سازمان‌های جاسوسی با دستکاری بوت‌سکتور ویندوز اطلاعات را سرقت می‌کنند

پروژه فوق تحت عنوان Anglefire حداقل از پنج سال پیش و همزمان با معرفی ویندوز 8 به مرحله اجرا در آمده و سیستم‌عامل‌های ویندوز ایکس‌پی و ویندوز 7 را اهداف قرار داده است. بنابر گزارش‌های منتشر شده هنوز هم طیف گسترده‌ای از سازمان‌های خصوصی و دولتی و همچنین کاربران از سیستم‌عامل‌های فوق استفاده می‌کنند، به همین دلیل جای تعجب نیست که این پروژه دو سیستم‌عامل فوق را هدف قرار داده است.

مطلب پیشنهادی

ارسال هرزنامه‌ها بر اساس برآورد علمی

مورد عجیب هرزنامه‌ها، سه‌شنبه‌ها مراقب اسپم باشید!

پروژه فوق از پنج ابزار مختلف با کاربردهای مختلف که همگی آن‌ها با یکدیگر در ارتباط هستند استفاده می‌کند تا سیستم‌ قربانیان را آلوده سازد. در گام اول مولفه Solartime اجرا می‌شود و سکتور راه‌انداز ویندوز را دستکاری می‌کند. در ادامه مولفه دوم مولفه wolfcreek دانلود شده که شامل یکسری درایورهای موردنیاز است که برای دانلود برنامه‌ها و درایورهای پی‌لود دیگر مورد استفاده قرار می‌گیرد. در مرحله بعد مولفه سوم به نام Keystone اجرا شده تا به سازمان‌های جاسوسی اجازه دهد بدافزارهای بیشتری را روی سامانه قربانیان نصب کنند. در مرحله چهارم مولفه BadMFS اجرا می‌شود که یک سامانه ذخیره‌ساز فایل‌ها است که همه مولفه‌ها و الگوریتم‌های رمزنگاری و مبهم‌سازی مورد نیاز درون آن قرار دارد.

مطلب پیشنهادی

قابلیتی برای تمام مرورگرها

با Firefox Send فایل‌های حجیم خود را با امنیت به دیگران برسانید

در نهایت مولفه آخر یک سیستم فایلی Transitory  ویندوز (Windows Transitory File System) است که با هدف جایگزین کردن BadMFS مورد استفاده قرار می‌گیرد. این سیستم فایلی به این منظور طراحی شده تا از فایل‌های موقتی به جای فایل سیستم اصلی برای ذخیره‌سازی اطلاعات محلی استفاده کند. در حالی که سازوکار به کار رفته در پروژه فوق پیچیده هستند اما یکسری اشکالات نرم‌افزاری باعث شده است تا شناسایی آن ساده شود. به‌طور مثال، مولفه Keystone سعی می‌کند خود را یک نسخه svchost.exe معرفی کند که در مسیر C:\windows\system32 قرار دارد. همین موضوع باعث شده است تا اگر سیستم‌عامل روی درایوهای دیگری نصب شده باشد این مولفه به سادگی قابل شناسایی باشد. همچنین سیستم فایلی BadMFs فایلی با پسوند zf ایجاد می‌کند که ممکن است از سوی کاربران شناسایی شود.