เครื่องมือใหม่ในคลังแสงไซเบอร์ของ Animal Farm ได้รับการวิเคราะห์โดยนักวิจัยด้านความปลอดภัย มันเป็นความคิดสร้างสรรค์ทางเทคนิคและถูกใช้ในอิหร่านในปี 2013
นักวิจัยด้านความปลอดภัยยังคงดำเนินการสืบสวนด้านเทคนิคอย่างต่อเนื่องเกี่ยวกับคลังแสงของ Animal Farm ซึ่งเป็นกลุ่มจารกรรมกลุ่มนี้ที่อาจมาจากฝรั่งเศส (เช่น DGSE) หลังจากบาบาร์ แคสเปอร์ และอีวิลบันนี่ ก็ถึงคราวของไดโนที่จะต้องเข้าไปอยู่ใต้มีดผ่าตัด ศัลยแพทย์ที่ปฏิบัติหน้าที่คือ Joan Calvet นักวิจัยด้านความปลอดภัยจากสำนักพิมพ์ Eset เขาได้ดำเนินการชันสูตรพลิกศพของเมื่อเดือนมีนาคมปีที่แล้วแคสเปอร์ซึ่งเป็นซอฟต์แวร์สอดแนมที่ซ่อนตัวเป็นพิเศษ
ไบนารี่ข้างในของไดโนเปิดเผยอะไรแก่เราบนโต๊ะผ่าตัด? นี่คือมัลแวร์ “แบ็คดอร์” ซึ่งเมื่อติดตั้งแล้ว จะช่วยให้สายลับเข้าถึงเครื่องที่ติดไวรัสจากระยะไกลและดำเนินการคำสั่งมากกว่า 20 คำสั่ง: ดาวน์โหลดโมดูลเพิ่มเติม กู้คืนการกำหนดค่าเครื่อง รันโปรแกรมเฉพาะ (ชุด) ฯลฯ โดยเฉพาะอย่างยิ่งมัลแวร์มีฟังก์ชันการค้นหาไฟล์ที่ครอบคลุมมาก ช่วยให้ผู้ใช้สามารถค้นหาคอมพิวเตอร์เป้าหมายได้อย่างแม่นยำ นี่คือสาเหตุที่มิสเตอร์คาลเวตคิดว่าเป้าหมายสุดท้ายของไดโนคือ“การกรองไฟล์”-
ระบบไฟล์ในหน่วยความจำ
ลักษณะเฉพาะทางเทคนิคอีกประการหนึ่ง: การใช้ระบบไฟล์ที่ซ่อนอยู่ซึ่งใช้งานใน RAM เท่านั้น ทำให้มีร่องรอยน้อยมาก ระบบนี้เรียกว่า “ramFS” อนุญาตให้จัดเก็บไฟล์แบบเข้ารหัส และหากจำเป็น ให้ดำเนินการกับไฟล์เหล่านั้น ฉีดเข้าไปในกระบวนการอื่น คัดลอกไฟล์ไปยังเครื่อง... RamFS ดูเหมือนจะเป็นการพัฒนาเฉพาะสำหรับ Animal group Farm นอกจากนี้ยังพบได้ในเครื่องมืออื่นๆ ของกลุ่มสายลับนี้ เช่น ซอฟต์แวร์ NBot injector (หรือ "หยด") ในกรณีของไดโน ramFS ใช้เพื่อจัดเก็บโปรแกรมทำลายตัวเองของเขา
นอกจากการใช้ ramFS แล้ว ยังมีองค์ประกอบทางเทคนิคอื่นๆ ที่พบในโค้ดที่ทำให้สามารถแนบ Dino เข้ากับกลุ่ม Animal Farm ได้ ตัวอย่างเช่น การใช้ฟังก์ชันแฮชเดียวกัน หรือการจัดรูปแบบข้อมูลจากฟังก์ชัน "sysinfo" ซึ่งจะดึงข้อมูลการกำหนดค่าเครื่อง ในที่สุด นักวิจัยด้านความปลอดภัยก็ได้เบาะแสใหม่ซึ่งยืนยันสมมติฐานของนักพัฒนาที่พูดภาษาฝรั่งเศส ดังนั้นผู้เขียนจึงใช้คำว่า "เลขคณิต" ในบางเส้นทางของไฟล์ นอกจากนี้ ภาษาที่ใช้ตามค่าเริ่มต้นคือ... ฝรั่งเศส องค์ประกอบเหล่านี้เพียงอย่างเดียวไม่ได้พิสูจน์ว่าไดโนมีต้นกำเนิดจากภาษาฝรั่งเศส แต่เป็นข้อโต้แย้งอีกข้อหนึ่งสำหรับสมมติฐานนี้
รหัสที่มีการป้องกันไม่ดี
ในที่สุดผู้วิจัยได้เน้นย้ำถึงความขัดแย้งบางประการในทัศนคติของผู้สร้าง Dino ในด้านหนึ่ง คุณภาพของโค้ดเป็นการพิสูจน์ประสบการณ์จริงและความเป็นมืออาชีพ ในทางกลับกัน Joan Calvet รู้สึกประหลาดใจที่ไม่เห็นความยุ่งเหยิงใดๆ ในโค้ด ซึ่งจะทำให้การวิเคราะห์ยากขึ้น ในทางตรงกันข้าม ผู้เขียนได้ผลิตมัลแวร์ที่เข้าใจได้ง่ายมาก พร้อมด้วยความคิดเห็นและข้อความแสดงข้อผิดพลาด บางทีนี่อาจเป็นความผิดพลาดในวัยเยาว์ มัลแวร์แคสเปอร์ซึ่งถูกสร้างขึ้นในภายหลัง มีปัญหาประเภทนี้
ในทางกลับกัน เป้าหมายยังไม่ค่อยมีใครรู้จัก“เกี่ยวกับเหยื่อ เรารู้น้อยมาก ยกเว้นว่าพวกเขาอยู่ในอิหร่านในปี 2556”ขีดเส้นใต้นักวิจัยในบันทึกบล็อกของเขา
อ่านเพิ่มเติม:
การจารกรรมทางไซเบอร์: ยินดีต้อนรับสู่ Babar และเพื่อนมัลแวร์ของเขาจาก Animal Farm, วันที่ 06/03/2558
Babar และ EvilBunny สปายแวร์ (อาจ) “ผลิตในฝรั่งเศส”, วันที่ 18/02/2558
แหล่งที่มา :
บันทึกบล็อกจากจอห์น คาลเวต
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
