محققان امنیت سایبری، ویروس رایانه ای جدیدی را در ارتباط با گروه جاسوسی سایبری تحت حمایت مالی Stealth Falcon کشف کرده اند که از یک کامپوننت داخلی سیستم عامل ویندوز سو استفاده کرده و به صورت مخفیانه داده های ربوده شده را به سرور کنترل شده توسط مهاجم می‌فرستد.

Stealth Falcon یک گروه هکری پیشرفته است که از سال ۲۰۱۲ فعال بوده و به دلیل هدف قرار دادن روزنامه نگاران، فعالان و مخالفان با جاسوسی در خاورمیانه و در درجه اول در امارات متحده عربی (امارات) شناخته می‌شود.

این بدافزار که عنوان Win32 / StealthFalcon به خود گرفته است، با استفاده از سرویس انتقال هوشمند در بکگراند ویندوز (BITS) با سرورهای کنترل و فرمان (C&C) از راه دور خود ارتباط برقرار کرده واطلاعات را ارسال می کند.

BITS یک پروتکل ارتباطی در ویندوز است که از پهنای باند استفاده نشده شبکه برای تسهیل در ارسال ناهمگام، اولویت بندی شده، و انتقال سریع فایل ها بین دستگاه ها در پیش زمینه یا پس زمینه، بدون اینکه روی کارکرد شبکه تأثیر بگذارد، استفاده می‌کند.

BITS معمولاً توسط به روزرسانی های نرم افزار از جمله دانلود فایل ها از سرورهای Microsoft، یا همتا ها (peers) برای نصب به روزرسانی‌ها در ویندوز ۱۰، پیام رسان ها و سایر برنامه های کاربردی طراحی شده برای کار در پس زمینه استفاده می شود.

به گفته محققان امنیتی شرکت امنیت سایبری ESET، “از آنجا که کارهای انجام شده در  BITS توسط فایروال های میزبان مجاز هستند و به طور خودکار میزان انتقال داده را تنظیم می کند، به بدافزارها اجازه می‌دهد تا بدون هیچ گونه اعلان خطری، مخفیانه در بکگراند کار کند.

محققان در گزارشی که اخیرا منتشر شده است، گفته‌اند: “در مقایسه با ارتباطات قدیمی از طریق توابع API، مکانیزم BITS از طریق رابط COM دیده می‌شود و بنابراین تشخیص یک محصول امنیتی سخت تر می‌شود.”

“انتقال به صورت خودکار پس از قطع شدن به دلایلی مانند قطع شبکه، خروج کاربر یا راه اندازی مجدد سیستم از سر گرفته می شود.”

علاوه بر این، به جای آنکه داده های جمع آوری شده به صورت متن ساده بازنویسی شود، بدافزار ابتدا یک نسخه رمزگذاری شده از آن را ایجاد کرده و سپس این نسخه را با پروتکل BITS روی سرور C&C بارگذاری می‌کند.

پس از بازنویسی موفقیت آمیز اطلاعات دزیده شده، بدافزار بطور خودکار تمام فایل های ثبت شده و جمع آوری شده را پس از بازنویسی داده ها به صورت تصادفی، به منظور جلوگیری از تجزیه و تحلیل قانونی و بازیابی اطلاعات پاک شده، حذف می کند.

همانطور که در گزارش توضیح داده شد ، Backdoor Win32 / StealthFalcon نه تنها برای سرقت اطلاعات از سیستم های به خطر افتاده طراحی شده است بلکه می‌تواند توسط مهاجمین برای گسترش هر چه بیشتر ابزارهای مخرب و به روزرسانی پیکربندی آن‌ها، با ارسال دستورات از طریق سرور C&C نیز مورد استفاده قرار گیرد.

محققان افزودند: “Backdoor Win32 / StealthFalcon ، که به نظر می رسد در سال ۲۰۱۵ ایجاد شده است، به مهاجم این امکان را می دهد تا رایانه تحت تاثیر را از راه دور کنترل کند. ما تعداد کمی از اهداف حملات این بدافزار را در امارات متحده عربی، عربستان سعودی، تایلند و هلند مشاهده کرده ایم. در موارد بعدی، هدف، یک مأموریت دیپلماتیک در یک کشور خاورمیانه بوده است. ”

طبق گفته محققان، این بدافزار تازه کشف شده سرورهای C&C و  code base خود را با یک Backdoor در PowerShell منسوب به گروه Stealth Falcon و ردیابی شده توسط Citizen Lab در سال ۲۰۱۶، به اشتراک می گذارد.