهِ حملاتِ سایبری به‌احتمال‌زیاد یکی از پیچیده‌ترین حملاتِ سایبری جهان را شکل داده‌اند، حمله‌ای که ازنظر وسعت و پیچیدگی تاکنون نظیر آن هیچ‌گاه دیده نشده است.

محققان کسپرسکی بیش از ۵۰۰ حمله‌ی مختلف را در حداقل ۴۲ کشورِ جهان ثبت کرده‌اند ازجمله ایران، روسیه، هند، پاکستان، افغانستان، سوریه و مالی. ازآنجایی‌که یک مکانیزم خود تخریبی در ساختارِ این برنامه‌های مخرب قرار داده‌شده است، گمانه‌زنی‌ها بر این است که میزان حملات به‌مراتب بسیار بیشتر از این مقدار باشد و این گزارش‌ها تنها شاملِ یک درصد از میزان کلِ حملاتِ انجام‌شده است و تعدادِ قربانیانِ واقعی احتمالاً به بیش از ده‌ها هزار نفر می‌رسد.


نقشه‌ی زیر میزان و نوع حملات کشف‌شده را برحسب کشورها بیان می‌کند:

Equation-Group-Victims-Map

همان‌گونه که در تصویرِ فوق قابلِ مشاهده است، ایران هدفِ بیشترین حملات بوده است و در این میان بیشترین تهدیدات متوجه بخش‌هایِ اقتصاد بوده است. متخصصان بر این باورند که تمرکز بر بخش اقتصادی در ایران به دلیل بررسی تحریم‌ها و روند تأثیر آن در اقتصادِ داخلی است. پس‌ازآن بخش‌هایِ زیر موردحمله قرارگرفته‌اند:

  • مراکزِ دولتی
  • بخش‌های دیپلماتیک و سفارت‌خانه‌ها
  • مراکزِ تحقیقاتی
  • بخشِ انرژی
  • دانشگاه‌ها
  • فناوریِ هوافضا
  • بخشِ ارتباطات
  • دیگر بخش‌ها

چرا Equation group؟
علت اینکه کسپرسکی به رهبریِ این عملیاتِ تروریستی لقبِ Equation group را داده است به دلیل علاقه‌ی زیاد استفاده از الگوریتم‌های رمزنگاری و استفاده از استراتژی‌هایِ مبهم در سراسر عملیاتشان است. به طورِ کلی تمامیِ عملکرد برنامه‌یِ مخرب توسطِ الگوریتم رمزنگاری RC5، رمزنگاری می‌شود. باقی ماژول‌ها نیز با استفاده از الگوریتم‌هایِ RC4، RC6 و AES به رمز درمی‌آیند

Equation group چقدر مهارت دارند؟
یکی از دلایلی که به عقیده‌یِ کارشناسانِ امنیتی اثبات می‌کند که Equation group وابسته به دولت‌هایِ قدرتمند است، توانِ فنی و مهارت‌هایِ فوق‌العاده‌یِ آن‌ها در ساختِ انواعِ بدافزار است که نشان از منابع مالی و نیرویِ انسانیِ نامحدودی دارد که در اختیار سازندگانِ این بدافزارها قرار دارد است. در اینجا لیستی از شاهکارهایِ فنی که از توانِ گروه‌هایِ هکری عادی خارج است را بیان می‌کنیم:

  1. استفاده از فایل سیستم مجازی، یکی از قابلیت‌هایِ پیشرفته‌ای که در تولید بدافزارِ Regin از آن استفاده‌شده بود و طبق اسنادی که به‌تازگی اسنودن آن‌ها را منتشر کرده است NSA از آن برایِ آلوده کردن قسمتی از بخش‌هایِ دولتی بلژیک استفاده‌شده است .
  2. ذخیره‌سازی فایل‌هایِ مخرب در شاخه‌هایِ متعددی از رجیستری سیستمِ آلوده و رمزنگاریِ تمامیِ فایل‌هایِ مخرب در پوشه‌هایِ متفاوت به‌طوری‌که عملاً شناسایی و یافتنِ برنامه‌ها و فایل‌های مخرب توسطِ آنتی‌ویروس‌ها ممکن نباشند.
  3. انتقال مسیر کاربران آیفون به یک صفحه‌یِ اکسپلویتِ یکتا. تحقیقات نشان می‌دهد که این بدافزارها قادر بودند خود را به‌عنوان سیستم‌هایِ مک معرفی کنند و با موفقیت می‌توانند سیستم‌هایِ iOS و OS X را موردحمله قرار دهند.
  4. استفاده از بیش از ۳۰۰ دامنه‌یِ اینترنتی و چیزی بیش از ۱۰۰ سرورِ متفاوت برایِ فرماندهی و کنترل زیرساختِ برنامه‌هایِ آلوده.
  5. انتقال در شبکه‌هایِ air-gap (شبکه‌هایی که در آن‌ها یک قسمت از شبکه به‌صورت کامل ایزوله شده) با استفاده از چسباندنِ خود به حافظه‌هایِ USB. هر دو بدافزار استاکس‌نت و فلیم از این تکنولوژی برای انتقال اطلاعات از شبکه‌های ایزوله شده استفاده می‌کنند.
  6. استفاده از یک روشِ غیرمعمول و پیچیده برایِ دور زدنِ محدودیت‌هایِ کد امضا در سیستم‌عامل‌هایِ جدیدِ ویندوز که در آن‌ها نیاز است تا نرم‌افزارِ شخصِ ثالث قبل از اجراشدن توسطِ هسته‌یِ سیستم‌عامل، با استفاده از کد امضایِ دیجیتالِ معتبر به رسمیت شناخته شود.

در گزارشی که کسپرسکی منتشر کرده است شواهد زیادی از دخالت دولتِ آمریکا در تولید و توسعه‌یِ این بدافزارها وجود دارد و نقشِ سازمانِ جاسوسیِ آمریکا به‌خوبی قابلِ مشاهده است.

اول از همه این‌که، استعدادِ ناشناخته‌ی این گروه در انجامِ اموری که توسطِ افرادِ عادی قابلِ انجام نیست، نظیرِ نصبِ سیستم‌عامل توکارِ پنهان در روترهایِ سیسکو و انتقال اطلاعات‌ها از طریقِ ایمیل.

دوم اینکه، استفاده از keylogger فوق پیشرفته به نامِ Grok که شباهت عجیبی به چیزی دارد که در مقاله‌ی اسنودن با عنوان «طرحِ آلوده کردن میلیون‌ها کامپیوتر با استفاده از تروجان توسطِ NSA» که در ماهِ مارسِ سالِ گذشته منتشر شد، دارد. اسنودن در این مقاله عنوان کرده که NSA توسعه‌دهنده‌ی اصلی Grok بوده است.

دلیل سوم، استفاده و اشاره به کلماتِ “STRAITACID” و “STRAITSHOOTER” در کدِمنبع است که شباهتِ قابلِ توجهی به سیستم‌عاملِ STRAITBIZARRE دارد که یک سیستم‌عاملِ مخربِ پیشرفته است که توسطِ NSA طراحی‌شده است. این املای نامتعارف قبلاً در اسناد منتشرشده توسط اسنودن نیز وجود داشته.

همچنین شباهت کدهای کشف‌شده با کدهایِ استاکس‌نت و فلیم و رمزنگاری منحصربه‌فرد استفاده‌شده در تمامی مدل‌ها، می‌تواند اثبات کند که دولت‌هایِ آمریکا و یا احتمالاً NSA، سازمان سیا و احتمالاً ارتش اسرائیل در ساخت این بدافزارها مشارکت داشته‌اند. (طبقِ گزارشِ واشنگتن‌پست این گروه‌ها قبلاً در ساخت و تولید استاکس‌نت و فلیم همکاری داشتند)

1
علاوه بر تمامیِ مواردِ ذکرشده، قوی‌ترین دلیل این است که این بدافزارِ جدید نیاز به حمایتِ ثروتمندترین کشورهایِ جهان دارد، به‌عنوان‌مثال بازنویسی مجدد سیستم‌عامل هارددیسک‌های مختلف من‌جمله وسترن دیجیتال، مکستور، سامسونگ، IBM، میکرون، توشیبا و سیگیت، نیاز به پشتیبانی مالی و فنی زیادی دارد که تاکنون دیده نشده.
در این حمله با قرار دادن یک حافظه‌یِ مخفی، اطلاعاتِ حساس و مهم حتی پس از پاک‌سازی هارددیسک، فرمتِ آن و از بین بردنِ تمامیِ اطلاعات، همچنان باقی خواهد ماند. این اطلاعات توسطِ مهاجم قابل‌دستیابی است و هیچ راهی برایِ شناسایی و یا حذفِ این مشکل وجود ندارد.

تنها راهِ حل، از بین بردن فیزیکی هارددیسک است!

hd-classes-640x307

Equation group از چه ابزارها و بدافزارهایی استفاده می‌کنند؟
تیم کسپرسکی با بررسی بدافزارهایِ چند سکویی استفاده‌شده منحصراً توسطِ Equation group تولیدشده است، موارد زیر را در آن‌ها شناسایی کرده است:

DOUBLEFANTASY: شاید چیزی در موردِ تروجانِ اعتبارسنج تا پیش از استاکس‌نت شنیده نشده بود. DOUBLEFANTASY در حقیقت یک تروجانِ اعتبارسنج است که به‌گونه‌ای طراحی‌شده تا درصورتی‌که در هدفی خاص قرار گرفت و توانست هدف را تأیید کند به صورتِ خودکار پلتفرم EQUATIONDRUG و یا GRAYFISH را اجرا کند.
این بخش دو هدف را دنبال می‌کند:

  • تأیید اصالت قربانی و سپس راه‌اندازی پلتفرمِ حمله
  • در دسترس نگه‌داشتن درِ پشتیبانی

2

EQUATIONDRUG: یک پلتفرم حمله‌یِ بسیار پیشرفته که توسطِ این گروه برایِ قربانیان مورداستفاده قرار می‌گیرد. با استفاده از این پلتفرم، مهاجمان قادر خواهند بود که ماژول‌های مختلفی را به صورتِ پویا بر رویِ سیستم قربانی بارگذاری و یا حذف کنند. درواقع این قسمت این اجازه را به مهاجم می‌دهد که با توجه به محیطِ قربانی، ماژول‌هایی خاصِ آن محیط را دریافت کند. این سیستم بین سال‌هایِ ۲۰۰۱ تا ۲۰۱۳ توسعه داده‌شده و سپس با GRAYFISH جایگزین شده.

3

پس از نصب شدنِ EQUATIONDRUG یک هسته‌یِ اصلی بر رویِ سیستم نصب می‌شود و سپس این هسته با توجه به نیازها شروع به نصبِ پلاگین‌ها می‌کند. تاکنون ۳۵ پلاگینِ مختلف و ۱۸ درایور برایِ EQUATIONDRUG شناسایی‌شده است.
هسته‌یِ اصلی comEQUATIONDRUG شاملِ یک امضایِ دیجیتالِ قابل‌اعتماد نیست، بنابر این نمی‌تواند به صورتِ مستقیم در سیستم‌عامل‌هایِ نسلِ جدیدِ ویندوز موردِ استفاده قرار گیرد. درصورتی‌که این بدافزار بخواهد بر رویِ سیستم‌عاملی نظیرِ ویندوز ۷ و نظایرِ آن نصب شود، می‌بایست TripleFantasy و یا GrayFish موردِ استفاده قرار بگیرند.
EquationDrug دارایِ یک سیستمِ شمارشِ معکوسِ یکپارچه برایِ خود تخریبی است که درصورتی‌که از مرکز فرماندهی و کنترل دستوراتِ لازم را دریافت نکرد (مثلاً پس از گذشتِ چند ماه)، خودبه‌خود از بین خواهد رفت.

اطلاعاتِ دریافت شده از قربانی برایِ ارسال به مرکز کنترل و فرماندهی به صورتِ رمز درآورده و سپس اقدام به ارسالِ آن‌ها می‌کند. اطلاعاتِ به سرقت رفته داخلِ چندین فایلِ فونتِ جعلی (FON.*) در پوشه‌یِ فونت ویندوز (Windows\Fonts) ذخیره می‌شود.

GRAYFISH: همانند قسمتِ قبل، یک پلتفرمِ حمله‌یِ پیشرفته است. این قسمت با به‌صورت کامل در رجیستری سیستم خود را ثبت می‌کند و با تکیه‌بر bootkit در هنگام اولین راه‌اندازی سیستم‌عامل، خود را اجرا می‌کند. این قسمت با تزریق کدِ مخرب به سکتورهای بوت، اجازه کنترل مرحله‌به‌مرحله‌ی نصب رو راه‌اندازیِ ویندوز را به مهاجم خواهد داد.
پس از چند بار رمزنگاری و در طی ۴ یا ۵ مرحله، برنامه‌یِ مخرب در بوت سیستم ثبت‌شده و برنامه در رجی‌ستری ثبت می‌شود. درصورتی‌که در هر یک از مراحل خطایی رخ دهد، کلِ پلتفرمِ GRAYFISH به صورتِ خودکار حذف خواهد شد.

5

برایِ ذخیره‌سازی اطلاعاتِ به سرقت رفته در سیستم‌عامل یک فایل سیستم مجازی (VFS) در رجیستری ویندوز ایجاد می‌شود. هسته و تمامیِ ماژول‌ها به صورتِ رمزنگاری‌شده در رجیستری ویندوز نگهداری می‌شوند.
این بخش با سیستم‌عامل‌های مدرن و معماری‌های ۳۲ بیتی و ۶۴ بیتی همخوانی دارد.

4

VBR به معنیِ رکوردِ بوتِ مجازی است. این یک نقطه‌یِ خاص از هارددیسک است که مسئول بارگذاری سیستم‌عامل است.
EQUESTRE: همان EQUATIONDRUG است.
TRIPLEFANTASY: یک درِ پشتیِ تمام‌عیار که معمولاً توسطِ GRAYFISH موردِ استفاده قرار می‌گیرد. به نظر می‌رسد که این قسمت عملکردی مشابهِ DOUBLEFANTASY داشته باشد و در حقیقت نسخه‌ای جدیدتر از آن باشد.

timeline_4_1024-640x374

 

FANNY: یک کرمِ کامپیوتری که در سال ۲۰۰۸ جهتِ جمع‌آوری اطلاعات در بخش‌هایی از شرقِ آسیا و خاورمیانه موردِ استفاده قرار گرفت. FANNY از دو آسیب‌پذیری‌ِ روزِ صفری استفاده می‌کرد که با کشفِ استاکس‌نت کشف شدند. به نظر می‌رسد در قربانیان پس از حمله توسطِ این کرم ابتدا DOUBLEFANTASY و سپس EQUATIONDRUG اجراشده است.

fanny-lnk-exploit-640x214

FANNY از حافظه‌ی USB برایِ انتقال اطلاعات از شبکه‌هایِ air-gap استفاده می‌کند. درواقع هنگامی‌که یک سیستم با اینترنت در ارتباط نیست، FANNY وظیفه دارد تا اطلاعات را بر رویِ یک ابزارِ USB منتقل کند و این اطلاعات به‌محض ورود به یک سیستمِ متصل به اینترنت، پیام‌هایِ لازم را برایِ مرکزِ کنترل و فرماندهی ارسال می‌کند و دستورات و ماژول‌هایِ لازم را دریافت و بر رویِ USB ذخیره می‌کند. هنگامی‌که این USB مجدداً به سیستمِ ایزوله شده متصل شد، فرمان‌هایِ از قبل ذخیره‌شده به ترتیب بر رویِ آن اجرا می‌شوند و خروجی‌هایِ لازم برای انتقالِ مجدد به مرکزِ فرماندهی و کنترل ذخیره می‌شوند و این عمل مدام تکرار می‌شود.
در اینجا یک فایل.LNK بر رویِ USB ایجاد می‌شود. این فایل حتی در صورتِ خاموش بودنِ autorun، همچنان قابلیتِ اجرا بر رویِ سیستم را داد. این آسیب‌پذیری قبلاً به شماره‌یِ CVE-20102568 ثبت‌شده است.

Fanny-640x784

EQUATIONLASER: درواقع یک افزونه که برای سازگاری DOUBLEFANTASY و EQUATIONDRUG با ویندوزهای ۹۵/۹۸ ایجاد شده است.

در پایان باید گفت که مشکلِ موجود در فریم‌ور هارد دیسک‌ها مشکلی است که تا کنون بدونِ راه حل مانده است و تبدیل به بزرگترین چالشِ امنیتی در کشور‌هایِ در حال توسعه شده. این مشکل که بدونِ شک توسطِ NSA ایجاد شده تنها با تولیدِ ملی قابل حل خواهد بود.

پ ن ۱: یکی از اشتباهات رایج در بین افراد و حتی متخصصان رایانه و بدتر از آن برخی از متخصصان امنیت، تلفظِ اشتباهِ نام این شرکتِ امنیتی می‌باشد و اصرارِ آن‌ها بر درست بودنِ تلفظِ نادرستِ‌شان. Sky در نامِ kaspersky در زبان‌هایِ روسی، بلاروس، فرانسوی و انگلیسی همه اِسکی تلفظ می‌شود نه اِسکآی. /k ae s ‘p з: s k i/

پ ن ۲:  ایمیل زیر پاسخی است که NSA پس از انتشار گزارشات ارسال کرده:

We are aware of the recently released report. We are not going to comment publicly on any allegations that the report raises, or discuss any details. On January 17, 2014, the President gave a detailed address about our signals intelligence activities, and he also issued Presidential Policy Directive 28 (PPD-28). As we have affirmed publicly many times, we continue to abide by the commitments made in the President’s speech and PPD-28. The U.S. Government calls on our intelligence agencies to protect the United States, its citizens, and its allies from a wide array of serious threats – including terrorist plots from al-Qaeda, ISIL, and others; the proliferation of weapons of mass destruction; foreign aggression against ourselves and our allies; and international criminal organizations.

 

منابع:

http://arstechnica.com/security/2015/02/how-omnipotent-hackers-tied-to-the-nsa-hid-for-14-years-and-were-found-at-last

http://mashable.com/2015/02/17/equation-group-what-to-do/

Indestructible malware by Equation cyberspies is out there – but don’t panic (yet)

http://www.reuters.com/article/2015/02/16/us-usa-cyberspying-idUSKBN0LK1QV20150216

فایل کامل گزارشِ امنیتی کسپرسکی:

 icon-download  

برایِ اطلاع از جدید ترین مطالب در خبرنامه عضو شوید:

[wysija_form id=”1″]

۶ دیدگاه دسته‌بندی : آزادی, امنیت

۶ دیدگاه برای “NSA پشتِ دروازه”

  1. بسیار مفید و آموزنده بود

  2. تمدن گفت:

    سلام
    من تازه با وبلاگ شما آشنا شدم و الان حدود یکساعته که دارم مطالب مختلف رو می خونم. واقعا عالی و به روزه 🙂
    فقط یک سوال: شما اکانت توییتر نداری؟

  3. واااو رویایی بود.
    خیلی عالی بود لذت بردم.