احمد باطبی
هکرهای تحت فرمان حکومت ایران، از طریق ارسال اطلاعات جعلی از فرصتهای شغلی تلاش کردهاند که اهدافی در لبنان را فریب داده و به شبکه و کامپیوترهای آنها نفوذ کند.
شرکت امنیتی «چکپوینت» (Check Point) در گزارشی ویژه اعلام کرد که یک گروه جدید با نام مستعار «اویل ریج» (OilRig) از مجموعه گروههای وابسته به «تهدید پیشرفته مستمر» (APT34)، اهدافی را در لبنان مورد هدف حملات هکری از نوع حمله « درب پشتی» (Backdoor) قرار داده است. کارشناسان شرکت چکپوینت این عملیات را «سایدتويیست» (SideTwist) نامگذاری کرده است.
حملات موسوم به درب پشتی، به نوعی از حملههای هکری گفته میشود که در آن مهاجم بعد از نفوذ، مسیری را برای بازگشت دوباره ایجاد کرده و در آینده از طریق این مسیر با کامپیوتر و یا شبکه قربانی ارتباط برقرار میکند. «APT» یا «Advanced Persistent Threat» به معنای «تهدید پیشرفته مستمر» نیز اشارهای است به تهدیدهای دائمی که عموما از سوی مجرمان سایبری وابسته به دولتها ایجاد میشوند؛ به عنوان مثال گروه «APT34» از جمله گروههای «APT» است که تحت حمایت جمهوری اسلامی اقدام به فعالیتهای مجرمانه میکند. فهرستی از این نوع گروههای هک و نفوذ در این قسمت قابل مشاهده است.
به گفته شرکت چکپوینت، بعد از لو رفتن ابزارهای هکری مجموعه «تهدید پیشرفته مستمر» ایران (APT34) و انتشار این ابزار در کانال تلگرامی «لبدوختهگان»، این مجموعه در تلاش است تا این ابزارها را بهروزرسانی و بهینهسازی کند تا نقاط ضعف آن که ممکن است به شناسایی و شکست عملیات نفوذ ختم شود، ترمیم شود.
بعد از حملات جاسوسی (DNSpionage) توسط (APT34) که از سال ۲۰۱۸ به اینسو آغاز شده، فرصتهای شغلی یکی از مواردی است که هکرهای این گروه برای فریب قربانیان از آن استفاده میکنند. این نوع از این حملهها که در دستهبندی حملات فیشینگ قرار میگیرد، بیشتر از طریق شبکه لینکدین انجام میشود.
در حمله به اهداف لبنانی، هکرها یک فایل ماکروسافت به نام (Job-Details.doc) را مشابه اسناد شرکت مشاورهای (Ntiva IT) مستقر در ایالت ویرجینیا آمریکا طراحی کرده و برای اهداف خود ارسال کردهاند.
این فایل به شکلی طراحی شده است که در صورت فعالسازی گزینه ماکرو توسط قربانی، تنها پنج دقیقه زمان نیاز است تا فرایند آلودهسازی تکمیل شود.
این فایل آلوده سالها است که توسط این گروه از هکرهای وابسته به جمهوری اسلامی تکامل یافته تا به عنوان اولین مرحله از نفوذ و آلودهسازی، یعنی فرایند تونل سازی DNS ، با استفاده از کدهای مخرب ماکرو را انجام دهد. به این شکل که ابتدا در یک پیام از سوی نرمافزار، از هدف خواسته میشود تا متصل بودن موس به کامپیوتر را تایید کند (Anti-Sandboxing technique). درصورت فشردن گزینه تایید، هویت دستگاه او برای سرور فرمان و کنترل (C2 server) مهاجمان ارسال شده و بهطور خودکار برنامه مخرب هکرها با پسوند (doc) در کامپیوتر قربانی آزاد میشود. این برنامه اندکی بعد به یک فایل اجرایی با پسوند (EXE) تغییر یافته و به صورت یک برنامه تحت ویندوز، با قابلیت اجرای مکرر و زمانبندیشده روی کامپیوتر هدف نصب میشود.
تکنیک تونلسازی DNS پیشتر هم بارها از سوی این گروه مورد استفاده قرار گرفته بود، اما تونل سازی DNS با استفاده از کدهای مخرب ماکرو به تازگی به دستور کار (APT34) افزوده شده است.
هکرها برای پنهانماندن بیشتر از دید ابزار و امکانات نظارتی، از سرویس مجانی ارائه شده در وبسایت (www.requestbin.net) بهره میبردند. استفاده از این سرویس باعث میشد که سیستم قربانی به دلیل رمزنگاری اطلاعات، قادر به شناسایی زیرساختهای مهاجمان نباشد. تصویر زیر نمونهای از رمزنگاری سرویس (RequestBin) است که یک نام کاربری به نام (John) و یک نام میزبان به نام (john-pc) را در قالب یک (DNS data) رمزنگاری کرده است.
محققان شرکت چکپوینت گفتهاند که پیشتر گروه هکری (APT34) از روشهایی مانند (DNSpionage) و (TONEDEAF) و (TONEDEAF2.0.) استفاده کردهاند، اما این مورد از حمله درب پشتی با روش (SideTwist)، شامل بارگیری، بارگذاری و اجرای دستور، برای برای اولین بار است که از این گروه مشاهده میشود.
ایجاد درب پشتی در سیستم قربانی دومین مرحله از عملیات نفود و آلودهسازی است. در این مرحله تنها ماکروهایی که در مرحله اول اجراشدهاند، دارای خاصیت ماندگاری هستند و مرحله دوم فاقد هرگونه ماندگاری است. ماندگار مرحله اول نیز از طریق برنامهای اجرایی به نام (SystemFailureReporter) ایجاد میشود که به عنوان یک وظیفه، هر پنج دقیقه، پنج بار به شکل خودکار اجرا میشود. در هر پنج نوبت اجرای برنامه (SystemFailureReporter)، سیستم قربانی یک دستور تازه از سرور (C&C) مهاجمان دریافت کرده و یکبار خاموش و روشن میشود تا دستورات دریافت شده به مرحله اجرا برسند.
درب پشتی در ابتدا اطلاعات اولیه قربانی، شامل نام کاربر، نام کامپیوتر و نام دامنه هدف را در قالب یک محاسبه ۴ بایتی به عنوان مقداردهی اولیه دریافت و به سرور (C&C) ارسال میکند تا مسیر ارتباطی ایجاد شود. اگر تمامی مراحل به درستی صورت گرفته باشد، وجود فایل (update.xml) در کامپیوتر قربانی، که در مرحله اول ایجاد شده تایید شده، تایید شده و کار ادامه پیدا خواهد کرد.
ارتباط (C&C) بین سرور مهاجمان و کامپیوتر قربانی نیز از طریق یک پروتکل (HTTP) و پورتهای ۴۴۳ و ۸۰ با الگوریتم مشترک رمزنگاری انجام میشود. درخواست این ارتباط نیز از طریق یک پیوند، نظیر (sarmsoftware[.]com/search/{identifier}) ارسال میشود که در صفحات جعلی، مشابه تصویر زیر مخفی شده است.
نتیجه دستور ارسال شده از سرور (C&C) نیز به شکل پیوندی مشابه (sarmsoftware[.]com/search/{identifier}) به مهاجمان باز میگردد. این ارتباط بر اساس الگوریتم نوع (Mersenne Twister) رمزنگاری شده است. از چهار بیت ابتدایی هریک از این رمزنگاریها برای رمزگشایی باقی پیامها استفاده شده و رمزنگاریهای (Base64) نیز از طریق یک برنامه به زبان «پایتون» (Python) انجام میشود.
کارشناسان شرکت چکپوینت گفتهاند که ماکروهای مخرب استفاده شده در این حملات، هدفگیری و تکنیکهای بهکارگرفته شده تماما با ردپا و اسناد تایید شده مربوط به گروه (APT34) مطابقت دارد. به عنوان مثال، هم در گذشته و هم در مورد حمله به اهداف لبنانی، کدهای مخرب ماکرو برای پرهیز از شناخته شدن، از توابع (MouseAvailable) استفاده کرده و یک برنامه برای اجرای زمانبندی شده دارند.
در تصویر زیر کدهایی که این گروه در حملات قبلی (DNSpionage) تحت عنوان فرصت شغلی انجام دادهاند، قابل مشاهده است. تنها فرق این دو کد، متغیر (beacher) است که به نام دیگری بهروزرسانی شده است.
تنها مورد تازهای که در حملات اخیر این گروه به چشم میخورد، نوع اجرای حمله درب پشتی است که با استفاده از محتوای مخفی شده در یک صفحه جعلی (HTML) مرتبط با یک وبسایت قانونی و بدون جلب توجه قربانی صورت میگیرد.
شرکت چکپوینت نسبت به فعالیت گسترده (APT34) در خاورمیانه و مخصوصا لبنان هشدار داده و گفته که این گروه ابزار و روشهای خود را بهروزرسانی کرده و کاهشی در سرعت فعالیتهای آن دیده نمیشود.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر