روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ کارشناسان ما در تیم پژوهش و تحلیل جهانی موج جدیدی از ایمیل‌های هدفمند منتسب به گروه تهدید پیشرفته فروم‌ترول را بررسی کرده‌اند. در حالی که در گذشته ایمیل‌های مخرب این گروه به آدرس‌های عمومی سازمان‌ها ارسال می‌شد، این بار مهاجمان افراد مشخصی را هدف قرار داده‌اند؛ از جمله پژوهشگران و اساتید دانشگاه‌های روسیه و همچنین کارکنان سازمان‌هایی که در حوزه علوم سیاسی، روابط بین‌الملل و اقتصاد جهانی فعالیت می‌کنند. هدف اصلی این کمپین، آلوده‌ کردنرایانه قربانیان و به‌دست آوردن دسترسی از راه دور به سیستم‌های آن‌ها بوده است.

ظاهر ایمیل‌های مخرب

مهاجمان ایمیل‌ها را از آدرسی ارسال کرده‌اند که خود را به‌عنوان پشتیبانی یک کتابخانه علمی الکترونیکی جا می‌زد و شباهت زیادی به آدرس واقعی این سامانه داشت. ایمیل‌ها شامل لینک‌هایی شخصی‌سازی‌شده به گزارشی درباره بررسی سرقت علمی یک مقاله یا متن بودند؛ موضوعی که به‌طور طبیعی می‌توانست توجه پژوهشگران را جلب کند. در عمل، این لینک باعث دانلود یک فایل فشرده از همان وب‌سایت جعلی می‌شد. داخل این فایل فشرده، یک میانبر مخرب و یک پوشه حاوی چند تصویر قرار داشت که ظاهراً برای دور زدن سامانه‌های امنیتی استفاده شده بودند. نام کامل قربانی هم در نام فایل فشرده و هم در نام فایل مخرب به‌کار رفته بود تا ایمیل معتبرتر به نظر برسد. اگر دریافت‌کننده ایمیل نسبت به صحت آن مشکوک می‌شد و به وب‌سایت اشاره‌شده مراجعه می‌کرد، با نسخه‌ای کمی قدیمی از وب‌سایت واقعی کتابخانه علمی روبه‌رو می‌شد که برای فریب کاربران طراحی شده بود.

در صورت کلیک روی لینک مخرب چه اتفاقی می‌افتد؟

اگر پژوهشگر روی فایل مخرب کلیک می‌کرد، یک اسکریپت مخرب از طریق پوسته فرمان ویندوز اجرا و زنجیره آلودگی آغاز می‌شد. در نتیجه، مهاجمان یک چارچوب تجاری مورد استفاده تیم‌های نفوذ آزمایشی را روی سیستم قربانی نصب می‌کردند که امکان دسترسی از راه دور و اجرای اقدامات مخرب بیشتر را برای آن‌ها فراهم می‌ساخت. این بدافزار همچنین برای ماندگاری در سیستم از تکنیکی موسوم به ربایش اجزای سیستمی استفاده و هم‌زمان یک فایل نمایشی فریب‌دهنده را دانلود و باز می‌کرد. نام این فایل نیز شامل نام کامل قربانی بود، اما محتوای آن شخصی‌سازی نشده و تنها گزارشی کلی و مبهم در قالب یکی از سامانه‌های تشخیص سرقت علمی روسیه به شمار می‌رفت. نکته قابل توجه این بود که اگر قربانی تلاش می‌کرد لینک مخرب را روی دستگاهی اجرا کند که از محیط اجرایی مورد نظر مهاجمان پشتیبانی نمی‌کرد، پیامی نمایش داده می‌شد که از او می‌خواست دوباره و این بار از یک رایانه ویندوزی اقدام کند. بررسی فنی کامل‌تر این حمله و نشانه‌های آلودگی آن در وب‌سایت تخصصی امنیتی شرکت منتشر شده است.

راهکار امنیتی

بدافزار استفاده‌شده در این حمله توسط محصولات امنیتی شرکت کسپرسکی به‌خوبی شناسایی و مسدود می‌شود. توصیه می‌شود یک راهکار امنیتی قابل اعتماد نه‌تنها روی تمام دستگاه‌هایی که کارکنان برای دسترسی به اینترنت استفاده می‌کنند نصب شود، بلکه روی درگاه ایمیل سازمان نیز پیاده‌سازی گردد تا بیشتر تهدیدهای ایمیلی پیش از رسیدن به کاربران نهایی متوقف شوند.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.