كيف يعمل فيروس ديوكو؟

قال باحثون من فريق الاستجابة الأمنية في «سيمانتك» أن الدودة الخبيثة «ديوكو» Duqu صمَّمت لسرقة المعلومات اللازمة لهجمات مماثلة لستكسنت على مفاعلات إيران النووية.

السمات: Symantec Corporationالإمارات
  • E-Mail
كيف يعمل فيروس ديوكو؟ ولنت تيكسوز، كبير الباحثين الأمنيين الاستراتيجيين للأسواق الناشئة في «سيمانتك»
 Mothanna Almobarak بقلم  November 15, 2011 منشورة في 

قال باحثون من فريق الاستجابة الأمنية في «سيمانتك» أن الدودة الخبيثة «ديوكو» Duqu صمَّمت لسرقة المعلومات اللازمة لهجمات مماثلة لستكسنت على مفاعلات إيران النووية.

ويرى باحثو «سيمانتك» أن الدودة «ديوكو» هي بمثابة فصل جديد في حقبة غير مسبوقة من الهجمات الموسّعة التي تستهدف شركات ومؤسسات عالمية.

ويقول بولنت تيكسوز، كبير الباحثين الأمنيين الاستراتيجيين للأسواق الناشئة في «سيمانتك»: "شرّعت «ستكنت» الأبواب أمام حقبة غير مسبوقة من البرمجيات الخبيثة ذات التبعات السياسية والاقتصادية الواسعة والمقلقة. ورغم أن الدراسة المستفيضة الحالية لم تسبر أغوار الكثير من أسرار هذا التهديد، فإن «ستكنت» قد قلبت بالفعل مفاهيم تعامل الباحثين الأمنيين مع البرمجيات الخبيثة ونظرتهم للتهديدات الأمنية الكامنة".

وتابع قائلاً: "وفي حين أن الدودة الخبيثة «دوكو» لا تستهدف نظم التحكم الصناعية، مثل «ستكنت»، فإن اكتشافها أجّج المخاوف بشأن هجمات إلكترونية تستهدف محطات الطاقة الكهربائية وتحلية المياه والمنشآت الكيميائية وما في حكم ذلك. وإذا ما أخذنا في الحسبان طبيعة الهجمة الشرسة «ستكنت» والإمكانات المخيفة لمصمِّميها والأهداف الحالية المعروفة، فإننا نحث الشركات المصنِّعة لنظم التحكم الصناعية وكافة الشركات التي تزوِّد المنشآت الصناعية بحلول تقنية أن تقوم بمراجعة تدقيقية تقييمية متأنية وفورية لمرافقها".

ثمة الكثير من أوجه الشبه بين الدودتين الخبيثتين «ستكنت» و«دوكو»، بيد أن الهدف الوحيد من اللاحقة هو سرقة المعلومات اللازمة التي تعين في شنّ هجمات مستقبلية.

الدودة الخبيثة «ستكنت» التي أصابت عشرات الآلاف من الحواسيب السنة الماضية كانت «سيمانتك» السبّاقة في الكشف عن أن الهدف الأول منها هو تخريب المعدات المستخدمة في مرافق تخصيب اليورانيوم في أحد المواقع النووية الإيرانية.

حتى اليوم، تأكّد أن الدودة «دوكو» قد أصابت بالفعل ست مؤسسات وشركات على الأقل في ثمانية بلدان هي فرنسا وهولندا وسويسرا وأوكرانيا والهند وإيران والسودان وفيتنام.

الدودة الخبيثة «دوكو» تتجسّد في حصان طروادة ذي نفاذ عن بعد ولا يعتمد الاستنساخية الذاتية للانتشار، ما جعل باحثين كثيرين لا يصنفونها كدودة بل كحصان طروادة.

تستخدم الدودة الخبيثة «دوكو» البروتوكولين HTTP و HTTPS للاتصال مع خادمين معروفين غير نشطين الآن للتحكم والسيطرة. وتمكّن المهاجمون من تنزيل ملفات إضافية قابلة للتنفيذ عبر هذين الخادمين، منها "ملفات مختلسة" مصمّمة لسرقة معلومات النظام. ويتم تدوين المعلومات اللازمة في ملفات مضغوطة ذات تشفير معقد وتخزينها في الحواسيب ذاتها ومن ثم إرسالها.

الدودة الخبيثة «دوكو» مصمّمة لتكون نشطة لفترة 30 أو 36 يوماً، ومن ثم تزيل نفسها تلقائياً من النظام المستهدف.

الدودة الخبيثة «دوكو» غير منتشرة على نطاق واسع، فهي مصمّمة في المقام الأول لاستهداف شريحة معينة من الشركات التي تزوِّد المنشآت الصناعية بحلول تقنية.

رصد باحثو «سيمانتك» أهدافاً أخرى للدودة الخبيثة «دوكو» تتعدى حدود المنشآت الصناعية، إذ رصدوا هدفاً أو أكثر خارج الإطار المذكور، غير أن تلك الأهداف توفر معلومات مهمّة يمكن أن تعين في شن هجمات لاحقة.

يعتقد باحثو «سيمانتك» أن الهجمات المرتكزة إلى الدودة الخبيثة «دوكو»، بأنساقها المختلفة، ربما بدأت منذ شهر ديسمبر 2010 بناء على مراجعة دقيقة لفترات تجميع الملفات.

رُصدت الدودة الخبيثة «دوكو» لدى مجموعة محدودة من المؤسسات في أوروبا، وكان مختبر Laboratory of Cryptography and System Security في بودابست السبّاق في تحليلها.

يمكنك الآن الحصول على آخر الأخبار في صندوق الوارد لبريدك الالكتروني عبر الاشتراك المجاني الآن بـ نشرتنا الالكترونية.

إضافة تعليق

اسم المشترك، حقل إجباري

البريد الإلكتروني، حقل إجباري

Security code