احمد باطبی
تازهترین گزارش امنیتی نشان میدهد، هکرهای وابسته جمهوری اسلامی تلاش کردهاند از طریق حملات نوع فیشینگ و ارسال یک فرم نظرسنجی جعلی، به سیستمهای کامپیوتری کارکنان دولت فدرال ایالاتمتحده نفوذ کنند.
به گفته پائول لیتواک «Paul Litvak» و مایکل کجیلوتی « Michael Kajilolti»، دو کاشف این حملهها در شرکت «Intezer»، گروه هکری موسوم به «APT3» با جعل فرمهای موسسه معروف ارائهکننده خدمات نظرسنجی در آمریکا «Westat»، تلاش کردهاند تا کارکنان دولت ایالاتمتحده را تشویق به باز کردن فرمها و اجرای بدافزاری کنند که بهتازگی توسط آنها بازنویسی و بهینهسازیشده است. این دو محقق در اواخر ماه ژانویه گذشته فایلی بنام «survey.xls» را کشف کردند که ظاهری شبیه یک فرم نظرسنجی داشت که با موضوع میزان رضایتمندی کارکنان و مشتریها تهیه شده بود.
تصویر فرم موجود در فایل «survey.xls» از وبسایت شرکت «Intezer»
فرم به شکلی طراحی شده بود که با یکبار کلیک برای فعال کردن گزینه «Macros»، نتیجه نظرسنجیها به نمایش درمیآمد، اما همزمان کد مخرب «VBA» نیز در کامپیوتر قربانی اجرا میشد. ماکروها برنامههای جانبی هستند که زبان ویژوالبیسیک نوشته میشوند و قابلیت و ویژگیهای جدیدی را به فایل اصلی اضافه میکند. با اجرای این کد مخرب، پوشهای موقتی گشوده میشود، فایل دیگری بنام «Client update.exe» از آن استخراج و در مسیر «C: Users <User> valsClient update.exe» سیستمعامل ویندوز نصب میشود. فایل «Client update.exe» درواقع نسخه بهروزرسانی شده بدافزار «TONEDEAF » است که بهعنوان یک فریبنده مکانیزم امنیتی کامپیوتر یا «Backdoor»، بهصورت فرمان و کنترل « Command-and-control servers» و از طریق «HTTP» و «DNS» وارد عمل میشود. پنج دقیقه پس از اجرای تابع «crtt» دستورالعملی برای برسی بهروزرسانیهای زمانبندیشده ایجاد میشود که دسترسی هکرها را در آن لحظه و همینطور برای آینده به سیستم قربانی باز میکند و این نحوه عملکرد، مشابه عملکردی است که پیشتر شرکت «FireEye» در گزارش خود از این گروه هکری منتشر کرده بود.
تصویر کدهای مخرب «VBA» از وبسایت شرکت «Intezer»
برسی متادیتاهای فایل «survey.xls» نشان داده که این فایل اکسل، از نسخه دیگری با زبان پیشفرض عربی تهیه شده است. نتیجه بررسیهای شرکت امنیتی «cyberx» نشان میدهد که این شیوه عملکرد، از سوی هکرهای وابسته به جمهوری اسلامی، در حملات مشابه به کشورهای عربی نیز استفاده شده است. از اینرو بعید نیست که فایل «survey.xls» نیز از نسخه عربی آن ساخته شده باشد.
بدافزار بهینهسازیشده «TONEDEAF» که شرکت «FireEye» از آن با عنوان بدافزار اختصاصی این گروه هکری یاد میکند، در نسخه جدید از امکان بهکارگیری پوستههای اختصاصی بهره برده و ضمن امکان اجرای دستورهای غیرپیشفرض، امکانات جدیدی همچون ابزارهای کاربردی پویا، رشتههای رمزنگاری و همچنین امکانات مختلف مرتبط با فریب قربانی را در خود جای داده است.
بدافزار «TONEDEAF» بعد از اجرا، جهت فریب قربانی مانند بسیاری از نرمافزارهای قانونی پیام «argument» ارسال میکند. در صورت کلیک قربانی جهت تماشای موافقتنامه، پنجرهای سفید از سوی برنامهای بنام زنبور گشوده میشود که وانمود میکند، به دلیلی نامشخصی، متن توافقنامه نمایش داده نشده است. همچنین در نسخه جدید، بدافزار با پنهان کردن «API» و فایلهای «DLL» مربوط به آن و همچنین استفاده از رمزگذاری خود را بیشتر از گذشته مخفی میکند.
همچنین «Backdoor» برای ارتباط فرمان و کنترل «C2 Communication» از پروتکل «HTTP»، رمزگذاری اختصاصی و ارتباط در اصطلاح دست دهی «Handshake» بهره میبرد. بررسیهای فنی نشان داده که بدافزار در موردی توانسته از یک گواهینامه SSL استفاده کند که با دامنه مورداستفاده در ارتباط فرمان و کنترل هماهنگ بوده است. به گفته تحلیلگران شرکت «Intezer»، بعید نیست که این بدافزار از سوی هکرها درحالتوسعه باشد تا بتواند از قابلیت «OPSEC» جهت پنهان شدن در زمان انتقالات در پروتکل «HTTPS» استفاده کنند. تحلیلگران همچنین کشف کرهاند که در این بدافزار یک باینری 64 بیتی سارق اعتبار گواهینامههای مرورگر، از خانواده «Win.valuevault» پیادهسازی شده که قبلا توسط کاربرانی از لبنان مورد استفاده قرارگرفته و شرکت «FireEye» آن را کشف و گزارش کرده بود. برسی فایل «survey.xls» نیز نشانگر بارگذاری همین «VALUEVAULT» در بدافزار «TONEDEAF» توسط کاربری در لبنان است که تنها با تفاوت زمان چند دقیقه انجام شده است. ازاینرو بعید نیست که این فایل توسط لبنانیها آماده و در اختیار هکرهای مرتبط با جمهوری اسلامی قرار گرفته باشد.
تصویر مقایسه آثار «VALUEVAULT» از وبسایت شرکت «Intezer»
شرکت «Intezer» تاکید کرده تمام شواهد نشانگر این است که گروه هکری «APT3» پشتپرده این حملهها بوده و جمهوری اسلامی نیز از آنها حمایت کرده تا هویت آنها را مخفی نگه دارد.
بسیاری گروه هکری ایرانی «APT3»، با عمر تقریبی ششساله، به دلیل شباهت فراوان روشها و عملکردش با گروههای «OilRig» و «Helix Kitten» مرتبط و حتی یک گروه میدانند. «APT3» ابتدا در سال ۲۰۱۴ توسط شرکت امنیتی «FireEye» شناسایی و سپس مورد رصد قرار گرفت. به گفته این شرکت، اهداف این گروه هکری زیرساختهای مراکز دولتی و غیردولتی در خاورمیانه و دیگر کشورهاست که ممکن است علیه ایران دست به اقدامی بزنند. مراکز انرژی، شیمیایی، ارتباطی ازجمله آنهاست، اما اهداف این گروه صرفا محدود به این موارد نیست.
تصویر سابقه حملههای «APT3» از وبسایت «NSFOCUS SECURITY LABS»
شرکت امنیتی «NSFOCUS SECURITY LABS» بهتازگی گزارشی دقیقی از سابقه و نحوه عملکرد این گروه منتشر کرده است. همچنین مجموعهای از ابزارها، سوابق تصاویر و مشخصات منتسب به اعضای این گروه، در کانال تلگرام گروه هکری لبدوختگان که خود را مخالف جمهوری اسلامی و افشاگر فعالیتهای هکرهای حکومتی معرفی میکنند منتشرشده که از این لینک و با رمز «vJrqJeJo2n005FF*» قابل دریافت است.
مطالب مرتبط:
در مقابل حمله نوع «روز صفر» به اینترنت اکسپلورر در ویندوز چه باید کرد؟
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر