طبق گفته کارشناسان بدافزاری که با نام “پروژه سورن” شناخته می شود بسیار پیشرفته است و خوب طراحی شده و احتمال دارد کار گروه هکرهای ایالتی باشد که توسط سازمان جاسوسی کشور آمریکا پشتیبانی می شوند.
این مالور حداقل از سال ۲۰۱۱ فعال بوده و شبکه های پررفت و آمد روسیه، چین، سوئد و کشورهای دیگر را هدف قرار داده است. محققان در شرکت های امنیت کامپیوتر سیمنتک و آزمایشگاه کاسپرسکی در تلاشی مشترک این مالور را پیدا کردند و بیان کردند که در بیش از ۳۰ سایت ویروسی کشف شده است که شامل یک خط هوایی در چین، سفارتی در بلژیک و یک سازمان ناشناخته در سوئد می شود. علی رغم مدل مالوری که کاربران را هدف قرار می دهد و بر کامپیوترهای معمولی تاثیر می گذارد، پروژه سورن که هم چنین تحت عنوان رمسک هم شناخته می شود، هدف ویژه تری داشته، اگر چه در پایگاه های عادی ویندوزهای مایکروسافت عمل می کرد.
این مالور به منظور نفوذ به شبکه های کامپیوتری سازمان های مهم مانند دولت، سایت های نظامی، مراکز علوم تحقیقاتی و سیستم شرکت های فناوری اطلاعات طراحی شد. هدفش جاسوسی در شبکه های نفوذ یافته، باز کردن در پشتی در سیستم های به خطر افتاده، به دست آوردن کلید قطع کننده و دزدی اطلاعات شخصی مانند رمزعبور و نام کاربری است. سیمنتک می گوید این بدافزار مخرب توسط گروه هک و نفوذ قدیمی ناشناخته ای به نام استرایدر ساخته شده، یعنی کسانی که مشخصا به شخصیت آراگورون در سه گانه معروف ارباب حلقه ها علاقع مند علاقمند هستند.
یکی از دلایلی که بسیار طول کشید تا کارشناسان امنیتی پروژه سورن را شناسایی کنند این بود که برنامه طوری طراحی شد که تقریبا نامحسوس بود، و مهاجمان برای حمله به هر هدف خاص از رمز مشخصی استفاده می کردند. این به این معناست که این مالور سریعا برای دانشمندان کامپیوتر که معمولا به دنبال رمزهای خطرناک و مهاجم هستند مشکل ایجاد نکرده است. باوجود این که این بدافزار از سال ۲۰۱۱ فعال بوده است آزمایشگاه کاسپرسکی تنها توانسته کار سال گذشته هکرها را زمانی که یکی از مشتریان شرکت از آناه خواسته تا پیگیر یک شبکه ترافیکی غیرعادی شوند، کشف کند. محققان آزمایشگاه کاسپرسکی توضیح می دهند: “مهاجمان مشخصا می دانستند که ما محققان همیشه به دنبال الگو هستیم. آن ها الگو را از کارشان خارج کردند در نتیجه عملیات شان به راحتی قابل تشخیص نبود.”
سیمنتک در توصیفش از پروژه سورن بیان کرد که تعداد زیادی “شاخصه های پنهان” دارند، مانند ذخیره مولفه هایشان در اهداف قابل اجرا که این امر شناسایی را برای نرم افزارهای آنتی ویروس قدیمی سخت می کند. هم چنین می توانست به کامپیوترهایی که ‘شکاف هوایی’ دارند و به اینترنت وصل نیستند از طریق درگاه های USB نفوذ کند. محققان در پست هایشان می نویسند: “بسیاری از کارکردهای این مالور در طول شبکه به کار گرفته می شود، یعنی تنها در حافظه کامپیوتر ساکن می شود و هرگز در دیسک ذخیره نمی شود. این شاخصه هم شناسایی مالور را سخت تر می کند و هم مبین این است که گروه استرایدر به طور فنی مهاجمان قدرتمندی هستند.” خبر خوب این است که کاسپرسکی می گوید فعالیت های پروژه سورن تا حد زیادی در این سال ها متوقف شده، چرا که محققان شرکت های مختلف از آلوده شدن سایت ها مطلع شدند و توانستند ایرادات را برطرف کنند، اما هیچ تضمینی وجود ندارد که این وضعیت پایدار بماند.
در نهایت گروه به این نتیجه رسید که چنین پایگاه بدافزاری پیچیده و قدرتمندی باید از جانب دولت حمایت شود، یعنی سرمایه و برنامه ریزی های زیادی برای این حمله صرف شده و احتمالا هنوز به پایان کارش نرسیده است. آزمایشگاه کاسپرسکی می گوید: “به نظر ما چنین سازمان و پیچیدگی هدفش دزدی اطلاعات مخفی و محرمانه است که تنها با حمایت دولت قابل انجام خواهد بود. احتمالا پروژه سورن متشکل از چندین گروه متخصص و بودجه چند میلیون دلاری است … ما بیش از ۳۰ سازمان را می شناسیم که مورد حمله قرار گرفتند، اما مطمئنیم که این فقط سر سوزنی از کارهای انجام شده است.” به هر حال چنین اقداماتی از دولت آمریکا بعید نیست و این دولت در گذشته سابقه چنین اقدامات امنیتی اطلاعاتی را داشته است.
این مالور حداقل از سال ۲۰۱۱ فعال بوده و شبکه های پررفت و آمد روسیه، چین، سوئد و کشورهای دیگر را هدف قرار داده است. محققان در شرکت های امنیت کامپیوتر سیمنتک و آزمایشگاه کاسپرسکی در تلاشی مشترک این مالور را پیدا کردند و بیان کردند که در بیش از ۳۰ سایت ویروسی کشف شده است که شامل یک خط هوایی در چین، سفارتی در بلژیک و یک سازمان ناشناخته در سوئد می شود. علی رغم مدل مالوری که کاربران را هدف قرار می دهد و بر کامپیوترهای معمولی تاثیر می گذارد، پروژه سورن که هم چنین تحت عنوان رمسک هم شناخته می شود، هدف ویژه تری داشته، اگر چه در پایگاه های عادی ویندوزهای مایکروسافت عمل می کرد.
این مالور به منظور نفوذ به شبکه های کامپیوتری سازمان های مهم مانند دولت، سایت های نظامی، مراکز علوم تحقیقاتی و سیستم شرکت های فناوری اطلاعات طراحی شد. هدفش جاسوسی در شبکه های نفوذ یافته، باز کردن در پشتی در سیستم های به خطر افتاده، به دست آوردن کلید قطع کننده و دزدی اطلاعات شخصی مانند رمزعبور و نام کاربری است. سیمنتک می گوید این بدافزار مخرب توسط گروه هک و نفوذ قدیمی ناشناخته ای به نام استرایدر ساخته شده، یعنی کسانی که مشخصا به شخصیت آراگورون در سه گانه معروف ارباب حلقه ها علاقع مند علاقمند هستند.
یکی از دلایلی که بسیار طول کشید تا کارشناسان امنیتی پروژه سورن را شناسایی کنند این بود که برنامه طوری طراحی شد که تقریبا نامحسوس بود، و مهاجمان برای حمله به هر هدف خاص از رمز مشخصی استفاده می کردند. این به این معناست که این مالور سریعا برای دانشمندان کامپیوتر که معمولا به دنبال رمزهای خطرناک و مهاجم هستند مشکل ایجاد نکرده است. باوجود این که این بدافزار از سال ۲۰۱۱ فعال بوده است آزمایشگاه کاسپرسکی تنها توانسته کار سال گذشته هکرها را زمانی که یکی از مشتریان شرکت از آناه خواسته تا پیگیر یک شبکه ترافیکی غیرعادی شوند، کشف کند. محققان آزمایشگاه کاسپرسکی توضیح می دهند: “مهاجمان مشخصا می دانستند که ما محققان همیشه به دنبال الگو هستیم. آن ها الگو را از کارشان خارج کردند در نتیجه عملیات شان به راحتی قابل تشخیص نبود.”
سیمنتک در توصیفش از پروژه سورن بیان کرد که تعداد زیادی “شاخصه های پنهان” دارند، مانند ذخیره مولفه هایشان در اهداف قابل اجرا که این امر شناسایی را برای نرم افزارهای آنتی ویروس قدیمی سخت می کند. هم چنین می توانست به کامپیوترهایی که ‘شکاف هوایی’ دارند و به اینترنت وصل نیستند از طریق درگاه های USB نفوذ کند. محققان در پست هایشان می نویسند: “بسیاری از کارکردهای این مالور در طول شبکه به کار گرفته می شود، یعنی تنها در حافظه کامپیوتر ساکن می شود و هرگز در دیسک ذخیره نمی شود. این شاخصه هم شناسایی مالور را سخت تر می کند و هم مبین این است که گروه استرایدر به طور فنی مهاجمان قدرتمندی هستند.” خبر خوب این است که کاسپرسکی می گوید فعالیت های پروژه سورن تا حد زیادی در این سال ها متوقف شده، چرا که محققان شرکت های مختلف از آلوده شدن سایت ها مطلع شدند و توانستند ایرادات را برطرف کنند، اما هیچ تضمینی وجود ندارد که این وضعیت پایدار بماند.
در نهایت گروه به این نتیجه رسید که چنین پایگاه بدافزاری پیچیده و قدرتمندی باید از جانب دولت حمایت شود، یعنی سرمایه و برنامه ریزی های زیادی برای این حمله صرف شده و احتمالا هنوز به پایان کارش نرسیده است. آزمایشگاه کاسپرسکی می گوید: “به نظر ما چنین سازمان و پیچیدگی هدفش دزدی اطلاعات مخفی و محرمانه است که تنها با حمایت دولت قابل انجام خواهد بود. احتمالا پروژه سورن متشکل از چندین گروه متخصص و بودجه چند میلیون دلاری است … ما بیش از ۳۰ سازمان را می شناسیم که مورد حمله قرار گرفتند، اما مطمئنیم که این فقط سر سوزنی از کارهای انجام شده است.” به هر حال چنین اقداماتی از دولت آمریکا بعید نیست و این دولت در گذشته سابقه چنین اقدامات امنیتی اطلاعاتی را داشته است.