كيف يعمل فيروس ديوكو؟

{Dark~ Lord}

قلب الأسد

إنضم
Feb 5, 2011
المشاركات
6,451
مستوى التفاعل
71
المطرح
بين أوراق الياسمين
رسايل :

مازالت جرائمك تتكرر في حقي وأخرها

قال باحثون من فريق الاستجابة الأمنية في «سيمانتك» أن الدودة الخبيثة «ديوكو» Duqu صمَّمت لسرقة المعلومات اللازمة لهجمات مماثلة لستكسنت على مفاعلات إيران النووية.

ويرى باحثو «سيمانتك» أن الدودة «ديوكو» هي بمثابة فصل جديد في حقبة غير مسبوقة من الهجمات الموسّعة التي تستهدف شركات ومؤسسات عالمية.

ويقول بولنت تيكسوز، كبير الباحثين الأمنيين الاستراتيجيين للأسواق الناشئة في «سيمانتك»: "شرّعت «ستكنت» الأبواب أمام حقبة غير مسبوقة من البرمجيات الخبيثة ذات التبعات السياسية والاقتصادية الواسعة والمقلقة. ورغم أن الدراسة المستفيضة الحالية لم تسبر أغوار الكثير من أسرار هذا التهديد، فإن «ستكنت» قد قلبت بالفعل مفاهيم تعامل الباحثين الأمنيين مع البرمجيات الخبيثة ونظرتهم للتهديدات الأمنية الكامنة".

وتابع قائلاً: "وفي حين أن الدودة الخبيثة «دوكو» لا تستهدف نظم التحكم الصناعية، مثل «ستكنت»، فإن اكتشافها أجّج المخاوف بشأن هجمات إلكترونية تستهدف محطات الطاقة الكهربائية وتحلية المياه والمنشآت الكيميائية وما في حكم ذلك. وإذا ما أخذنا في الحسبان طبيعة الهجمة الشرسة «ستكنت» والإمكانات المخيفة لمصمِّميها والأهداف الحالية المعروفة، فإننا نحث الشركات المصنِّعة لنظم التحكم الصناعية وكافة الشركات التي تزوِّد المنشآت الصناعية بحلول تقنية أن تقوم بمراجعة تدقيقية تقييمية متأنية وفورية لمرافقها".

ثمة الكثير من أوجه الشبه بين الدودتين الخبيثتين «ستكنت» و«دوكو»، بيد أن الهدف الوحيد من اللاحقة هو سرقة المعلومات اللازمة التي تعين في شنّ هجمات مستقبلية.

الدودة الخبيثة «ستكنت» التي أصابت عشرات الآلاف من الحواسيب السنة الماضية كانت «سيمانتك» السبّاقة في الكشف عن أن الهدف الأول منها هو تخريب المعدات المستخدمة في مرافق تخصيب اليورانيوم في أحد المواقع النووية الإيرانية.

حتى اليوم، تأكّد أن الدودة «دوكو» قد أصابت بالفعل ست مؤسسات وشركات على الأقل في ثمانية بلدان هي فرنسا وهولندا وسويسرا وأوكرانيا والهند وإيران والسودان وفيتنام.




الدودة الخبيثة «دوكو» تتجسّد في حصان طروادة ذي نفاذ عن بعد ولا يعتمد الاستنساخية الذاتية للانتشار، ما جعل باحثين كثيرين لا يصنفونها كدودة بل كحصان طروادة.

تستخدم الدودة الخبيثة «دوكو» البروتوكولين HTTP و HTTPS للاتصال مع خادمين معروفين غير نشطين الآن للتحكم والسيطرة. وتمكّن المهاجمون من تنزيل ملفات إضافية قابلة للتنفيذ عبر هذين الخادمين، منها "ملفات مختلسة" مصمّمة لسرقة معلومات النظام. ويتم تدوين المعلومات اللازمة في ملفات مضغوطة ذات تشفير معقد وتخزينها في الحواسيب ذاتها ومن ثم إرسالها.

الدودة الخبيثة «دوكو» مصمّمة لتكون نشطة لفترة 30 أو 36 يوماً، ومن ثم تزيل نفسها تلقائياً من النظام المستهدف.

الدودة الخبيثة «دوكو» غير منتشرة على نطاق واسع، فهي مصمّمة في المقام الأول لاستهداف شريحة معينة من الشركات التي تزوِّد المنشآت الصناعية بحلول تقنية.

رصد باحثو «سيمانتك» أهدافاً أخرى للدودة الخبيثة «دوكو» تتعدى حدود المنشآت الصناعية، إذ رصدوا هدفاً أو أكثر خارج الإطار المذكور، غير أن تلك الأهداف توفر معلومات مهمّة يمكن أن تعين في شن هجمات لاحقة.

يعتقد باحثو «سيمانتك» أن الهجمات المرتكزة إلى الدودة الخبيثة «دوكو»، بأنساقها المختلفة، ربما بدأت منذ شهر ديسمبر 2010 بناء على مراجعة دقيقة لفترات تجميع الملفات.

رُصدت الدودة الخبيثة «دوكو» لدى مجموعة محدودة من المؤسسات في أوروبا، وكان مختبر Laboratory of Cryptography and System Security في بودابست السبّاق في تحليلها.
 
أعلى