احمد باطبی
مجموعهای از شرکتهای فناوری اطلاعات و ارتباطات در اسراییل، هدف حملات سایبری، از نوع «زنجیره تامین» قرار گرفتهاند که از سوی یک گروه هکری مستقر در ایران سازماندهی و اجرا شده است.
حملات موسوم به «زنجیره تامین» (Supply-Chain Attacks) به نوعی از حملههای سایبری گفته میشود که در آن، مهاجمان با استفاده از ضعفهای امنیتی و آسیبپذیریهای موجود در سطوح و لایههای ابتدایی یک شبکه، به زنجیره آن شبکه نفوذ کرده و کارکرد معمول مجموعه عناصر موجود در آن را مختل و یا با اشکال مواجه میکنند.
شرکت امنیت سایبری «کلیراسکای» (ClearSky) کاشف این حملهها، در گزارش ماه آگوست خود، به شکل مفصل به واکاوی این حملات پرداخته و گروه هکری «بچه گربه سیامی» (Siamesekitten) از ایران را عامل این حملهها معرفی کرده است. این گروه پیشتر با نامهای (Lyceum) و یا (Hexane) نیز شناخته میشد و به عنوان یکی از گروههای زیرمجموعه «تهدید پیشرفته مدام» (APT) دستهبندی میشد. گروههای موسوم به تهدید پیشرفته مدام و یا «ایپیتی» (Advanced Persistent Threat)، به تهدیدهای مداوم و هدفمند سایبری علیه دولتهای دشمن و یا رقیب، مخالفان حکومت، سازمانها و نهادهای تاثیرگذار، شرکتهای تجاری و مراکز علمی گفته میشوند که معمولا از حمایت دولتها بهرهمند هستند.
کلیراسکای گفته، دور اول حملههای این گروه در سال ۲۰۱۸، به بخشهایی از صنعت نفت، گاز و مخابرات خاورمیانه و آفریقا صورت گرفت. در سال ۲۰۱۹ دو کشور خاورمیانهای هدف قرار گرفتند و در سه ماهه اول سال ۲۰۲۱، نیز تمرکز این گروه بر اهدافی در کشور تونس قرار داشت.
در ماه می و ژوئیه سال جاری ( حدود خرداد و تیر ۱۴۰۰) جهت حملات این گروه به سمت شرکتهای اسراییلی تغییر کرد. پیش از این، چند شرکتهای امنیتی دیگر که فعالیتهای این گروه را رصد میکردند، در خصوص نحوه عملکرد و ابزار این گروه گزارشهایی را منتشر کرده بودند. گروه تحقیقات سایبری «دراگوس» (Dragos) که حملات سال ۲۰۱۸ این گروه را بررسی کرده، (Hexane) یا همان بچهگربههای سیامی را زیرمجموعه گروههای (APT33) و (APT34) میداند که تحت حمایت جمهوری اسلامی قرار دارند. دارگوس گفته، این گروه در حملاتشان از تروجانی (تروجان به برنامههای نفوذی از نوع بدافزار میگویند که به سیستم عامل دسترسی سطح بالا پیدا میکند) از نوع (RAT) به نام (DanBot) استفاده کردهاند که با استفاده از سرورهای فرمان و کنترل (C&C) کامپیوتر و یا شبکه قربانی را در اختیار مهاجمان قرار میداد.
در حملههای ماههای می و ژوئیه، شیوههایی مانند ایجاد «درب پشتی» (Back Door) یا ایجاد مسیر نفوذ در کامپیوتر هدف، نصب تروجان کنترل از راه دور (DanBot)، نصب بدافزاری اختصاصی این گروه، استفاده از (DNS) برای برقراری ارتباط سرورهای فرمان و کنترل (C&C) و (DNS Tunneling) ازجمله شاخصهای عملکرد بچهگربههای سیامی بود.
هکرها در حملات خود از دو بدافزار توسعه یافته اختصاصی، به نام (Shark) و (Milan) بهره میبردند. حملههای آنها ابتدا با شناسایی افراد، خصوصا کارمندان شرکتهای اسراییلی آغاز میشد. سپس یک پروفایل جعلی به نام افراد شناسایی شده، در شبکههای اجتماعی و عمدتا «لینکدین» ایجاد و هویت آنها جعل میشد. هکرها با این هویت جعلی و با پیشنهادهای وسوسه برانگیز، مانند پیشنهادهای شغلی، با درآمد بالا به سراغ قربانیان رفته و تلاش میکردند که با مهندسی اجتماعی، آنها را فریب دهند. هکرها دو فایل آلوده به بدافزار خود را در چند وبسایت جعلی، مشابه وبسایتهای شرکتهای بزرگ بارگذاری کرده و قربانیان را تشویق به دریافت آن میکردند. تصویر زیر، نمونه یکی از پروفایلهای جعلی، به نام فردی است که در سال ۲۰۰۷، به عنوان کارمند بخش تامین نیروی انسانی شرکت اسراییلی (ChipPc) استخدام شده بود.
افراد مراجعهکننده به این پروفایل، به یک وبسایت جعلی، حاوی فایلهای آلوده راهنمایی میشدند. یکی از این فایلهای آلوده، با نام (XLS lure) و تحت عنوان فایل راهنمای تنظیم رزومه، در یک وبسایت جعلی، مشابه وبسایت شرکت آلمانی (Software AG)، به آدرس (softwareagjob [.] com) بارگذاری شده بود.
در مورد دیگر، در ششم ماه می، وبسایتی جعلی به آدرس (Jobschippc [.] com) ایجاد شد که بخشی از وبسایت شرکت فناوری (ChipPc) در اسراییل است، که برای پاسخگویی به متقاضیان کار و تامین نیروی انسانی این شرکت راهاندازی شده است. این وبسایت یازدهم ماه می در دسترس عموم قرار گرفت و هجدهم می نیز فایلهای آلوده هکرها، با فرمت اکسل در آن بارگذاری شد.
یکی از این فایلهای آلوده، با پسوند (XLS) و به نام (Capilities.xls) در هفدهم ماه می، یعنی شش روز بعد از فعالیت عمومی وبسایتهای جعلی ایجاد شده است. خالق این فایل، با نام مستعار «جاناتان»، کدهای مخرب «ماکرو» را در این فایل مخفی و آن را با یک رمز عبور، غیر قابل دسترسی کرده است. این کدها پس از اجرا، کار ایجاد یک «درب پشتی» به نام (MsNpENg) را آغاز و چند پوشه با همین نام در کامپیوتر قربانی ایجاد میکنند. بررسی محققان شرکت کلیراسکای نشان میدهد که هکرهای گروه بچهگربههای سیامی، کماکان از همان سرور فرمان و کنترلی استفاده میکنند که در حملات سال ۲۰۱۸ به صنایع نفت، گاز و مخابرات کشورهای خاورمیانهای و آفریقایی استفاده کردهاند.
مورد تازهای که در عملکرد این گروه مشاهده شده، وجود یک فایل فشرده (ZIP) در درون فایلهای مخرب است که با یک رمز عبور محافظت میشود. این فایل، سه فایل دیگر را در خود جای داده است. یک فایل اجرایی به نام (companycatalog)، یک فایل پیکربندی به نام (companycatalog.exe.config) و یک فایل، حاوی یک کتابخانه پویا، برای بهینه سازی عملکرد بدافزار.
بد افزارهای هکرها به زبان (NET.) و (C++) نوشته شده است. هنگام اجرا، بدافزار خود را با پوشش ارائه اطلاعات در خصوص فناوریهای (Microsoft)، (Citrix) و (VMware) و محصولات شرکت (ChipPc) مقابل چشمان قربانی ظاهر میکند. ظاهر شدن این پیام برابر است با اجرای یک فایل به نام (ChipPc.exe) که در نسخه جدید بدافزار، با عنوان (Milan.exe) ظاهر میشود. این فایل موظف است که با اجرای دستوراتی در (CMD) ویندوز، مراحل ایجاد درب پشتی در سیستم قربانی را تکمیل کند.
در این مرحله، یک یک فایل متنی با عنوان (current) و با پسوند (MDF) در پوشهای به نام (log) فعال میشود که در درون خود یک رشته کوتاه (config: 1251) است. کار این فایل ذخیرهسازی اطلاعاتی همچون نام دستگاه، مشخصات و تعداد کاربران و ... در یک فایل فرمت (MDF) است که رمزنگاری شده و قرار است از طریق درخواست (HTTP) و (C&C) برای هکرها ارسال شود. این فایل متنی پس از انجام این وظیفه، خودبهخود از کامپوتر قربانی حذف شده و بدافزار به شکل خودکار، ارسال درخواست های (DNS) را آغاز میکند تا درصورت دریافت پاسخ مثبت، زمینه برای ارتباط هکرها از طریق سرورهای (C&C) را که عموما در روسیه ، اوکراین یا نیجریه قرار دارند، فراهم کند.
بدافزار(Shark Backdoor) یکی از بدافزارهای اختصاصی گروه بچهگربه های سیامی است. این بدافزار در دل تروجان (DanBot) به کامپیوتر قربانی نفوذ کرده و در یکی از مسیرهای (PDB) ایجاد شده قرار میگیرد. هکرها به تازگی تغییراتی را در نام و ساختار این بدافزار ایجاد کردهاند تا شناسایی آن توسط محققان سختتر شود. برخلاف (Milan) که به زبان (C++) شده، محتوی (Shark) به زبان (NET.) نوشته شده و اجرای آن نیازمند برخی پارامترها است. (Shark) قادر است با ایجاد یک (Mutex)، اجرای خود در کامپوتر قربانی را به تنها یک نوبت محدود میکند.
مرحله (redus) مرحله پایانی آلودهسازی است. بدافزار در این مرحله با ایجاد یک فایل رمزنگاری شده، به نام (G-ZIP) بخشهای تکمیلی تنظیمات را برای عملکرد صحیح بدافزار و ارتباط آن را به سرورهای (C&C) انجام دهد.
هکرها در تروجان (DanBot) دو فایل (UltraVNC.exe) و (WINVNC.exe) به کار گرفته اند که هردو آنها ازجمله نرمافزارهای مشروع پرکاربرد برای برقراری ارتباط از راه دور است. توسعهدهندگان این دو نرمافزار شناخته شده را به عنوان ابزارهای تکاملی بدافزار خود به کار گرفته و از آن برای کنترل سیستم قربانی توسط هکرها بهره میگیرند.
به گفته محققان کلیراسکای، تمامی عناصر بدافزار و شیوههای مورد استفاده هکرها، با سوابق سالهای قبل این گروه همپوشانی دارد. در حملات تازه، تنها برخی از ویژگیهای تازه به بدافزارافزوده شده و برخی اطلاعات مربوط به سرورها بهروزرسانی شده است.
شرکت امنیت سایبری کلیراسکای که مرکز آن در اسراییل قرار دارد، این دوره از حملات بچهگربههای سیامی را با حملات موسوم به «جویندگان کار» (Job Seekers) مقایسه کرده که پیشتر از سوی هکرهای وابسته به کره شمالی انجام شد. و در آن، از طریق جعل هویت، فریب قربانی و آلودهسازی کامپیوترها از قربانیان جاسوسی و اطلاعات آنها گردآوری میشد.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر