روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گروه تهدید پیشرفته «ایویسیو پاندا» که با نام‌های دیگری مانند «برنز هایلند[1]»، «دگر فلای[2]» و «استورم بامبو[3]» نیز شناخته می‌شود، از سال ۱۳۹۱ به‌طور مداوم در حال انجام حملات سایبری هدفمند است. این گروه طی سال‌ها، سازمان‌ها و صنایع مختلفی را با روش‌هایی پیچیده و در حال تکامل هدف قرار داده است. بررسی‌های جدید نشان می‌دهد که این گروه طی دو سه سال اخیر مجموعه‌ای از حملات بسیار هدفمند را اجرا کرده و در برخی موارد توانسته است برای بیش از یک سال به‌صورت مخفیانه در سامانه‌های آلوده باقی بماند.

ساز و کار حمله

Evasive Panda در این حملات، تمرکز اصلی خود را روی نفوذ تدریجی و پنهان گذاشته است. مهاجمان معمولاً قربانیان را با فایل‌هایی فریب می‌دهند که در ظاهر به‌عنوان به‌روزرسانی برنامه‌های معتبر و پرکاربرد معرفی می‌شوند؛ مانند برنامه‌های پخش ویدیو یا ابزارهای رایج سیستمی. پس از اجرای این فایل‌های جعلی، بدافزاری چندمرحله‌ای فعال می‌شود که بخش‌های مختلف آن به‌صورت رمزگذاری‌شده ذخیره یا دریافت می‌شوند. در صورتی که بخش اصلی بدافزار روی سیستم وجود نداشته باشد، سیستم آلوده به‌طور خودکار داده‌های مخرب را از سرورهای مهاجم دریافت می‌کند. نکته مهم اینجاست که مهاجمان با دستکاری پاسخ‌های سامانه نام دامنه، کاربران را بدون اطلاع به سرورهای خود هدایت می‌کنند. در این روش، حتی وب‌سایت‌های کاملا معتبر نیز به‌صورت جعلی به آدرس‌های مخرب ترجمه می‌شوند. پاسخ‌ها بر اساس موقعیت جغرافیایی و نوع سیستم قربانی تغییر می‌کند تا بدافزار مناسب همان دستگاه ارسال شود.

در مراحل بعد، بدافزار بدون ذخیره فایل قابل‌تشخیص روی دیسک، مستقیماً در حافظه برنامه‌های معتبر سیستم اجرا می‌شود. این کار باعث می‌شود شناسایی آن برای ابزارهای امنیتی بسیار دشوار شود. در نهایت، بدافزار اصلی که با نام «ام‌جی‌بات» شناخته می‌شود، کنترل سیستم را در اختیار مهاجم قرار می‌دهد و ارتباط خود را با چندین سرور فرماندهی حفظ می‌کند.

راهکارهای امنیتی

برای مقابله با چنین حملاتی، تنها استفاده از آنتی‌ویروس کافی نیست. سازمان‌ها و کاربران باید چند لایه حفاظتی را به‌طور هم‌زمان به‌کار بگیرند. به‌روزرسانی سیستم‌ها و نرم‌افزارها فقط از منابع رسمی، کنترل دقیق ترافیک شبکه، بررسی تغییرات مشکوک در مسیرهای ارتباطی اینترنت و محدود کردن دسترسی برنامه‌ها به حافظه سیستم از جمله اقدامات ضروری است. همچنین نظارت مداوم رفتار سیستم، شناسایی ارتباطات غیرعادی و آموزش کاربران برای تشخیص به‌روزرسانی‌های جعلی نقش مهمی در کاهش موفقیت این حملات دارد.

نتیجه‌گیری

گروه ایویسیو پاندا بار دیگر نشان داد که از توان فنی بالایی برای عبور از لایه‌های دفاعی و ماندگاری طولانی‌مدت در سیستم‌های آلوده برخوردار است. استفاده از روش‌های پیچیده، رمزگذاری اختصاصی و سوءاستفاده از زیرساخت‌های به‌ظاهر امن، نشان می‌دهد این گروه به‌طور مستمر در حال بهبود ابزارها و روش‌های خود است. با توجه به گستردگی و پایداری این حملات، احتمال وجود عملیات‌های مشابه و شناسایی‌نشده همچنان بالاست. این موضوع اهمیت سرمایه‌گذاری جدی در امنیت سایبری و هوشیاری دائمی در برابر تهدیدات پنهان را بیش از پیش آشکار می‌کند.

[1] Bronze Highland

[2] Daggerfly

[3] StormBamboo

.

 کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.