گل همیشه بهار
متخصص بخش اینترنت
به گزارش ایتنا از مرکز ماهر، جو استوارت و دان جكسون محققان Dell SecureWorks، گزارش جدیدی را منتشر كرده اند و در آن به تروجان دسترسی از راه دور Comfoo اشاره كرده اند. Comfoo بدافزاری است كه برای نفوذ به شبكه های بزرگ و دولتی در سراسر جهان مورد استفاده قرار می گیرد.
حمله « تهدید مداوم پیشرفته APT» یكی از حملاتی است كه بسیاری از سازمان ها در تلاش هستند تا به عنوان یك تهدید سایبری با آن مقابله نمایند. این حملات بسیار پیچیده بوده و در برخی از موارد دولت ها از آن حمایت می كنند.
كمپین Comfoo یك مثال اولیه از تهدیدات پیشرفته دائمی می باشد.Comfoo برای اولین بار در سال ۲۰۱۰ با نشت داده RSA شناخته شد. با توجه به گزارش منتشر شده، این تروجان در حداقل ۶۴ حمله هدفمند در سراسر جهان استفاده شده است و صدها نوع از RAT وجود دارد.
Comfoo RAT اغلب به جای نصب یك سرویس جدید، به طور پنهانی مسیر DLL را با یك سرویس موجود غیر قابل استفاده جایگزین می كند. این مساله كمتر توسط مدیران شبكه مورد توجه قرار می گیرد.
هم چنین گاهی اوقات یك روت كیت برای مخفی كردن فایل های دیسك Comfoo مورد استفاده قرار می گیرد. ترافیك شبكه تولید شده توسط RAT به منظور ارسال امن داده ها به مراكز كنترل و فرمان بدافزار، رمزگذاری می شود.
محققان نمی توانند به داده های ارسال شده برای مراكز كنترل و فرمان دسترسی داشته باشند اما توانستند نقشه شبكه و نحوه عملكرد این بدافزار را رسم نمایند كه چگونه Comfoo ضربات صفحه كلید را ثبت می كند، به فایل ها دسترسی یافته و آن ها را دانلود می كند، دستورات را اجرا كرده و قادر است دستورات به اشتراك گذاری را باز نماید.
در حالی كه محققان RAT را نظارت می كردند دریافتند كه نهادهای دولتی و شركت های خصوصی مستقر در امریكا، اروپا، آسیا و اقیانوسیه به این تروجان آلوده هستند. بسیاری از سازمان های دولتی ژاپن و هند، هم چنین موسسات آموزشی، رسانه ها، شركت های مخابراتی و شركت های انرژی هدف حمله این تروجان قرار گرفته اند.
جالب توجه است كه شركت های صوتی و ویدئو كنفرانس نیز یكی از اهداف محبوب این تروجان بوده است. محققان بر این باورند كه ممكن است هكرها به دنبال مالكیت معنوی هستند یا ممكن است این تروجان برای شنود بی سرو صدا در سازمان های دولتی و تجاری استفاده می شود.