بدافزار چینی‌‌‌‌ Taidoor نام ویروس رایانه‌ای جدید است. سازمان‌های اطلاعاتی در ایالات متحده آمریکا، اطلاعاتی در مورد این نوع از ویروس کامپیوتری ۱۲ ساله را منتشر کرده‌اند که توسط هکرهای تحت حمایت دولت چین استفاده می‌شود. هدف این ویروس چینی، دولت‌ها، شرکت ها و اتاق های فکرسازمان‌هاست.

ورژن اولیه بدافزار چینی ‌‌‌‌ Taidoor، در اوایل سال ۲۰۰۸، سیستم عامل‌های صنعتی را به خطر انداخته بود و اطلاعات صنعتی و تکنولوژیکی را از شبکه‌های رایانه‌ای به سرقت میبردند.

آژانس امنیت سایبری و زیرساخت ایالات متحده آمریکا (CISA) گفته: هکرهای دولتی چین با سرورهای پروکسی‌شان از انواع نرم افزارهای مخرب استفاده می‌کنند تا با نفوذ در شبکه‌های قربانیان، بهره برداری و سوء استفاده های بیشتری از شبکه سازمان‌ها و شرکت‌ها نمایند.

اف بی آی (FBI) و وزارت دفاع آمریکا در جلسات مشترک، تصمیماتی برای جلوگیری از این هک‌ها گرفته‌اند.

راه‌های انتشار و مقابله با ویروس تیدور
مرکز فرماندهی سایبری ایالات متحده با شرکت‌های امنیت کامپیوتری و ویروس‌کش همکاری نزدیک می‌کند تا مانع از انتشار این ویروس هکرهای چینی در سایر سازمان‌ها و شرکت‌ها شوند.

با این حال، این بدافزار و ویروس، جدید نیست. در تحلیلی که توسط محققان Trend Micro در سال ۲۰۱۲ انجام شده، هدف اصلی هکرهای چینی، نفوذ به شبکه‌های دولت تایوان بود. این ویروس رایانه‌ای با شیوه مهندسی اجتماعی و با پیوست در فایل های PDF وارد شبکه‌های تایوانی می‌شد.

سال گذشته نیز ( سال ۲۰۱۹)، شرکت امنیت سایبری NTT Security شواهدی ارائه داد که در آن هکرهای چینی در تلاش بودند تا به سازمان‌های ژاپنی نفوذ کنند. این نفوذ اینترنتی با تکیه بر مهندسی اجتماعی از طریق اسناد Microsoft Word بود.

هنگام باز کردن این فایل‌های ورد، بدافزار تیدور پیوست شده در فایل ورد، در سیستم قربانی شروع به اجرا می‌شود و در نهایت اطلاعات رد و بدل شده در شبکه سازمان را به سرور چینی ارسال می‌کند.

طبق آخرین تحقیقات، این روش استفاده از فایل‌های آلوده به ویروس تیدور همچنان مورد استفاده هکرهای قرار میگرد و حتی بدافزار تایدور در محتوای ایمیل‌ها جاسازی می‌شود (ایمیل فیشینگ).

ویژگی‌های بدافزار چینی‌‌‌‌ Taidoor

آژانسهای امنیتی می گویند: " ویروس تایدور ابتدا بر روی سیستم قربانی به عنوان یک کتابخانه (DLL) نصب می‌شود و از دو پرونده تشکیل شده است. پرونده اول یک لودر است که به عنوان یک سرویس دهنده اجرا می‌شود. این فایل لودر (ml.dll) پرونده دوم (svchost.dll) را رمزگشایی می‌کند و آن را در حافظه اجرا می‌کند.

تایدور علاوه بر اجرای دستورات از راه دور، دارای ویژگیهایی است که می‌تواند داده های سیستم فایل را جمع آوری کند، از تصاویر صفحه نمایش عکس بگیرد و عملیات خاص و دستورات را بر روی فایل‌ خاصی انجام دهد.
CISA به کاربران و سرپرستان امنیت شبکه توصیه می‌کند تا سیستم عامل‌هایشان را مرتبا به روزرسانی کنند و همچنین به سرویس های اشتراک فایل و چاپگر غیر ملزوم را غیرفعال کنند و درنهایت سیاست‌های سخت‌گیرانه برای تعیین گذرواژه و احتیاط به هنگام باز کردن ایمیل‌های پیوستی را اجرا کنند.

منبع: HackerNews