گروه تحقیقاتی شرکت «چکپوینت» (Check Point Research) مستقر در اسراییل، ازجمله شرکتهای معتبر در حوزه امنیت سایبری گزارشی خصوص چگونگی نفوذ هکرها به سیستمهای کامپیوتری خطوط راهآهن ایران در هجدهم تیرماه سال جاری منتشر کرده است.
چکپوینت، گروه «ایندرا» (Indra) که خود را مخالف جمهوری اسلامی معرفی میکند، مسئول این حمله دانسته و گفته است که سالهای ۲۰۱۹ و ۲۰۲۰ گروهی با همین نام، حملاتی را به برخی اهداف در کشور سوریه صورت داده که از آن جمله، دو شرکت سوری تحریم شده توسط ایالات متحده، «گروه بینالمللی کاترجی» (Katerji Group) و شرکت نفت «عرفادا» (Arfada Petroleum) بودند.
هجدهم تیرماه ۱۴۰۰، تصویری بر تابلوهای اعلان حرکت قطارها نقش بست که حکایت از یک حمله سایبری به شبکه کامپیوتری راهآهن ایران داشت. هکرها در پیام خود، شماره تلفن «۶۴۴۱۱» را برای کسب اطلاعات بیشتر در اختیار مسافران قرار داده بودند. اما این شماره تلفن، شماره روابط عمومی دفتر «علی خامنهای»، رهبر جمهوری اسلامی بود. یک روز پس از این هرج و مرج گسترده در نظام خدمات خطوط ریلی ایران، حمله دیگری به وزارت حمل و نقل ایران صورت گرفت که به مسدود شدن وبسایت و زیرمجموعههای این وزارتخانه منتهی شد.
بررسی محققان شرکت چکپوینت نشان داد، اگرچه در ظاهر هیچ شباهتی بین رفتار و عملکرد هکرهای حملهکننده به شبکه راهآهن و وزارت حمل و نقل ایران و هکرهای مهاجم به اهداف سوریهای وجود ندارد؛ اما شاخصههای فنی، شیوه و ابزارهای استفاده شده در هر دو حمله مشترک هستند.
گروه هکری ایندرا در حملات خود از شیوهای بیرحمانه استفاده کرده است که در صنعت سایبری با اصطلاح «برف پاککن» (wiper) از آن یاد میشود. به این معنا که هکرها دادههای قربانی را بدون امکان بازیابی حذف و نابود کردهاند. گروه ایندرا در این سالها دستکم سه نوع از بدافزار موسوم به برف پاککن، به نامهای «مترو» (Meteor)، «استارداس» (Stardust) و «کومت» (Comet) را در حملات خود بهکار گرفتهاند.
شرکت امنیت سایبری «امنپرداز» در ایران، گزارشی را در خصوص یک بدافزار بهنام (Trojan.Win32.BreakWin) منتشر کرده که در حملههای اخیر این گروه مورد استفاده قرار گرفته بود. شرکت «سنتل وان» (SentinelOne) نیز گزارش مفصلی را در خصوص این تروجان منتشر کرده است.
محققان شرکت چکپوینت یافتههای شرکت نرمافزاری امنپرداز را مبنای تحقیقات قرار داده و دریافتهاند که این حملهها با پنهانسازی از چشم آنتیویروسها آغاز شده، با نابودسازی تنظیمات مربوط به بوت کامپیوتر ادامه یافته و سرانجام با قفل کردن و حذف دادههای قربانی به پایان رسیده است.
حمله با اجرای یک فرایند زمانبندی شده، تحت عنوان «تحلیل سیستم» (AnalyzeSystem) آغاز میشود که تقلیدی است از (Windows Power Efficiency Diagnostics). هکرها ابتدا با فایل (setup.bat) اقدام به جدا کردن سیستمهای WSUSPROXY ، PIS-MOB PIS-APP، PIS-DB از دیگر دستگاههای شبکه میکنند. (PIS) در ابتدای نام این سیستمها مخفف (Passenger Information System) یا «سیستم اطلاعرسانی به مسافر» است که معمولا در مکانهایی مانند فرودگاهها، ایستگاههای قطار و اتوبوس استفاده میشود. هکرها با استفاده از سیستمهای «پی آی اس» پیام خود را روی صفحه نمایش تابلوهای اعلان ایستگاه قطار به نمایش در آوردهاند.
مرحله دوم حمله بارگیری فایلهای مخرب از راه دور است که با بارگیری فایلی به نام «env.cab» آغاز میشود. بارگیری این فایل در مسیر (\\railways.ir\sysvol\railways.ir\scripts\env.cab) نشانگر این موضوع است که هکرها پیش از حمله، به خوبی به محیط هدف آشنا بوده و به نحوه پیکربندی آن نیز مسلط بودند. ابزارهای دیگری مانند ،update.bat hackemall، msrun.bat، cache.bat، bcd.bat در این مرحله بارگیری میشود که هرکدام وظیفهای را در مراحل بعدی حمله بر عهده میگیرد.
اسکریپت (cache.bat) ضمن غیرفعال کردن تمامی آداپتورهای شبکه، در صورت عدم نصب «آنتیویروس کسپرسکی» (Kaspersky Antivirus)، ابزارهای بارگیری شده را به فهرست فایلهای مجاز (Windows Defender) اضافه میکند.
وظیفه ابزار (bcd.bat) تخریب پیکربندی (boot) از طریق (BCDEdit) داخلی ویندوز و همچنین حذف تمامی آثار (Security، System and Application Event Viewer) با استفاده از (wevtutil) است.
آسیب اصلی، یعنی پاکسازی اطلاعات از طریق اسکریپت (msrun.bat) صورت میگیرد. این اسکریپت فایل (Wiper) را در مسیر (C: \ temp) رها کرده و یک برنامه با عنوان (mstask) ایجاد میکند که تنها یک بار، آن هم در ساعت (23:55:00) فعال میشود و عمل پاک کردن دیتاهای قربانی را انجام میدهد.
در مرحله حذف دادهها، بار اصلی بر دوش فایل اجرایی (msapp.exe) است که وظیفهاش خارج کردن قربانی از سرویس، از طریق قفل کردن و حذف اطلاعات موجود بر روی سیستم است. این فرایند توسط یک فایل پیکربندی رمزنگاری شده به نام (msconf.conf) انجام میشود که به مهاجم امکان میدهد، نوع و میزان حمله را بر اهداف خاص تنظیم کند. این فایل همچنین از یک اسکریپ کمکی بهره میبرد که برای رمزگشایی به کار میرود.
اگر تا این مرحله، فرایند پیکربندی به درستی انجام نشود، ابزار (Meteor) وارد عمل شده و پیکربندی لازم را برای آلودهسازی سیستم قربانی تکمیل میکند. بدافزار برای جلوگیری از توقف فرایند پیکربندی توسط قربانی، ابتدا ارتباط کامپیوتر هدف را با استفاده از (WinAPI) و یا (WMI) از (Active Directory domain) میکند تا هیچ ابزار و یا وصله ترمیمی به کامپیوتر قربانی منتقل نشود. سپس ویژگی (boot) ویندوز را تخریب و یا در ویندوزهای نسخه هفت به بعد، ورودیهای (BCD) را حذف میکند. بعد از این مرحله، بدافزار رمز عبور کاربرهای محلی را تغییر داده و با استفاده از الگوی «دنباله تصادفی» برای آنها رمزی جدید تعریف میکند. از کار انداختن محافظ صفحه ویندوز و جایگزینی تصاویر سفارشی به جای تصویر پس زمینه پیشفرض ویندوز، اقدام بعدی بدافزار است که تصاویر فرمت (JPEG) و (BMP) بر صفحه کامپیوترهای خطوط ریلی و وزارت حمل و نقل ایران نمونه این جایگزینی است.
بعد از جایگزینی تصویر پسزمینه صفحه ویندوز، بدافزار همه کاربران محلی را از ویندوز حذف کرده و از طریق فایل اجرایی (mssetup.exe) اقدام به قفل کردن موس و صفحه کلید، و همچنین بستن ورودی های کامپیوتر قربانی میکند. این بدافزار قادر است خود را در کامپیوتر هدف به شکلی ماندگار کند که با هر بار شروع به کار کامپیوتر، همین مرحل دوباره اجرا شده و عملکرد عادی قربانی مختل شود.
بدافزار برای حذف دادههای قربانی (Prefix Suffix wiper)، از پیکربندی (paths_to_wipe) بهره برده و فهرستی از پیشوند و پسوند فایلهای موجود در سیستم تهیه میکند. رشتهای به نام (Middle Wiper) وظیفه حذف فایلهای این فهرست و همچنین کپیهای سایه را بر عهده دارد. مشابه این روش حذف، در بسیاری از باجافزارهای اینترنتی نیز دیده میشود.
گروه تحقیقاتی چکپوینت حمله سایبری به سیستم ریلی ایران را به نمونهای از حملات خطرناک سایبری به زیرساختهای حیاتی کشورها دانسته که میتوان جان انسانها را در هر گوشه از جهان به خطر بیندازد. چکپونت به این حقیقت اشاره میکند که «هیچ سپر جادویی وجود ندارد». بنا بر این داشتن نسخه پشتیبان و برنامه بازیابی اطلاعات، به روزرسانی نرمافزارها و نصب وصلههای امنیتی و استفاده از برنامههای حفاظتی مانند فایروال و آنتیویروسها مواردی است که دولتها باید قویا آنها را مد نظر داشته باشند. چکپوینت همچنین آموزش و بالا بردن سطح آگاهی کاربران فضای مجازی را برای کاهش خطرات ناشی از این حملهها مهم دانسته است.
از بخش پاسخگویی دیدن کنید
در این بخش ایران وایر میتوانید با مسوولان تماس بگیرید و کارزار خود را برای مشکلات مختلف راهاندازی کنید
ثبت نظر