یک دوره از حملههای سایبری به اهدافی در ایران، اسرائیل، عربستان و نقاط دیگری در خاورمیانه و آسیا کشف شده که از سوی هکرهای چینی سازماندهی و اجرا شدهاند.
شرکت بینالمللی امنیت سایبری «فایرآی» (FireEye)، کاشف این حملهها گفت که هدف مهاجمان، سرقت اطلاعات و فناوری از دهها شرکت و سازمان خصوصی و دولتی در این کشورها بوده است.
شرکت فایرآی گزارش فنی مفصلی در این باره منتشر کرده و گفته مهاجمان یک گروه از جاسوسهای سایبری هستند که فایرآی آنها را «UNC215» نامیده است.
دامنه فعالیت این گروه چینی، از اروپا، آسیا و امریکای شمالی تا سراسر خاورمیانه گسترده شده اما تمرکز اصلی آنها بر کشور اسرائیل است.
گزارش فایرآی درحالی منتشر میشود که در نوزدهم ژانویه ۲۰۲۱، بسیاری از دولتهای امریکایی، اروپایی، آسیایی و عضو اتحادیه اروپا و پیمان آتلانتیک شمالی (ناتو) در یک بیانیه به این حملهها اعتراض و جاسوسی سایبری و سازمان یافته چینیها را محکوم کردند.
محققان فایرآی در گزارش خود به اوایل سال ۲۰۱۹ میلادی اشاره کردهاند که گروه UNC215 تلاش داشت از طریق آسیبپذیری «CVE-2019-0604» و «Microsoft SharePoint»، نصب «web shells» و بدافزار «FOCUSFJORD»، اهداف دولتی و دانشگاهی را در خاورمیانه و آسیای مرکزی هدف قرار دهد؛ روشهایی که بسیار مشابه روشهای گروه «تهدید پیشرفته مدام ۲۷» (APT27)، وابسته به چین است.
گروههای موسوم به تهدید پیشرفته مدام و یا «ایپیتی» (Advanced Persistent Threat)، به تهدیدهای مستمر و هدفمند سایبری علیه دولتهای دشمن و یا رقیب، مخالفان حکومت، سازمانها و نهادهای تاثیرگذار، شرکتهای تجاری و مراکز علمی گفته میشوند که معمولا از حمایت دولتها بهرهمند هستند.
فایرآی یافتههای خود را با ارتش دفاعی اسرائیل به اشتراک گذشته و به این نتیجه رسیده است که گروه UNC215 از سال ۲۰۱۹ به این سو از روشهای تازهای برای پنهان سازی و حذف رد پاهای خود استفاده میکند.
تصویر زیر، چرخه فعالیتهای UNC215 را در بازه زمانی ۲۰۱۹ تا ۲۰۱۰ نشان میدهد:
هکرهای UNC215 در این چرخه ابتدا به شناسایی و گردآوری اطلاعات با استفاده از دستورهای بومی «ویندوز» و ابزارهایی نظیر «ADFind» و «Active Directory» پرداخته و شبکهها را اسکن میکردند. آنها در مواردی، با نصب پوستههای وب (OWA) بر روی سرورها، اقدام به گردآوری اعتبارنامهها و استقرار بدافزار «FOCUSFJORD» کردهاند.
UNC215 بارها بدافزار FOCUSFJORD و امکانات آن، نظیر زیرساختهای مرتبط با «فرمان و کنترل» (C2)، گردآوری اعتبارنامهها، پنهان سازی و حذف ردپا را ویرایش، بهینهسازی و استفاده کردهاند که خود نشانگر وابستگی جدی این گروه به FOCUSFJORD و «HYPERBRO» است.
این گروه در مرحله اول حمله، ابتدا محموله حاوی زیرساختها و دستورات ارتباط فرمان و کنترل را توسط FOCUSFJORD به دستگاه هدف منتقل میکند و به شکل خودکار، کار دستکاری و بازنویسی رجیستری سیستمعامل قربانی آغاز میشود. در مرحله دوم نیز فرایند مانگاری مهاجم از طریق پیکربندی تازه با استفاده از فرمان و کنترل اعمال میشود.
محققان فایرآی در خلال تحقیقات خود، ابزار تازهای به نام FJORDOHELPER را کشف کردهاند که قادر است تنظیمات FOCUSFJORD را متناسب با ساختار هدف و نیازمندی هکرها تغییر دهد و حتی برای حذف ردپا، این بدافزار را از سیستم قربانی حذف کند.
مهاجمان با استفاده از FJORDOHELPER، حتی میتوانند از راه دور تمامی رد پا و شواهد قانونی را از روی هارد دیسک، پیکربندیهای رمزنگاری شده، رجیستری و کلیدهای مربوط به آن حذف کنند.
استقرار FOCUSFJORD و مراحل نفوذ عموما از طریق ارتباط «RDP» شخص ثالث مورد اعتماد انجام شدهاند که تصویر زیر، مراحل انجام این ارتباط و استقرار ابزارها را نشان میدهد:
ازجمله بازنویسیهای اعمال شده در نسخههای جدید FOCUSFJORD، محدود سازی ترافیک خروجی، ایجاد امکان استفاده از سرورهای واسطه (Proxy) و حذف ویژگیهای غیر ضروری بدافزار است که امکان شناسایی عوامل پشت پرده حملات را به حداقل میرساند.
محققان در بررسیهای خود، بدافزار نوظهور دیگری را نیز کشف کردهاند که با وجود تمایز از FOCUSFJORD، قادر است با استفاده از برخی توابع و ویژگیهای اجرایی، کدهای مرتبط با حمله را با FOCUSFJORD به اشتراک بگذارد.
تصویر زیر، ساز و کاری را نشان میدهد که برای ارتباط FOCUSFJORD با همین ابزار در سیستم قربانی دیگر طراحی شده است:
شرکت فایرآی میگوید از سال ۲۰۱۷ به این سو، نسخههای فراوانی از بدافزار (FOCUSFJORD) را کشف کرده که بارها بنا بر نیازمندی مهاجمان بازنویسی شده و ویژگیهایی به آن افزوده و یا از آن کاسته شده است.
محققان فایرآی معتقدند که این میزان از انعطاف در بازنویسی این بدابزار به این معنا است که یا هکرها ارتباط دوستانهای با توسعه دهندگان (FOCUSFJORD) دارند و یا خود به کدهای آن دسترسی داشته و قادر به شخصی سازی آن هستند.
نسخههای مختلف FOCUSFJORD در مجموع ۱۳ رجیستری منحصر به فرد دارند که به هکرها امکان میدهند تا سیستم قربانیان خود را با مکانیسمهای بارگذاری، ماندگاری و ارتباطات (C2) در کنترل خود بگیرند.
اما ویرایش جدید این بدافزار دارای دوکلید رجیستری است که تسلط مهاجم را بر قربانی بیش از پیش میکند؛ کلید رجیستری شماره ۱۲ تحت عنوان «group»، که وظیفهاش بازنویسی رجیستری سیستمعامل قربانی، مطابق با نام دامنه یا نام سازمان قربانی است. کلید ۱۲ بعد از بازنویسی رجیستری، به هکرها امکان میدهد تا بازنویسیهای بیشتری را از راه دور بر روی سیستم قربانی انجام دهند. کلید دوم، کلید رجیستری شماره ۱۳ است که به عنوان یک کنسول عمل میکند.
محققان فایرآی میگویند در این بدافزار، مقادیر «galway»، «Iceland»، «helen» و «idapro» و آدرسهای مختلفی از سرورهای فرمان و کنترل یافتهاند اما برای آنها قابل فهم نیست که هکرها چهگونه از این پارامترها برای پیکربندی، سازماندهی و ردیابی تعداد قربانیان استفاده میکنند.
گروه امنیتی «NCC» در سال ۲۰۱۸ گزارشی با همین موضوع منتشر و یک ابزار رمزگشایی را نیز معرفی کرده بود.
شرکت «Trendmicro» نیز در گزارشهای سال ۲۰۲۰ و ۲۰۲۱، به تغییرات در پیکربندی FOCUSFJORD و به روز رسانیهای آن اشاره کرده بود.
اما توسعه دهندگان به سرعت این بدافزار را بازنویسی و تلاش کردند که یافتههای محققان امنیتی را بی اثر کنند که این خود نشانگر توجه هکرهای UNC215 به رصدشان توسط شرکتهای امنیتی است.
فایرآی میگوید موضوعات گروه UNC215 در حملات مختلف، حاوی رشتههایی به زبانهای مختلف، از جمله هندی، ترکی، عربی و فارسی است که معمولا با زبان کشور هدف، متفاوت هستند. این کار شاید برای گمراه کردن محققان انجام میشود اما دستکم در سه مورد، هکرهای این گروه از ابزار گروههای هکری ایرانی استفاده کردهاند که پیشتر لو رفته و کدهای آنها در فضای مجازی منتشر شده بودند؛ ازجمله پوسته وب «SEASHARPEE» که این گروه در سال ۲۰۱۹ برای هدف قرار دادن شرکتها و موسسههای مالی آسیایی و خاورمیانهای استفاده کرده بود.
توسعه دهنده این پوسته، گروه ایرانی «تهدید پیشرفته مستمر ۳۹» (APT39) است که مدتی توسط کانال تلگرامی «لبدوختهگان» معرفی و کد ابزارهای آن برای عموم افشا شده بود.
باوجود این که ظاهرا پنهان کاری و ناشناس ماندن برای UNC215 نسبت به هر چیز دیگر مهمتر است اما در اندک مواردی هم هکرهای این گروه از زیرساختهای مصرف شده (C2) استفاده کرده و گاه نیز پروندههای یکسانی را علیه چند قربانی به کار گرفتهاند که میتواند به معنای دستکم گرفتن تواناییهای طرف مقابل در ردیابی و شناسایی مهاجمان باشد.
شرکت فایرآی اشاره کرده است که گروه چینی UNC215 را از سال ۲۰۱۴ زیر نظر دارند. این گروه، بخشی از «APT27» است که تا کنون بسیاری از سازمانهای دولتی، فناوری، مخابرات، دفاعی، مالی، بهداشتی و حتی سرگرمی را هدف قرار داده است.
عملکرد UNC215 نشان میدهد این گروه آن چه را دنبال میکند که علاقه استراتژیک حکومت چین است؛ مانند جمعآوری اطلاعات درباره زمینههای سرمایهگذاری میلیاردی چین در مسیر جاده ابریشم که امروزه تحت عنوان «Belt and Road Initiative» شناخته میشود و یا استارتاپهای اسرائیلی، صنایع استراتژیک و هوش مصنوعی و غیره.
تمرکز این گروه بر کشور اسرائیل نیز میتواند به دلیل ظرفیت اقتصادی و محوری راه آهن بین «ایلات» و «اشدود» تا بندر حیفا باشد که تاثیر فراوانی بر نظام اقتصادی جاده ابریشم داشته و چین کنترل چندانی بر آن ندارد.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر