به گزارش افکارنیوز به نقل از ايسنا، در مورد تروجان گاس كه نخستین بار در پاییز ۲۰۱۱ توسط كاركنان آزمايشگاه كسپرسكی كشف شد، اطلاعاتی موجود است: "ما میدانیم كه این تروجان با فلیم ارتباطی نزدیك دارد. فلیم بدافزاری است كه ایالات متحده برای حمله به ایران تولید كرد. میدانیم كه گاس به ایران حمله نكرده است اما به جاسوسی از كامپیوترها و شبكههای دیگری در خاورمیانه مشغول است.
همچنین میدانیم که گاس میتواند از طریق حافظههای فلش منتشر شود. ما بر این گمانیم که گاس چیزی یا کسی را هدف قرار داده اما این هدف را نمیشناسیم. ما میدانیم که گاس فونتی به نام " پالادینا نرو " را بر روی دستگاههایی که آلودهشان کرده نصب میکند.
علاوه بر این، دریافتهایم که اگر چیزی را که در جستوجوی آن است پیدا نکند خودش را حذف میسازد. ما میدانیم که گاس ظاهراً اطلاعات بانکی نهادهای مالی لبنانی را هدف قرار داده است. مطلعیم که بیشترین میزان آلودگی در لبنان، سرزمین اشغالی و مناطق فلسطینی دیده شده است ".
کسپرسکی لب در گزارش خود میگوید که در نقاط دیگر هم نمونههایی از آلودگی دیده شده است: " ۴۳ مورد در ایالات متحده که احتمالاً مربوط به دستگاههایی است که از طریق ویپیان به دستگاههایی در خاورمیانه متصلاند. نکته دیگر این است که ما میدانیم سرورهای کنترلکننده گاس در ماه ژوییه از کار افتادند. بنابراین، احتمالاً در حال حاضر گاس تهدیدی جدی محسوب نمیشود ".
پس گاس چه کار میکند؟ گاس به رغم علاقهاش به اطلاعات بانکی، احتمالاً برای سرقت پول به کار نمیرود. نخست آن که گزارشی درباره سرقت پول از مؤسسات خاورمیانه منتشر نشده است. دوم آن که گاس مبتنی بر نرمافزار جاسوسی فلیم است و این بدان معنی است که شاید هدف جاسوسی نیز داشته باشد.
پس اگر واقعاً یک حکومت از بدافزار گاس حمایت میکند و این بدافزار علاوه بر دادههای کاربران، گذرواژهها، دادههای شخصی، شبکه اجتماعی و امثال آن در بعضی کشورها به دنبال اطلاعات بانکی هم باشد، دلیل این نوع فعالیت چیست؟
شاید این روشی برای ردگیری فعالیتهای سازمانها و مبادلات مالی آنها باشد. ظاهراً گاس را برای این منظور طراحی کردهاند. به همین دلیل است که این بدافزار اطلاعات بانکی(نه خود پول)، اطلاعات فعالیتهای جستوجوگر و مجموعه اطلاعات رسانههای اجتماعی را میرباید.
دلیل از کار افتادن سرور ناظر آن در ماه ژوییه چه بود؟ احتمالات متعددی وجود دارد. شاید گاس به هدف خود رسیده باشد و سرورهایش را از کار انداخته باشد تا شناسایی نشود. شاید گردانندگان گاس خواستهاند که مانع ردگیری خود شوند. شاید از کار افتادن گاس برنامهای از پیش تعیین شده بود تا خطر ردگیری آن کاهش یابد. در واقع هیچکس دلیل اصلی را نمیداند.
چرا گاس از فونت پالیدا نرو استفاده میکند؟ شاید این روشی باشد که گاس به کمک آن آلوده شدن دستگاه را بررسی میکند. اگر دستگاه آلوده شده باشد دیگر مجدداً به آن حمله نمیکند و در عوض رد خود را از بین میبرد. علاوه بر این، اگر گاس پس از بررسی دستگاهی دریابد که کامپیوتر مذکور در فهرست اهدافش نیست، خود را از روی درایو یو اس بی پاک میکند. به نظر میرسد که گاس در مقام یک بدافزار برای پاک کردن رد خود بسیار تلاش میکند و خواستار انتشار فراوان نیست.
در واقع، گزارش کسپرسکی لب نشان میدهد که هنوز نحوه انتشار گاس معلوم نیست اما در عین حال در این گزارش آمده است که انتشار این بدافزار به صورت تصادفی نیست - این هم ویژگی دیگری است که آن را از سایر بدافزارها متمایز میسازد. هم اکنون که دامنه شبکه گاس ظاهراً رو به گسترش است، احتمالاً دیگر
نمیتوان به طور قطع منبع و دلیل ارسال آن را شناخت. بخشهای مهمی از کد آن با کلیدهایی رمزگذاری شده است که آنها را یا نمیشناسیم و یا در اختیار نداریم. ما واقعاً نمیدانیم که پیش از خاموشی سرورهای ناظر آن چه چیزی به آنها ارسال شده است.
خبر خوب این است که حتی اگر ساکن خاورمیانه باشید احتمال آلوده شدن کامپیوترهای شخصیتان به این بدافزار بسیار بسیار اندک است. خبر بهتر این که به راحتی میتوان آن را یافت و پاک کرد. نرمافزارهای آنتیویروس حتماً آن را میشناسند و بهطور خودکار حذفش میکنند. سایت کسپرسکی در این زمینه راهنمایی لازم را ارائه کرده است.
بر اساس خبر سايت سازمان فناوري اطلاعات، حال این سؤال نهایی مطرح میشود: حالا كه گاس به طور مرموزی ناپدید شده، چه اتفاقی ممكن است بیفتد؟ برای این سؤال پاسخی نداریم اما از آنجا كه گاس ابزاری برای جاسوسی بود به احتمال بسیار زیاد قبل از شروع مرحله بعدی عملیات آن نمیتوانیم اطلاعات بیشتری در مورد آن به دست آوریم.
شناسه خبر:
۱۳۷۶۶۴
تروجان گاس و سؤالهای بیجواب
نظریههایی که این روزها در میان متخصصان امنیت آیتی بر سر زبانهاست حاکی از این است که تروجان جاسوسی سایبری گاس را دولت ایالات متحده در همان لابراتواری ساخته است که بدافزار فلیم در آن ساخته شد اما کسی از دلیل آن اطلاع ندارد.
۰