info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

Duqu 2.‎0 پیشرفته‌ترین ابزار جاسوسی سایبری

بدافزار جدیدی توسط گروه Kaspersky شناسایی شده که نسخه پیچیده‌تری از Duqu به شمار رفته و Duqu 2.0 نامیده شده است. رد این بدافزار در شبکه داخلی سه هتلی که میزبان مذاکرات هسته‌ای ایران و ۵+۱ بوده است مشاهده شده و شواهدی وجود دارد که این بدافزار به منظور جاسوسی از مذاکرات هسته‌ای ایران و ۵+۱ مورد استفاده قرار گرفته است.

Duqu بدافزار پیچیده‌ای است که در سال ۲۰۱۱ کشف شده است. این بدافزار در حملات جمع‌آوری هوشمند اطلاعات در حوزه اهداف صنعتی مورد سوء استفاده قرار گرفته بود. این بدافزار شباهت زیادی به بدافزار stuxnet داشته و بسیاری معتقد بودند که توسط سازندگان یکسانی توسعه داده شده‌اند. نمونه‌هایی از آلودگی به Duqu در مجارستان، اتریش، اندونزی، انگلستان، سودان و ایران مشاهده شده است.

اما در چند روز اخیر نسخه جدیدی از این بدافزار توسط گروه KasperSky شناسایی شده که از پیچیدگی خاصی برخوردار است و شواهدی وجود دارد که این بدافزار به منظور جاسوسی از مذاکرات هسته‌ای ایران و ۵+۱ مورد استفاده قرار گرفته است.

به گفته یکی از مدیران kaspersky، "هزینه توسعه و نگهداری چنین چارچوب مخربی فوق‌العاده زیاد است. تفکر پشت این بدافزار به اندازه یک نسل از هرآنچه که تاکنون دیده‌ایم جلوتر است. در این بدافزار از تعدادی ترفند زیرکانه استفاده شده که شناسایی و خنثی سازی آن را به شدت دشوار می سازد. به نظر می‌رسد گروهی که پشت این نرم‌ افزار مخرب بود‌ه‌اند، از عدم شناسایی فعالیت‌های مخفیانه آن به شدت مطمئن بوده‌اند."

Duqu 2 از چندین آسیب‌پذیری روز صفر استفاده کرده و ویژگی‌های به کار رفته در آن موجب می‌گردد که هیچ ردی از خود به جای نگذارد. ویژگی منحصر به فرد Duqu 2.0 آن است که تقریباً به طور کامل در حافظه سیستم آلوده باقی می‌ماند و هیچ اطلاعاتی بر روی هارد دیسک نمی‌نویسد. ضمناً هیچ تغییری در رجیستری سیستم ایجاد ننموده و از طریق شبکه به‌طور تقریباً پنهان منتشر می‌گردد. تمامی این عوامل این بدافزار را به یکی از پنهان‌ترین بدافزارهای حاضر بدل نموده است.