نهادها، دانشگاه‌ها و شرکت‌های فناوری ایران، هدف بدافزار «گلسمیوم»

احمد باطبی

از روز‌های آغازین سال ۲۰۲۰ میلادی به این سو، بدافزاری ترکیبی که (ESET) نام «گلسمیوم» (Gelsemium) را برای آن انتخاب کرده، در کارزاری فراگیر بسیاری از مراکز دولتی، مذهبی، دانشگاه‌ها و شرکت‌های فعال در حوزه فناوری را در ایران، چین، ژاپن، مغولستان، تایوان، کره شمالی و کره جنوبی و چند کشور دیگر در خاورمیانه و شرق آسیا هدف قرار داده است.

بنا بر گزارش شرکت امنیتی سایبری «از فناوری ایمن لذت ببرید» ((ESET) Enjoy Safer Technology)، مستقر در کشور اسلواکی و تولیدکننده آنتی ویروس شناخته شده «نود۳۲» (Nod32)، رد پای بدافزار گلسمیوم به سال ۲۰۱۴ میلادی باز می‌گردد. اما به احتمال زیاد، پشت پرده کارزار تازه این بدافزار در خاورمیانه و آسیای شرقی، همان عواملی هستند که پیش ‌از این حملات زنجیره‌ای موسوم به «نایت‌اسکات» (NightScout) را با استفاده از ضعف امنیتی محصولات «بیگ‌نوکس» (BigNox) ترتیب داده بودند.

نایت‌اسکات، مجموعه حمله‌هایی بود که در سراسر سال گذشته میلادی، از طریق محصولات شرکت بیگ‌نوکس، با بیش از ۱۵۰ میلیون کاربر در ۱۵۰ کشور جهان صورت گرفت. در این حمله‌ها، مهاجمان بدون انگیزه مالی و تنها به منظور رصد و گردآوری اطلاعات، از محصول «نوکس‌پلی» (NoxPlayer) یا شبیه‌ساز اندروید که امکان بازی‌های اندرویدی را برای کاربران سیستم‌عامل «مک» (Mac) فراهم می‌کند، بهره برده و به بانک‌ها، وبسایت‌ها و مراکز دولتی کره جنوبی، مغولستان و ویتنام حمله کردند.

در ماه سپتامبر سال ۲۰۲۰ مشخص شد که حملات نایت‌اسکات در حقیقت از طریق مکانیزم (API) محصولات بیگ‌نوکس، و با استفاده از سه بدافزار صورت گرفته است. بدافزار اول برای ایجاد ارتباط با سرورهای فرمان و کنترل (C&C)، بدافزار دوم بدافزاری از نوع «کی‌لاگر» (keylogger) بنام «گوست رت» (Gh0st RAT) و بدافزاری سوم از خانواده (PoisonIvy RAT) که وظیفه تحویل اطلاعات سرقت شده را به مهاجمان برعهده دارد.

به گفته محققان (ESET)، قربانیانی که در نایت‌اسکات مورد حمله قرارگرفته بودند، این‌بار نیز ازجمله قربانیان بدافزار گلسمیوم هستند. این شرکت در مقاله دیگری به نام «عملیات نایت‌اسکات، زنجیره‌حمله‌هایی به کاربران بازی‌های آنلاین در آسیا» به شباهت‌های این دو حمله و بدافزارهای به کارگرفته شده در آن‌ها پرداخته است.

گلسمیوم از بخش‌هایی تشکیل شده که (ESET) نام‌های (Gelsenicine)، (Gelsemine)، (Gelsevirine) را به آن‌ها داده‌اند؛ اما حالا محققان این شرکت امنیتی می‌گویند که در کارزار خاورمیانه و شرق آسیا، نسخه پیشرفته‌تری از گلسمیوم کشف کرده‌اند که عمل جاسوسی و گردآوری اطلاعات را بسیار پیچیده‌تر از نسخ قبلی انجام می‌دهد.

در نگاه اول، اجزای گلسمیوم ساده به نظر می‌رسد، اما این بدافزار دارای پیکربندی جامعی است که به صورت مرحله به مرحله پیاده‌سازی شده و به شکل نامفهوم و گیج‌کننده‌ای، تنظیمات لازم را برای به سرقت اطلاعات قربانی را فراهم می‌کند.

 عملکرد این بدافزار در مرحله اول مانند یک قطره‌چکان بزرگ است که در حالت معمول می‌توانند قطره‌هایی از آلودگی را با حجم ۴۰۰ تا ۷۰۰ کیلوبایت را روی سیستم قربانی سرازیر کند. ساختار این قطره‌چکان به زبان « سی پلاس پلاس» (C++) و با استفاده از کتابخانه (Microsoft Foundation Class library (MFC)) نوشته شده است. توسعه‌دهندگان گلسمیوم همچنین از کتابخانه (zlib) بهره برده‌اند تا بتوانند درحد امکان، اندازه‌های کلان بخش‌های مختلف این بدافزار ترکیبی را کوچکتر کنند. این ساختار بزرگ، علاوه بر پیچیدگی، بسیار انعطاف‌پذیر است. به طوری که می‌توانند عملیات‌های حساس روی هدف، ازجمله (bitness) ۳۲ و ۶۴ بیتی و یا (standard user vs. administrator) را به سادگی انجام دهد. تقریبا تمامی مراحل عملکرد این بدافزار فشرده‌سازی و به مرحله (Portable Executable (PE))  منتقل شده و در فضای آدرس حافظه، اجرایی می‌شود.

در بین سه بخش اصلی تشکیل‌دهنده گلسمیوم، (Gelsenicine) یک مهیاکننده یا (loader) محسوب می‌شود که وظیفه‌اش بارگیری (Gelsevirine) است. از این نوع فایل مهیاکننده، دو نسخه د ردیگر نسخ بدافزار گلسمیوم مشاهده شده که هردوی آن‌ها در فایل DLL مشترک هستند. اما نحوه اجرای آن‌ها با یکدیگر متفاوت است. در خصوص کاربرانی که دسترسی آن‌ها به سیستم در حد مدیر کل است،  (Gelsenicine) فایل (Gelsevirine) را در مسیر (C:\Windows\System32\spool\prtprocs\x64\winprint.dll) ویندوز رها می‌کند تا از طریق سرویس (spoolsv) مرحله بارگیری آغاز شده و امکان ویرایش و یا نگارش فایل در مسیر (%WINDIR%/system32) فراهم شود.

درخصوص کاربرانی که حد دسترسی آن‌ها به کامپیوتر دسترسی استاندارد هست نیز، (Gelsemine) فایل (Gelsenicine) در مسیر (CommonAppData/Google/Chrome/Application/Library/chrome_elf.dll) رها می‌کند که نیازی به دسترسی مدیرکل ندارد.

(Gelsevirine) در حقیقت مرحله آخر این زنجیره نفوذ و آلوده‌سازی است که در اصلاح به آن (MainPlugin) گفته می‌شود. در نسخه‌های قدیمی‌تر این بدافزار، فایل اجرایی به جای فرمت (DLL) با فرمت (pdb) در مسیر (Z:\z_code\Q1\Client\Win32\Release\MainPlugin.pdb) پیاده‌سازی می‌شد. تا این مرحله‌، اگر مکانیزم دفاعی کامپیوتر و یا مدیران امنیتی شبکه متوجه نفوذ شده باشند، عملا عملیات آلوده‌سازی سیستم شکست خورده و خطری قربانی را تهدید نمی‌کند. چرا که عمل آلوده‌سازی نیازمند تنظیماتی است که پس از این مرحله توسط (Gelsenicine) انجام می‌شود. این تنظیمات شامل یک مرحله پیکربندی است، متشکل از رشته‌هایی به نام (controller_version) که به اعتقاد محققان (ESET)، از آن در نسخ قدیمی گلسمیوم نیز برای آلوده‌سازی سیستم قربانی استفاده شده است.

نتیجه به دست‌ آمده از آزمایش بر روی ماژول‌های گلسمیوم نیز نشان می‌دهد که از نظر ساختار و عملکرد شباهت فراوانی به ماژول ۳۲ و ۶۴ بیتی (OwlProxy) دارد. همچنین (Chrommme) نیز یکی از انواع شناسایی شده (درب پشتی) یا گرفتن دسترسی از سیستم قربانی، برای نفوذ‌های آینده است که در اکوسیستم بدافزار گلسمیوم دیده شده است.

پیش از این نیز درخصوص حملات گلسمیوم هشدارهایی داده می‌شد که از آن جمله می‌توان به گزارش شرکت چینی (BeijingVenus Information SecurityTech., Inc.) در سال ۲۰۱۸ اشاره کرد. اما با فراگیر شدن تهدیدها در سال گذشته و امسال و اینکه هدف حمله‌های گلسمیوم، نه انگیزه مادی، بلکه جاسوسی و گردآوری اطلاعات است، بسیاری از محققان و صاحب‌نظران حوزه امنیت سایبری، گلسمیوم را فراتر از یک مجموعه بدافزار پیچیده، بلکه ازجمله گروه‌های موسوم به «ای پی تی» یا «تهدید پیشرفته مدام» می‌دانند که با جعبه ابزاری پیشرفته و خطرناک، نیاز دولت‌ها را از بابت جاسوسی سایبری تامین می‌کنند. گروه‌های موسوم به (APT) یا (Advanced Persistent Threat) به تهدیدهای سایبری مستمری گفته می‌شود که معمولا از سوی هکرهای وابسته به حکومت‌ها سازمان طراحی و اجرا می‌شود. این گروه‌ها با علامت اختصاری «ای پی تی» و ارقام منتسب به آن‌ها شناخته می‌شوند. به‌عنوان مثال گروه «APT34» از جمله گروه​‌های (APT) است که تحت حمایت رژیم حاکم بر ایران قرار داشته و اقدام به فعالیت​‌های مجرمانه می​‌کند.