فيروس "ديوكو" يستهدف إيران والسودان

يواصل خبراء الحماية في كاسبرسكي تحقيقاتهم بشأن البرنامج الخبيث الجديد ديوكو الذي يشترك في بعض خصائصه مع دودة ستكسنت التي استهدفت منشآت إيران النووية.

السمات: Kaspersky Labإيرانالسودان
  • E-Mail
فيروس يشبه فيروس ديوكو في تركيبته فيروس ستكسنت
 Mothanna Almobarak بقلم  October 30, 2011 منشورة في 

يواصل خبراء الحماية في كاسبرسكي تحقيقاتهم بشأن البرنامج الخبيث الجديد ديوكو الذي يشترك في بعض خصائصه مع دودة ستكسنت التي استهدفت منشآت إيران النووية.

وعلى الرغم من أن الهدف النهائي لمطوري هذا التهديد الإلكتروني الجديد لا يزال غير معروفا، فما هو واضح بالفعل هو أن دودة ديوكو أداة عالمية تستخدم لتنفيذ هجمات موجهة على عدد محدود من الأهداف، وهي قابلة للتعديل تبعا للمهمة المحددة.

هناك فارق وحيد يميز دودة ديوكو عن ستكسنت من حيث أوجه التشابه هو الكشف عن إصابات قليلة جداً (تم كشف إصابة واحدة فقط لحظة نشر الجزء الأول من التحقيق الذي أجرته كاسبرسكي لاب حول دودة ديوكو). منذ اكتشاف العينات الأولى من هذا البرنامج الخبيث، تم الكشف عن أربع حالات جديدة للإصابة، وذلك بفضل شبكة كاسبيرسكي الأمنية القائمة على السحابة. ويشار إلى أنه تم تعقب إحدى هذه العينات حتى تبين أنها لأحد المستخدمين في السودان، أما العينات الثلاثة الأخرى فوجدت في إيران.

في كل حالة من الحالات الأربعة لعدوى ديوكو تم تعديل المحرك بشكل مختلف يتلاءم مع العدوى. والأهم من ذلك، فيما يتعلق بإحدى حالات العدوى في إيران تم كشف أيضاً محاولتين لإصابة الشبكة بالعدوى باستغلال نقطة الضعف MS08-067. استخدمت ستكسنت نقطة الضعف هذه أيضاً، وكذلك كيدو وهو برنامج خبيث قديم آخر. أطلقت أول محاولة لإصابة الشبكة في 4 أكتوبر، والأخرى في 16 نوفمبر، وكلاهما نشأ من عنوان بروتوكول الإنترنت نفسه، الذي ينتمي رسمياً إلى أحد مزودي الإنترنت في الولايات المتحدة. لو تم إطلاق محاولة واحدة فقط من هذا القبيل، كان بالإمكان أن يتم شطبها كنشاط نموذجي لبرنامج كيدو، ولكن تم شن محاولتين متتاليتين للهجوم: يشير هذا التفصيل إلى أن الهجوم استهدف جهاز في إيران. ومن الممكن أيضاً أنه تم استغلال نقاط ضعف أخرى للبرامج خلال الهجوم.

وفي معرض تعليقه على الاكتشافات الجديدة، قال ألكسندر غوستيف، رئيس خبراء الأمن في كاسبرسكي لاب: "على الرغم من أن النظمة التي تستهدفها دودة ديوكو تقع في في إيران، لم يتوفر حتى الآن أي دليل على أنها نظم مرتبطة بالبرامج النووية أو الصناعية. وعلى هذا النحو، فمن المستحيل التأكيد على أن هدف البرنامج الخبيث الجديد هو نفسه لدودة ستكسنت. ومع ذلك، فمن الواضح أن كل إصابة من قبل دودة ديوكو هي فريدة من نوعها. تسمح هذه المعلومات للمرء أن يؤكد بأنه يتم استخدام دودة ديوكو لشن الهجمات التي تستهدف أهدافاً محددة سلفاً".

تتوفر النتائج المفصلة للتحقيق الجديد حول دودة ديوكو هنا على موقع Securelist.

يمكنك الآن الحصول على آخر الأخبار في صندوق الوارد لبريدك الالكتروني عبر الاشتراك المجاني الآن بـ نشرتنا الالكترونية.

إضافة تعليق

اسم المشترك، حقل إجباري

البريد الإلكتروني، حقل إجباري

Security code