در ۹ تیر ماه ۱۳۹۴، شرکت ضدویروس ESET گزارشی را منتشر کرد که در آن به جاسوس افزاری با نام Dino اشاره شده است. این گزارش ادعا می کند که در سال ۲۰۱۳ از این جاسوس افزار بر ضد اهدافی در ایران استفاده شده است.
در ۱۲ تیر ماه، خبری با عنوان “شناسایی بدافزار Dino” به نقل از گزارش شرکت ESET، در برخی سایت های کشور منتشر شد.
Dino، جاسوس افزاری پیشرفته است که به زبان ++C نوشته شده است. در میان نوآوری های فنی آن، از سیستم فایلی خاص با نام ramFS برای اجرای مخفیانه فرامین در حافظه و از یک برنامه زمانبندی اجرای فرمان، مشابه فرمان cron در سیستم عامل Unix، بهره گرفته است.
هدف این بدافزار جمع آوری اطلاعات از روی سیستم های مورد نظر گردانندگان آن است. یکی از فرامین استفاده شده در Dino، فرمان Search است که امکان جستجوی فایل ها را با پارامترهایی همچون پسوند، اندازه و زمان آخرین ویرایش فراهم می سازد.
Dino که احتمالاً توسط یک برنامه دیگر منتشر شده با برقراری ارتباط با مراکز فرماندهی خود فرامین را از گردانندگان دریافت می کند. در تنظیمات این بدافزار نشانی سرورهایی به چشم می خورد که در حال حاضر همگی از دسترس خارج شده اند. این سرورهای فرماندهی در واقع سایت های مجازی هستند که به تسخیر گردانندگان این بدافزار در آمده بودند.
با بررسی ساختار کدنویسی و برخی توابع استفاده شده می توان با اطمینان، توسعه آن را به گروهی موسوم به Animal Farm نسبت داد.
Snowglobe یکی از عملیات های سایبری اجرا شده توسط گروه Animal Farm است. بر طبق توضیحات مندرج در مجموعه اسلایدهایی از Communications Security Establishmentو(CSEC) که در سال ۲۰۱۴، توسط Edward Snowden، پیمانکار سابق سازمان امنیت آمریکا و افشاگر مشهور، منتشر شد، این عملیات از سال ۲۰۰۹ فعال بوده است.
در این مجموعه اسلایدها، از وزارت امور خارجه، دانشگاه علم و صنعت، سازمان انرژی اتمی، شرکت ارتباطات زیرساخت، سازمان پژوهش های علمی و صنعتی، دانشگاه امام حسین [ع] و دانشگاه مالک اشتر به عنوان قربانیان ایرانی یاد شده است.
عبارات و پیام های به کار رفته در کد بدافزارهای ساخت گروه Animal Farm نشان می دهند که ویروس نویسان این گروه فرانسوی زبان می باشند. CSEC تقریباً با اطمینان، این گروه را یک سازمان جاسوسی فرانسوی دانسته است.
بعد از انتشار مجموعه اسلایدهای CSEC، چندین بدافزار منتسب به این گروه، توسط شرکت های ضدویروس، کشف و شناسایی شدند که آخرین مورد آن به جاسوس افزار Dino باز می گردد.
Dino.exe نام فایل اجرایی اصلی این جاسوس افزار است و همین موضوع سبب نامگذاری آن توسط برخی از شرکت های ضدویروس، به Dino، شده است.
Dino نام یکی از شخصیت های پویانمایی عصرحجر یا Flintstones نیز می باشد.
توضیح اینکه جاسوس افزار Dino توسط ضدویروس های McAfee و Bitdefender بترتیب با نام های
RDN/Generic.dx!d2l
و
Trojan.GenericKD.2532821
از مدتها قبل شناسایی و پاکسازی می شود.
فسا-پسا
