• info@arka.ir
  • تماس با ما: 02191300476 - ۰۲۱۸۸۸۰۴۹۶۱
  • تهران، خیابان شهید بهشتی، خ پاکستان، کوچه ۴ پلاک ۱۱ واحد ۷

بایگانی برچسب: s

25 سپتامبر 2021

محققان امنیت سایبری تکنیک جدیدی را که عامل تهدید به صورت عمدی برای جلوگیری از تشخیص و شناسایی به کمک امضا‌های نادرست دیجیتالی payload‌های بدافزار خود استفاده کرده است، فاش کرده‌اند.

نیل مهتا از گروه تجزیه و تحلیل تهدیدات گوگل در گزارشی که روز پنجشنبه منتشر شد، اعلام کرد: “مهاجمان امضا‌های کد ناقصی را ایجاد کرده‌اند که توسط ویندوز معتبر تلقی می‌شوند اما نمی‌توانند با کد OpenSSL که در تعدادی از محصولات اسکن امنیتی استفاده می‌شود، رمزگشایی یا بررسی شوند”.

مشخص گردیده است که این مکانیسم جدید توسط گروه بدنامی از نرم‌افزار‌های ناخواسته معروف به OpenSUpdater مورد استفاده قرار می‌گیرد، که برای بارگیری و نصب سایر برنامه‌های مشکوک در سیستم‌های آسیب دیده استفاده می‌شود. بیشتر اهداف این کمپین کاربرانی هستند که در ایالات متحده قرار دارند و مستعد دانلود نسخه‌های کرک شده بازی‌ها و سایر نرم‌افزار‌های نامشخص و نامطمئن هستند.

این یافته‌ها از مجموعه‌ای از نمونه‌های OpenSUpdater نشات می‌گیرد که حداقل از اواسط ماه آگوست در VirusTotal بارگذاری شده‌اند.

در حالی که مهاجمان در گذشته برای جاسوسی از ابزار‌های تبلیغاتی مزاحم و سایر نرم‌افزار‌های ناخواسته در شناسایی ابزار‌های مخرب یا جاسازی کد حمله در اجزای نرم‌افزاری معتبر و دارای امضای دیجیتالی با آلوده کردن زنجیره تأمین نرم‌افزار، به گواهی‌های دیجیتالی غیرقانونی تکیه کرده‌اند، OpenSUpdater به دلیل توانایی استفاده عمدی از امضای ناقص برای عبور از سد دفاعی، برجسته است.
takian.ir google warns of new way hackers can make malware undetectable on windows 2
بدافزار‌ها در ویندوز قابل تشخیص نیستند
بدافزار‌های طراحی شده با یک گواهی نامعتبر X. ۵۰۹ امضا شده و به گونه‌ای ویرایش شده‌اند که المان “parametrs” در زمینه SignatureAlgorithm شامل نشانگر پایان محتوا (EOC) به جای برچسب NULL است. اگرچه اینگونه رمزگذاری‌ها توسط محصولاتی که از OpenSSL برای بازیابی اطلاعات امضا استفاده می‌کنند، نامعتبر است، اما بررسی‌های سیستم‌های ویندوز اجازه می‌دهد فایل بدون هیچگونه هشدار امنیتی اجرا شود.

جلوگیری از نشت اطلاعات
مهتا افزود: “این اولین بار است که TAG مهاجمانی را که از این تکنیک برای فرار از تشخیص و شناسایی استفاده می‌کنند، مشاهده می‌کند و در عین حال امضای دیجیتالی معتبر روی فایل‌های PE را حفظ می‌نماید”.

این محقق همچنین اضافه کرد: “امضا‌های کد بر روی قسمت‌های اجرایی ویندوز، ضمانتهایی را در مورد یکپارچگی یک فایل اجرایی امضا شده و همچنین اطلاعاتی در مورد هویت امضاکننده، ارائه می‌دهد. مهاجمانی که قادرند هویت خود را در امضا کتمان و پنهان کنند، بدون اینکه بر تمامیت و کلیت امضا تأثیر بگذارد، می‌توانند برای مدتی طولانی از امکان تشخیص جلوگیری کرده و طول عمر گواهینامه‌های دارای امضای کد خود را به منظور آلوده کردن سیستم‌های بیشتر، افزایش داده و تمدید نمایند″.

22 سپتامبر 2021

موجی از حملات بدافزار که به تازگی کشف شده است با استفاده از تاکتیک‌های مختلف برای به بردگی درآوردن دستگاه‌های حساس و مشخصاً با سطح اعتبار ادمین برای بهره کشی از آن‌ها در یک شبکه با هدف استخراج غیرقانونی رمزارز، مشاهده شده است.

لری کشدالر، محقق امنیتی Akamai، در مقاله‌ای که روز یکشنبه منتشر شد، گفت: “تاکتیک اصلی این بدافزار گسترش با استفاده از سیستم‌های آسیب‌پذیر و اعتبارنامه‌های ضعیف ادمین است. پس از آلوده شدن، این سیستم‌ها برای استخراج رمزارز استفاده می‌شوند”.

این بدافزار مبتنی PHP، با اسم رمز “Capoae” (مخفف “Сканирование”، کلمه روسی “اسکن”)، گفته می‌شود که از طریق یک افزونه backdoor به افزونه وردپرس به نام “download-monitor” که پس از تحمیل موفقیت‌آمیز اعتبارنامه ادمین به وردپرس نصب می‌گردد، در دستگاه میزبان مستقر می‌شود. این حملات همچنین شامل استقرار یک فایل باینری مبتنی بر زبان برنامه‌نویسی Go با قابلیت رمزگشایی است که payload‌ های مبهم با استفاده از افزونه حاوی تروجان برای درخواست GET از یک دامنه تحت کنترل مهاجم بازیابی می‌شوند.

به نقل از هکرنیوز، همچنین یک ویژگی دیگر نیز برای رمزگشایی و اجرای payload‌ های اضافی وجود دارد و از طریق فایل باینری Golang که از چندین نقص اجرای کد از راه دور در Oracle WebLogic Server (CVE-۲۰۲۰-۱۴۸۸۲) ،NoneCms (CVE-۲۰۱۸-۲۰۰۶۲) و Jenkins ( CVE-۲۰۱۹-۱۰۰۳۰۲۹ و CVE-۲۰۱۹-۱۰۰۳۰۳۰) رنج می‌برد، بهره گرفته تا بتواند راه خود را به سیستم‌هایی که SSH را اجرا می‌کنند پیدا کرده و در نهایت نرم‌افزار استخراج XMRig را نصب و راه‌اندازی نماید.

جلوگیری از حملات باج‌افزار
علاوه بر این، زنجیره حمله به دلیل ترفند‌های خاص خود برای ماندگاری در دستگاه‌ها، که شامل انتخاب یک مسیر سیستمی با ظاهر قانونی در دیسک است که احتمالاً باینری سیستم در آن یافت می‌شود و همچنین ایجاد یک نام فایل تصادفی شش کاراکتری که بعداً برای کپی کردن باج‌افزار در محلی جدید در سیستم و قبل از حذف بدافزار و هنگام اجرا استفاده می‌گردد، شناخته می‌شود.

کشدالر گفت: “استفاده کمپین Capoae از آسیب‌پذیری‌ها و تاکتیک‌های متعدد نشان می‌دهد که این اپراتور‌ها به چه میزان قصد دارند تا جایی که ممکن است بر روی بسیاری از دستگاه‌ها برای رسیدن له مقصود خود تکیه کنند. خبر خوب این است که همان تکنیک‌هایی که ما به اکثر سازمان‌ها توصیه می‌کنیم تا سیستم‌ها و شبکه‌ها را ایمن نگه دارند، هنوز در این مورد قابل اعمال است”.

کشدالر افزود: “از اعتبارنامه‌های ضعیف یا پیش فرض برای سرور‌ها یا برنامه‌های کاربردی استفاده نکنید. همچنین اطمینان حاصل کنید که برنامه‌های کاربردیتان را با جدیدترین پچ‌های امنیتی به روز نگه می‌دارید و هر از گاهی آن‌ها را بررسی می‌کنید. به علاوه مراقب مصرف بیش از حد معمول منابع سیستم، فرایند‌های عجیب و غریب غیرمنتظره، فرایند‌های ساختگی مشکوک و لاگ‌های ورودی دسترسی مشکوک باشید. دقت، شناسایی و توجه به این موارد، به شما کمک می‌کند تا به طور بالقوه دستگاه‌های آسیب دیده را شناسایی کنید″.

19 سپتامبر 2021
هدفگیری ساب سیستم ویندوز برای لینوکس توسط بدافزاری جدید با توانایی مصون ماندن شناسایی

تعدادی از نمونه‌های مخرب برای ساب سیستم ویندوز برای لینوکس (WSL) با هدف به خطر انداختن دستگاه‌های ویندوزی ایجاد شده است و روش زیرکانه‌ای را نشان می‌دهد که برای اپراتور‌ها این امکان را فراهم می‌کند تا از شناسایی مصون بمانند و حتی با وجود تجهیزات ضد بدافزار محبوب و شناخته شده، امکان تشخیص را خنثی کنند.

به مثال “Distinct tradecraft” اولین نمونه‌ای است که نشان می‌دهد یک عامل تهدید‌کننده از WSL برای نصب payload‌ های بعدی سواستفاده کرده است.

به نقل از هکر نیوز، محققان Lumen Black Lotus Labs در گزارشی که روز پنجشنبه منتشر کردند، گفتند: “این فایل‌ها به عنوان لودر‌هایی که payload ‍ی را که در نمونه جاسازی شده یا از سرور راه دور بازیابی شده بود و سپس با استفاده از تماس‌های API ویندوز به یک فرآیند در حال اجرا تزریق می‌شد، عمل می‌کنند”.

ساب سیستم ویندوز برای لینوکس، که در آگوست ۲۰۱۶ راه‌اندازی شد، یک لایه سازگاری است که برای اجرای اجزای دوتایی لینوکس (در قالب ELF) بطور بومی بر روی پلتفرم ویندوز بدون‌ آورهِد ماشین مجازی سنتی یا راه‌اندازی دوال بوت طراحی شده است.

قدیمی‌ترین موارد طراحی شده به ۳ ماه می‌سال ۲۰۲۱ برمی گردد که مجموعه‌ای از فایل‌های باینری لینوکس، هر دو تا سه هفته یکبار تا ۲۲ آگوست ۲۰۲۱ بارگذاری شده‌اند. نه تنها این نمونه‌ها در پایتون ۳ نوشته شده و با PyInstaller به ELF اجرایی تبدیل می‌شوند، بلکه فایل‌ها همچنین برای بارگیری کد shell را از یک سرور command-and-control از راه دور و با استفاده از PowerShell برای انجام فعالیت‌های بعدی در میزبان آلوده استفاده می‌شوند.

این payload ثانویه “shellcode” به یک فرآیند در حال اجرا ویندوز با استفاده از API Windows تزریق می‌شود که Lumen آن را “اجرای فایل باینری ELF در Windows” توصیف می‌کند، اما قبل از آن نمونه در راستی خاتمه دادن به فعالیت محصولات مشکوک آنتی ویروس و ابزار‌های تجزیه و تحلیل در دستگاه تلاش می‌نماید. علاوه بر این، با استفاده از لایبرری‌های استاندارد پایتون، برخی از گونه‌های دیگر را در ویندوز و لینوکس قابل پیوند و ارتباط می‌کند.

محققان می‌گویند: “تا کنون ما تعداد محدودی از نمونه‌ها را تنها با یک آدرس IP قابل رویت عمومی شناسایی کرده‌ایم، که نشان می‌دهد این فعالیت از نظر دامنه و گستره بسیار محدود است و یا به طور بالقوه هنوز در حال توسعه است. همچنان که مرز‌های مجزای بین سیستم عامل‌ها همچنان مبهم‌تر و کمتر می‌شوند، عاملان تهدید از سطوح حمله‌های جدید استفاده خواهند کرد″.

takian

8 سپتامبر 2021

این یادداشت، دستور اجرایی رئیس جمهور جو بایدن در ماه می را دنبال می کند.

بر اساس یادداشتی که ۱۰ اوت توسط دفتر مدیریت و بودجه منتشر شده است ، آژانس های فدرال ۶۰ روز فرصت دارند تا نرم افزارهای حیاتی را در سیستم های خود شناسایی کنند و یک سال نیز برای ایمن سازی آن وقت دارند.

این یادداشت ، که توسط سرپرست OMB ، Shalanda Young تألیف شده است ، از فرمان اجرایی رئیس جمهور جو بایدن در ۱۲ مه در مورد بهبود امنیت سایبری کشور ، که زمینه ساز چندین دستورالعمل است ، ناشی شده است. یکی از این دستورالعمل ها به موسسه ملی استاندارد و فناوری دستور داد تا “نرم افزار حیاتی” را برای سازمان ها تعریف کند و این یادداشت بر اساس تعریف NIST در ماه ژوئن منتشر شده است. طبق این یادداشت ، این تعریف در مورد “نرم افزارهای همه جانبه” اعمال می شود ، از جمله “نرم افزار مستقل ، نرم افزاری که در دستگاه ها یا قطعات سخت افزاری خاص وجود دارد” و نرم افزارهای مبتنی بر ابر که برای اهداف عملیاتی خریداری شده یا به کار گرفته می شوند. NIST نرم افزار حیاتی را نرم افزاری تعریف می کند که بر روی نرم افزاری اجرا می شود یا به آن وابسته است:

  • طوری طراحی شده است که با امتیازات مدیریتی اجرا شود.
  • دسترسی مستقیم یا ممتاز به منابع شبکه یا محاسبات دارد.
  • برای کنترل دسترسی به داده یا فناوری عملیاتی طراحی شده است.
  • عملکرد مهمی را برای اعتماد انجام می دهد ؛ و
  • خارج از مرزهای معمول اعتماد با دسترسی ممتاز عمل می کند

در این یادداشت آمده است: “ایالات متحده به طور فزاینده ای با کمپین های مخرب سایبری مواجه است که بخش عمومی ، بخش خصوصی و در نهایت امنیت و حریم خصوصی مردم آمریکا را تهدید می کند.” دولت فدرال باید تلاش های خود را برای ردیابی ، شناسایی ، بازداری ، محافظت در برابر آنها و واکنش به این کمپین ها و عاملان آنها را بهبود بخشد.”

در این مرحله اولیه از راهنمای نرم افزاری حیاتی ، آژانس ها مأموریت دارند که ابتدا بر شناسایی ، اعتبارنامه و مدیریت دسترسی ، سیستم عامل ها ، مرورگرهای وب ، امنیت نقطه پایانی ، کنترل شبکه ، حفاظت از شبکه ، نظارت و پیکربندی شبکه ، نظارت و تجزیه و تحلیل عملیاتی ، اسکن از راه دور ، دسترسی از راه دور و پشتیبان گیری یا ذخیره سازی از راه دور تمرکز کنند.

این یادداشت همچنین برنامه ای را ارائه می دهد که آژانس ها باید از دستورالعمل های مهم نرم افزاری پیروی کنند. ظرف ۶۰ روز از زمان انتشار این یادداشت ، آژانس ها باید “تمام نرم افزارهای حیاتی ، در حال استفاده یا در مرحله خرید” را شناسایی کنند. علاوه بر این ، آژانس ها یک سال فرصت دارند تا اقدامات امنیتی تعیین شده توسط NIST را برای همه دسته های راهنمای اولیه نرم افزار ، و یک سال نیز شامل اقدامات امنیتی بعدی برای هر به روزرسانی راهنمایی از NIST دارند.

nextgov

30 آگوست 2021

پگاسوس چیست؟ یک متخصص امنیت سایبری توضیح می دهد که چگونه نرم افزار جاسوسی به تلفن ها حمله می کند و وقتی وارد دستگاه می شود چه می کند

رمزگذاری سرتاسری یک فناوری است که پیام های تلفنی را بر روی گوشی شما ارسال می کند و آنها را فقط بر روی تلفن دریافت کنندگان باز می کند ، به این معنی که هرکسی پیام های بین آنها را رهگیری می کند نمی تواند آنها را بخواند. دراپ باکس ، فیس بوک ، گوگل ، مایکروسافت ، توییتر و یاهو از جمله شرکت هایی هستند که برنامه ها و خدمات آنها از رمزگذاری سرتاسری استفاده می کنند.

این نوع رمزگذاری برای محافظت از حریم خصوصی شما خوب است ، اما دولت ها آن را دوست ندارند زیرا جاسوسی از افراد را برای آنها دشوار می کند ، چه ردیابی جنایتکاران و تروریست ها و(* یا همانطور که برخی از دولت ها در جستجوی خلافکاران ، معترضان و روزنامه نگاران وارد یک شرکت فناوری اسرائیلی ، NSO Group شوید.*)

محصول شاخص شرکت Pegasus است ، نرم افزار جاسوسی که می تواند به طور مخفیانه وارد تلفن هوشمند شود و به همه محتویات موجود در آن ، از جمله دوربین و میکروفون آن دسترسی پیدا کند. Pegasus طوری طراحی شده است که در دستگاه های دارای سیستم عامل های Android ، Blackberry ، iOS و Symbian نفوذ کرده و آنها را به دستگاه های نظارتی تبدیل کند. این شرکت می گوید که پگاسوس را فقط به دولت ها و فقط به منظور ردیابی جنایتکاران و تروریست ها می فروشد.

چگونه کار می کند؟

نسخه قبلی Pegasus از طریق آسیب پذیری در برنامه های متداول یا از طریق فیشینگ بر روی تلفن های هوشمند نصب شده است ، که شامل فریب کاربر هدف برای کلیک روی پیوند یا باز کردن سندی است که به طور مخفی نرم افزار را نصب می کند. همچنین می تواند بر روی یک فرستنده گیرنده بی سیم واقع در نزدیکی یک هدف نصب شود ، یا اگر یک عامل بتواند تلفن هدف را سرقت کند ، به صورت دستی نصب شود.

از سال ۲۰۱۹ ، کاربران Pegasus قادر به نصب نرم افزار بر روی تلفن های هوشمند با تماس از دست رفته در WhatsApp هستند ، و حتی می توانند سابقه تماس از دست رفته را حذف کنند ، و این باعث می شود که صاحب تلفن نتواند بداند که مشکلی وجود دارد. راه دیگر این است که به سادگی پیامی را به تلفن کاربر ارسال کنید که هیچ اعلانی ایجاد نمی کند.

این بدان معناست که آخرین نسخه این نرم افزار جاسوسی نیازی به انجام کار از سوی تلفن هوشمند ندارد. تنها چیزی که برای حمله و نصب موفقیت آمیز نرم افزارهای جاسوسی مورد نیاز است ، نصب یک برنامه یا سیستم عامل آسیب پذیر خاص بر روی دستگاه است. این به عنوان یک بهره برداری صفر کلیک شناخته می شود.

پس از نصب ، Pegasus می تواند از لحاظ نظری هرگونه اطلاعات را از دستگاه جمع آوری کرده و مجدداً به مهاجم منتقل کند. این می تواند عکس ها و فیلم ها ، ضبط ها ، سوابق موقعیت مکانی ، ارتباطات ، جستجوهای اینترنتی ، رمزهای عبور ، گزارش تماس ها و پست های رسانه های اجتماعی را سرقت کند. همچنین این قابلیت را دارد که دوربین ها و میکروفون ها را برای نظارت در زمان واقعی بدون اجازه یا اطلاع کاربر فعال کند.

چه کسی و چرا از Pegasus استفاده کرده است؟

گروه NSO می گوید که Pegasus را فقط برای دولتها می سازد تا در کارهای ضد تروریسم و اجرای قانون استفاده کنند. این شرکت آن را به عنوان یک ابزار جاسوسی هدفمند برای ردیابی جنایتکاران و تروریست ها و نه برای نظارت گسترده به بازار عرضه می کند. این شرکت مشتریان خود را فاش نمی کند.

اولین استفاده از پگاسوس توسط دولت مکزیک در سال ۲۰۱۱ برای ردیابی بارون بدنام مواد مخدر خواکین “ال چاپو” گوزمان انجام شد. گفته می شود این ابزار برای ردیابی افراد نزدیک به جمال خاشقجی روزنامه نگار سعودی مورد استفاده قرار گرفته است.

مشخص نیست چه افرادی یا چه نوع افرادی مورد هدف قرار می گیرند و چرا. با این حال ، بسیاری از گزارش های اخیر در مورد پگاسوس شامل یک لیست از ۵۰،۰۰۰ شماره تلفن است. این فهرست به گروه NSO نسبت داده شده است ، اما منشاء لیست نامشخص است. در بیانیه عفو بین الملل در اسرائیل آمده است که این لیست شامل شماره تلفن هایی است که برای مشتریان مختلف NSO به عنوان “مورد علاقه” مشخص شده است ، اگرچه مشخص نیست که آیا هیچ یک از تلفن های مرتبط با شماره ها واقعاً ردیابی شده است.

کنسرسیوم رسانه ای ، پروژه پگاسوس ، شماره تلفن های موجود در لیست را تجزیه و تحلیل کرد و بیش از ۱۰۰۰ نفر را در بیش از ۵۰ کشور شناسایی کرد. این یافته ها شامل افرادی است که به نظر می رسد خارج از محدودیت گروه NSO برای تحقیقات در مورد فعالیت های جنایی و تروریستی هستند. این افراد شامل سیاستمداران ، کارمندان دولت ، روزنامه نگاران ، فعالان حقوق بشر ، مدیران تجاری و اعضای خانواده سلطنتی عرب می شوند.

راه های دیگری که می توان تلفن شما را ردیابی کرد

پگاسوس در خفا و توانایی ظاهری خود در کنترل کامل تلفن شخصی نفس گیر است ، اما این تنها راهی نیست که افراد می توانند از طریق تلفن های خود جاسوسی کنند. برخی از راه هایی که تلفن ها می توانند به نظارت و تضعیف حریم خصوصی کمک کنند شامل ردیابی مکان ، استراق سمع ، بدافزار و جمع آوری داده ها از حسگرها است.

سازمان های اجرای قانون از شبیه سازهای سایت های تلفن همراه مانند این StingRay برای رهگیری تماس های تلفن در مجاورت دستگاه استفاده می کنند. دفتر ثبت اختراعات و علائم تجاری ایالات متحده از طریق AP

دولت ها و شرکت های تلفن می توانند با ردیابی سیگنال های سلولی از فرستنده و گیرنده های برج سلولی و شبیه سازهای گیرنده سلولی مانند دستگاه StingRay ، مکان تلفن را ردیابی کنند. همچنین می توان از سیگنال های وای فای و بلوتوث برای ردیابی گوشی ها استفاده کرد. در برخی موارد ، برنامه ها و مرورگرهای وب می توانند مکان تلفن را تعیین کنند.

استراق سمع ارتباطات بسیار دشوارتر از ردیابی است ، اما در شرایطی که رمزگذاری ضعیف یا فاقد آن باشد امکان پذیر است. برخی از انواع بدافزارها می توانند با دسترسی به داده ها حریم خصوصی را به خطر بیاندازند.

آژانس امنیت ملی با شرکت های فناوری به دنبال توافقاتی بوده است که بر اساس آن این شرکت ها از طریق درهای پشتی (backdoors) به آژانس دسترسی ویژه ای به محصولات خود می دهند و بنا بر گزارش ها درهای پشتی به تنهایی ساخته شده است. این شرکت ها می گویند که درهای پشتی هدف رمزگذاری سرتاسری را شکست می دهند.

خبر خوب این است که بسته به اینکه چه کسی هستید ، بعید به نظر می رسد که توسط دولت مورد حمایت پگاسوس مورد هدف قرار بگیرید. خبر بد این است که این واقعیت به تنهایی حریم خصوصی شما را تضمین نمی کند.

theconversation

16 آگوست 2021

جاسوس ها با تکنیکی جدید از طریق انتشار نور LED نشانگر برق دستگاه ها برای بازیابی صداها در لوازم جانبی متصل و جاسوسی مکالمات الکترونیکی تا فاصله ۳۵ متری استفاده می کنند.

این یافته ها که از آن با عنوان “حمله کرم شب تاب” نام برده می شود، توسط گروهی از دانشگاهیان دانشگاه بن گوریون شهر نگف در اوایل این هفته منتشر شد و این روش را «حمله نوری TEMPEST» توصیف می کند که می تواند توسط شنودکنندگان برای تحلیل صدا با آنالیز اندازه های اوپتیکال بدست آمده از طریق سنسور الکترواپتیکی که به LED نشانگر برق دستگاه های مختلف متصل هستند، مورد استفاده قرار گیرد.

در ملاحظات آزمایشی، یک تبدیل صوتی نوری (OAT) نیز که امکان بازیابی صدا را با جداسازی گفتار از طریق اندازه گیری های نوری بدست آمده بوسیله هدایت یک سنسور الکترواپتیکال که در LED نشانگر برق دستگاه ها استفاده میشود، به کار برده شده است.

در اصل TEMPEST یک اسم رمز برای حامل اطلاعات ناخواسته است که توسط تجهیزات پردازش اطلاعات الکترونیکی و الکترومکانیکی تولید می شود.

کرم شب تاب یا Glowworm بر اساس حمله مشابهی به نام Lamphone که سال گذشته توسط همین محققان نمایش داده شد، مطرح شده است و بازیابی صدا از اتاق قربانی که حاوی یک لامپ سقفی بالای سر وی است را امکان پذیر می کند.

در حالی که هر دو روش صدا را از طریق یک سنسور الکترو نوری از نور دریافت می کنند، از این جهت نیز متفاوت هستند که حمله Lamphone “یک حمله side-channel است که از ارتعاشات کوچک لامپ، که در نتیجه برخورد امواج صوتی به لامپ ایجاد می شود، استفاده می کند. Glowworm یک حمله TEMPEST است که از نحوه و نوع طراحی مدارهای الکتریکی سواستفاده و بهره برداری می کند. این حمله می تواند صدا را از دستگاه هایی مانند هاب USB که در پاسخ به اطلاعات صوتی پخش شده توسط بلندگوها حرکت نمی کنند، بازیابی کند.

این حمله به همنهشتی اپتیکال بین صدایی که توسط بلندگوهای متصل به دستگاه پخش می شود و شدت LED نشانگر برق آنها که نه تنها مستقیماً به برق وصل می شوند بلکه همچنین بر شدت LED نشانگر برق خود دستگاه که توسط برق مصرفی تحت تأثیر قرار گرفته است، بستگی دارد. علاوه بر این، کیفیت صدای بازیابی شده مبا کیفیت تجهیزات مورد استفاده استراق سمع کننده ارتباط کاملا مستقیمی دارد. (برای مشاهده ویدئوی نحوه انجام این کار کلیک کنید)

در یک سناریوی واقعی، مدل مورد تهدید واقع شده، محتوای سخنرانی را که توسط شرکت کنندگان در یک پلتفرم مجازی مانند Zoom ، Google Meet و Microsoft Teams ایراد کرده اند، هدف قرار میدهد و گروه مخرب در اتاقی در ساختمان مجاور قرار گرفته است و به مهاجمان امکان می دهد که برای بازیابی صدا از LED نشانگر برق بلندگوها برای استراق سمع استفاده نمایند.

در سناریوی حمله غیرمستقیم که LED نشانگر برق از بیرون اتاق قابل مشاهده نیست، استراق سمع کننده می تواند صدا را از LED نشانگر برق دستگاه مورد استفاده برای تأمین برق بلندگو، بازیابی و شنود کند.

اگرچه با قرار دادن یک نوار سیاه روی LED نشانگر برق دستگاه می توان با چنین حملاتی مقابله کرد، اما محققان به سازندگان دستگاه توصیه می کنند که یک خازن یا آمپلیفایر واقعی را برای از بین بردن نوسانات مصرف برق که هنگام تولید صدا از بلندگوها اتفاق می افتد، در دستگاه ها تعبیه کنند.

محققان می گویند: “در حالی که هزینه اقدامات متقابل با این دست حملات ممکن است برای ما ناچیز به نظر برسد، اما با توجه به احتمال تولید انبوه دستگاه ها، افزودن یک جزء کوچک جهت جلوگیری از این نوع حملات، می تواند میلیون ها دلار برای تولیدکننده دستگاه ها هزینه داشته باشد. با توجه به ماهیت هزینه محور مصرف کنندگان و ماهیت سوددهی برای تولیدکنندگان، آسیب پذیری های شناخته شده اغلب به عنوان ابزاری برای کاهش هزینه ها نادیده گرفته می شوند. این واقعیت ممکن است بسیاری از مدارهای الکتریکی را در سالهای آینده در برابر حمله Glowworm آسیب پذیر کند”.