اکنون شاید دیگر خبر کشف عملیات جاسوسی سایبری که دامنه فعالیت آن در ده ها و یا حتی صدها کشور گسترده شده باشد، به اندازه یک یا دو سال قبل، ما را شگفت زده و متحیر نمی کند.
به گزارش شبکه خبری دولت الکترونیک، مدتهاست که هر چند ماه یکبار، یکی از شرکت های امنیتی مشهور پرده از فعالیت یک عملیات سایبری جدید برمی دارد و گزارش مفصلی از یافته های خود منتشر می کند. در هر صورت، این دفعه نیز نوبت شرکت ضدویروس Trend Micro است که خبر از شناسایی یک عملیات جاسوسی سایبری بدهد.
شرکت Trend Micro با انتشار گزارشی درباره این عملیات جاسوسی که نام SafeNet بر روی آن گذاشته، نشان می دهد که چگونه کامپیوترهای متعلق به سازمان های دولتی، دانشگاهی، رسانه ای و تحقیقاتی در بیش از ۱۰۰ کشور جهان مورد حمله و نفوذ بدافزار خاصی قرار گرفته اند. تمام قربانیان این عملیات سایبری از قبل شناسایی شده و با ارسال ایمیل های جعلی که در ظاهر ارتباط مستقیمی با نوع فعالیت قربانی دارند، آنان را فریب داده و از طریق فایل پیوست یا پیوند مخرب در ایمیل، به کامپیوتر آنها نفوذ و رخنه شده است.
بررسی ها نشان می دهد که عملیات جاسوسی سایبری SafeNet از دو مرکز فرماندهی و کنترل مستقل هدایت می شوند و اهداف جداگانه ای را نیز دنبال می کنند. ولی از یک بدافزار واحد برای تمام عملیات استفاده می شود.
این عملیات سایبری از دو بخش تشکیل شده است. یک بخش از حملات سایبری علیه فعالان تبت و مغولستان صورت گرفته است. در ایمیل های جعلی و آلوده ارسالی به ۲۴۳ نشانی IP مستقل در ۱۱ کشور جهان، یک فایل DOC مخرب که از یک نقطه ضعف قدیمی در نرم افزار Word برای نفوذ به سیستم قربانی سوء استفاده می کند، بکار گرفته شده است. این نقطه ضعف در نرم افزار Word حدود یکسال قبل توسط شرکت مایکروسافت ترمیم و برطرف شده است.
در بخش دوم عملیات سایبری SafeNet بیش از ۱۱ هزار و پانصد نشانی IP مستقل در ۱۱۶ کشور مورد هدف قرار گرفته اند. البته با توجه به تعداد محدود ارتباطات برقرار شده با سرورهای مرکز فرماندهی عملیات، به نظر می رسد که قربانیان این حملات نفوذی کمتر از تعداد نشانی های IP مورد حمله بوده باشند. بیشترین قربانیان و بالاترین تعداد ارتباطات برقرار شده با سرور فرماندهی مربوط به کشورهای هند، آمریکا، چین، پاکستان، فیلیپین و روسیه بوده اند.
هدف اصلی بدافزار نصب شده بر روی کامپیوتر قربانیان، سرقت اطلاعات بوده است. گرچه بدافزار امکان دریافت و نصب برنامه های جانبی مختلف را دارد. در چند نمونه مشاهده شده که برنامه های جانبی بدافزار اقدام به سرقت رمزهای عبور در مرورگرها و پودمان Remote Desktop Protocol می کنند.
گرچه هویت گردانندگان این عملیات جاسوسی سایبری کاملا مشخص نشده است. ولی بررسی ها نشان می دهد که بدافزار مورد استفاده در این عملیات توسط یک مهندس نرم افزار چینی که برای فعالان حوزه امنیت شناخته شده است، تهیه گردیده. ارتباط با سرورهای فرماندهی و کنترل عملیات نیز اغلب از نشانی های IP در کشور چین و هنگ کنگ صورت می گیرد ولی مواقعی نیز بوده که این ارتباط از کشورهای دیگر برقرار شده است. البته مواردی از استفاده از VPN و Proxy نیز توسط گردانندگان این عملیات جاسوسی سایبری مشاهده شده که می تواند دلیلی بر تعدد کشورهایی باشد که با این سرورهای فرماندهی ارتباط برقرار می کنند.
