استفاده از Fysbis Trojan در لینوکس توسط گروه جاسوسی روسی

0
427
Fysbis Trojan

Fysbis Trojan بدون دسترسی های Rootاجرا می شود و دارای یک ساختار ماژولار و جامع می باشد. گروه جاسوسی سایبری روسی، که با نام Pawn Storm شناخته ‌شده است، سیستم­ های Linux را با یک برنامه Trojan ساده ولی در عین ‌حال مؤثر که به دسترسی سیستمی بالایی برای اجرا نیاز ندارد، آلوده می کند.

Pawn Storm که با عنوان APT28 ،Sofacy یا Sednit شناخته‌ شده است، گروهی از هکرها را تشکیل می­ دهد که حداقل از سال ۲۰۰۷ مشغول به فعالیت می باشند. طی سال های اخیر سازمان­ های دولتی، امنیتی و نظامیِ کشور های عضو NATO و همچنین پیمانکاران دفاعی و سازمان ­های رسانه­ ای، فعالان سیاسی اوکراین و منتقدان Kremlin مورد هدف این گروه قرارگرفته ‌اند.

این گروه به دلیل استفاده از Exploit های Zero-Day معروف می باشد. Exploit ها برای آسیب ­پذیری­ های ناشناخته، مانند سایر تکنیک ­های آلوده سازی همچون ایمیل ­های Spear-Phishing با پیوست ­های مخرب، مورد استفاده قرار می گیرند. ابزار اصلی آن در واقع برنامه ­ی Backdoor ویندوز به نام Sednit می باشد. علاوه بر موارد فوق، این گروه از بدافزارهایی برای Mac OS X ،Linux یا حتی سیستم ­های عامل های تلفن های همراه نیز استفاده می­ نمایند.

به گفته محققان شرکت امنیتی Palo Alto Networks، ابزار بدافزار مورد استفاده قرار گرفته توسط آنها برای سیستم عامل Linux، برنامه Trojanی است که Fysbis نام دارد. این برنامه حاوی ساختاری ماژولار است که به هکرها اجازه می ­دهد تا عملکرد خود را در صورت لزوم از طریق افزونه ها گسترش دهند؛ که این مورد تک‌تک قربانیان را تحت ‌فشار قرار می ­دهد. محققان Palo Alto اشاره داشتند که Fysbis Trojan می ‌تواند خود را در سیستم قربانی (با دسترسی به Root یا بدون دسترسی به آن) نصب کند. انتخاب حساب کاربری برای نصب توسط این تروجان، موجب افزایش گزینه ­های در دسترس هکرها می­ شود.

به ‌عنوان یک ابزار جاسوسی سایبری، Fysbis در درجه اول برای سرقت اطلاعات طراحی ‌شده است. به ‌این ‌ترتیب، حتی اگر Fysbis Trojan کنترل کل سیستم را در دست نگیرد، همچنان هدف اصلی خود ‌که سرقت اطلاعات و اسناد حساس کاربر، جاسوسی در مرورگر اینترنتی و یا فعالیت­ های دیگر کاربر می باشد را انجام می دهد.

همچنین محققان Palo Alto اعلام کرده اند که عملکرد Fysbis Trojan نشان می ­دهد که عاملان «تهدیدهای پیشرفته یا APT» جهت رسیدن به اهدافشان، اغلب به روش‌ های نوین نیاز ندارند.

این محققان اذعان دارند که با وجود این باور ضعیف (و حس امنیتی کاذب) که Linux ذاتاً با درجات بالایی از حفاظت در برابر عاملان مخرب عمل می کند، بدافزار لینوکسی و آسیب ­پذیری ­هایی نیز وجود دارند که توسط هکرهای پیشرفته مورد استفاده قرار می­ گیرند.

با توجه به اینکه در اکثر محیط­ های تجاری که اکثر سیستم عامل ها از نوع Windows می باشد، تشخیص بدافزار Linux ممکن است به دلیل عدم تشخیص و فقدان تخصص لازم مشکل ­تر باشد؛ در واقع در چنین سازمان ­هایی معمولاً  بر حمایت و حفاظت سیستم ­های ویندوزی خود تمرکز بیشتری دارند.

این امر ممکن است دلیل مناسبی برای این توضیح باشد که چرا در طی این سال ‌ها بسیاری از هکر ها صرف‌نظر از اینکه انگیزه آنها جاسوسی یا جرائم سایبری مرسوم بوده است، از Linux Trojan در سیستم ­های نفوذی مربوطه خود استفاده نموده­ اند.

بدون دیدگاه

دیدگاهتان را بنویسید

*