حمله تروجان Furtim به زیرساخت‌ های انرژی کشورهای اروپایی

تروجان فورتیم (Furtim) در ماه می ۲۰۱۶ توسط شرکت امنیتی آمریکایی انسیلو (enSilo) شناسایی شد. این تروجان بیش از ۴۰۰ محصول امنیتی را با استفاده از درخواست‌های DNS، همراه با استفاده از ۲۵۰ دامنه مرتبط با کدهای مخرب خود، آلوده می‌کند. کدهای بدافزار فورتیم نشان می‌دهد که سازندگان، زمان زیادی را صرف ساخت و اطمینان از عملکرد صحیح آن کرده‌اند. حال محققان امنیتی شرکت “سنتینل‌وان” بر این باورند که برای حمله به زیرساخت‌های انرژی کشورهای اروپایی، یک “کمپین بدافزاری” تشکیل شده است.

کارشناسان امنیتی شرکت سنتینل‌وان (SentinelOne) معتقدند حملات صورت گرفته روی زیرساخت‌های شرق اروپا با استفاده از “تروجان فورتیم” رخ داده است. از ویژگی‌های اصلی تروجان فورتیم این است که نرم‌افزار مخرب خود را با استفاده از مهندسی معکوس دیگر نرم‌افزارها به دست می‌آورد. بررسی‌های محققان نشان می‌دهد این تروجان برای رهگیری درخواست‌های HTTP از روش‌های سرقت DNS استفاده می‌کند، این ویژگی‌ها تابه‌حال در دیگر تروجان ها و بدافزارهای مخرب شناسایی‌شده است.

از قابلیت‌های تروجان نام‌برده می‌توان به استفاده از رابط برنامه‌نویسی نرم‌افزار سطح پایین ویندوز (API) اشاره کرد که در تمام نرم‌افزارهای مخرب موجود است. بررسی‌های اخیر نشان می‌دهد که بدافزار ذکر شده از فرمت‌های متناوب NTFS برای فایل‌های معمولی مرورگرها قابل‌شناسایی نیست؛ استفاده می‌کند. علاوه بر این، مهاجم با استفاده از رابط‌ها، قادر به استفاده از نرم‌افزارهای مخرب برای اجرای فعالیت‌های خود خواهد بود؛ اما نرم‌افزارهای مخرب با استفاده از این روش‌ها متوقف نمی‌شود، در این میان دو شناسه آسیب‌پذیر (CVE-2014- 4113 و CVE-2015-1701) ارائه‌شده است که برای به دست آوردن دسترسی مدیر، فعالیت مخرب خود را اجرا می‌کند.