راندولف بل» مینویسد؛ پس از حملات سایبری پیشین آمریکا و اسرائیل در شکل ویروسهای «استاکسنت»، «دوکو» و «فلیم» اینک با بدافزار دیگری روبهرو شدهایم
«موسسه بینالمللی مطالعات راهبردی» آمریکا در مقالهای به قلم «راندولف بل» مدیر موسسه، مینویسد؛ بدافزار جدید "mahdi" علیرغم بدافزارهای گذشته از سیستم برنامهنویسی بسیار سادهای استفاده کرده که همین مسئله پی بردن به سازندگانش را دشوار میسازد. از طرفی دیگر، برای ارتباط با رایانه آلوده، از زبان فارسی استفاده شده که خود نشاندهنده شناخت محلی زیاد سازنده بوده است.
* حملات سایبری جدید علیه ایران
طی چند هفته گذشته، آزمایشگاههای شرکت «کسپرسکی» که یک شرکت امنیت سایبری روسی است، اطلاعاتی در باب حمله دیگری از سلسله حملات سایبری علیه ایران منتشر کرده است. اما باوجودم بیشتر داستانهای مشابه، حمله بدافزار "mahdi" به سادگی تبلیغات جعلی مواد نیروزا در فایل ایمیلهای مزاحم شماست.
* بدافزار "mahdi" از سادهلوحی کاربران رایانه سوءاستفاده میکند
حملات سایبری پیشین علیه ایران، از جمله «استاکسنت»، «دوکو»، و «فلیم» از تکنیکهای برنامهریزی فوقالعاده پیشرفتهای استفاده میکردند تا به شبکههای ایرانی نفوذ کنند اما بدافزار "mahdi"، از طریق چندین تکنیک «مهندسی اجتماعی»، از سادهلوحی کاربران رایانه سوءاستفاده میکند، به این شکل که کاربران با بازکردن یکی از چندین فایل پیوست ظاهراً بیضرر ایمیل، خودشان این بدافزار را روی رایانه و سیستمشان نصب میکنند.
* بیشتر کاربران به هشدارها بیتوجهند
یکی از نمونههایی که «کسپرسکی» در موردش صحبت کرده، به نام «مجیک-ماشین1123.pps»، «بدافزار را از طریق اسلایدهایی پاورپوینتی که ظاهراً معمایی ریاضی را مطرح میکنند، روی رایانه نصب میکند، معمایی که تعداد دستورالعملهای ریاضیاش خارج از توان بیننده است». با اینکه برنامه پاورپوینت هشدار میدهد که ممکن است محتوای فایلی که کاربر باز کرده، ویروسی در خود داشته باشد، همه کاربران از این هشدارها آگاه نیستند و آنها را جدی نمیگیرند و همچنان کلیک میکنند و برنامه پرخطر را به اجرا درمیآورند.
* کارکرد این بدافزار برداشتن فایلها و از کار انداختن برخی قسمتهاست
بدافزار "mahdi" پس از دانلود شدن همان کاری را میکند که «فلیم» میکرد؛ فایلدزدی، از کار انداختن کلیدها، نظارت بر ایمیلها و تصویربرداری از صفحه نمایشگر کاربر. قربانیان این بدافزار عبارتند از تأمین کنندگان زیرساختهای مهم، دانشجویان مهندسی، موسسات دولتی، و نهادهای مالی. (هم "mahdi" و هم «فلیم» با پسرعمویشان «استاکسنت» که مشخصاً برای آسیب زدن به سانتریفوژهای ایرانی طراحی شده بود، متفاوتند) با اینکه بیشتر حدوداً 800 رایانه آلوده شده در ایران هستند، این بدافزار افرادی در اسرائیل، افغانستان، امارات متحده عربی و عربستان سعودی را هم دچار مشکل کرده است.
* "mahdi" سادهتر از آن است که بتوان به دولتی خاص نسبتش داد
پس از آنکه از جانب مقامات آمریکا اطلاعاتی به «دیوید سنگر» گزارشگر داده شد، حملات «استاکسنت» را نهایتاً متوجه دولتهای آمریکا و اسرائیل دانستند. (کسپرسکی، ویروسهای فلیم و دوکو را نیز به همان سازندگان استاکسنت نسبت میدهد، اما هنوز هیچ دولتی رسماً مسئولیت ساخت آن را به عهده نگرفته است) اما حتی پیش از آنکه قطعاً معلوم شود استاکسنت را کدام کشور ساخته، بیشتر تحلیلگران بر این عقیده بودند که پیشرفته بودن این بدافزار نشان از حملهای دولتی دارد. اما نسبت دادن ساخت "mahdi" به دولتی خاص دشوارتر است چون این بدافزار از نمونههای پیشین خیلی سادهتر است.
*84 درصد حملات این ویروس در ایران صورت گرفته است
ممکن است سازمانی جنایی، گروه مخالف رژیم از لحاظ مالی خوب تأمین شده، یا کشوری که برنامه جنگ سایبری بسیار سطح پایینتری نسبت به امکانات آمریکا و اسرائیل دارد آن را ساخته باشد. مضاف بر این، اهداف این حمله که افراد و دانشگاهیان هستند، به آسانی خام گمانهای ساده مهاجمان یا انگیزههایشان نمیشوند. نهایت اینکه، «سیمنتک»، یک شرکت امنیت سایبری آمریکایی، گزارش کرد که اکثر قربانیان این ویروس را در اسرائیل شناسایی کردهاند، نه ایران و این خود نسبت دادن آن را به کشوری خاص دشوارتر میسازد. اگر نتوانیم بر سر اینکه چه کسانی قربانی این حمله شدهاند به توافق برسیم، چطور میتوانیم مهاجمان را شناسایی کنیم؟ اما کسپرسکی تحلیلهای بیشتری انجام داده که نتیجهشان نتیجهگیری شرکت «سیمنتیک» را نقض میکنند؛ آنها هفته گذشته گزارش کردند 84 درصد حملات در ایران صورت گرفته و فعلاً پروندهاش را بستهاند.
* موفقیت این بدافزار نشاندهنده ناآگاهی کاربران
موفقیت بدافزار "mahdi" اطلاعاتی در باب رشد آنلاین قربانیان در اختیارمان میگذارد. مهندسی اجتماعی مورد استفاده "mahdi" برای کاربران قدیمی اینترنت به شکلی مضحک ساده است. آیا ما در سال 1996 در حسابهای کاربری "آاوال (AOL)" خود با همین حقه مواجه نشدیم؟ (مهندسی اجتماعی هنوز موفق است، اما مهاجمان از تکنیکهای ظریفتری استفاده میکنند.) موفقیت مهاجمان در آلوده کردن رایانه قربانیان غیرتصادفی که ظاهراً همه از سطوح بالای تجارت و دولت هستند، نشان دهنده عدم آگاهی این افراد از ظرفیت حملات سایبری و تاریخچه آنهاست. خلاصه اینکه شاید ایرانیان از ویروسهای رایانهای هرروزه کمتر آگاهی دارند یا به آنها شک میکنند.
* هر کس "mahdi" را ساخته اطلاعات بومی زیادی داشته
این اطلاعات و این مسئله که"mahdi" یکی از نخستین بدافزارهایی است که برای ارتباطات بین سرور فرمان و رایانه آلوده از زبان فارسی استفاده میکند، هویت مهاجمان را روشنتر میسازد. هر کس "mahdi" را ساخته اطلاعات بومی زیادی داشته و به جای آنکه از دانش پیشرفته رایانهای سود برد، از اطلاعات بومیاش جهت نیل به هدف سود جسته است.