وبلاگ

حملات گسترده سایبری با استفاده از ابزارهای جاسوسی و تمرکز سیمانتک جهت شناسایی حملات

  • ارسال توسط author-avatar
۱۵ مهر

 

در سال‌های اخیر، حملات سایبری با ابزارهای مرتبط با گروه‌های جاسوسی چینی به شکل گسترده‌ای اپراتورهای مخابراتی در یک کشور آسیایی را هدف قرار داده است. این کمپین‌های جاسوسی طولانی‌مدت که از سال 2021 یا حتی زودتر، از سال 2020 شروع شده‌اند، نشان‌دهنده پیچیدگی و پیشرفت فناوری‌های جاسوسی است که برای نفوذ و دسترسی به اطلاعات حساس استفاده می‌شود. این مقاله بر اساس گزارشات امنیتی منتشر شده توسط شرکت سیمانتک، به بررسی ابعاد این حملات، ابزارهای استفاده شده و گروه‌های مرتبط با آن‌ها می‌پردازد.

 

تمرکز اصلی: اپراتورهای مخابراتی

یکی از نکات مهم در این حملات، تمرکز آن‌ها بر شرکت‌های مخابراتی است. تمامی سازمان‌های مورد هدف، اپراتورهای مخابراتی بودند و علاوه بر این، یک شرکت خدماتی که به این اپراتورها سرویس می‌دهد و همچنین یک دانشگاه در یک کشور آسیایی دیگر نیز مورد حمله قرار گرفتند. این موضوع نشان‌دهنده اهمیت زیرساخت‌های مخابراتی برای مهاجمان سایبری است که به دنبال دسترسی به اطلاعات حساس و شاید حتی دست‌درازی به قابلیت‌های مهم زیرساختی هستند.

 

ابزارهای جاسوسی استفاده شده

در این حملات، بدافزارهای سفارشی که به گروه‌های جاسوسی چینی مرتبط هستند، به کار گرفته شدند. این ابزارها شامل چندین بدافزار خاص مانند Coolclient، Quickheal و Rainyday هستند. هر یک از این بدافزارها با گروه‌های جاسوسی شناخته‌شده‌ای مرتبط هستند که در ادامه به جزئیات آن‌ها پرداخته می‌شود.

 

Coolclient

این بدافزار، یک بک‌دور (Backdoor) است که با گروه Fireant (که به عنوان Mustang Panda و Earth Preta نیز شناخته می‌شود) مرتبط است. این بدافزار توانایی‌هایی نظیر ثبت کلیدهای تایپ شده، خواندن و حذف فایل‌ها، و ارتباط با یک سرور فرماندهی و کنترل (C&C) را دارد. در این حملات، Coolclient با استفاده از نسخه‌ای تغییر یافته از VLC Media Player که خود را به عنوان فایل Googleupdate.exe جا زده بود، به شبکه‌ها نفوذ کرد. این بدافزار با بارگذاری مخفیانه payloadهای رمزگذاری‌شده از فایل‌های متعدد، به مرور اطلاعات حساس دسترسی پیدا می‌کرد.

 

Quickheal

این بک‌دور نیز از سوی گروه Needleminer (که با نام‌های RedFoxtrot و Nomad Panda نیز شناخته می‌شود) مورد استفاده قرار گرفت. Quickheal در قالب یک DLL 32 بیتی به نام RasTls.dll پنهان شده بود و از پروتکل‌های رمزنگاری شده خود برای ارتباط با سرور فرماندهی و کنترل استفاده می‌کرد. تحلیل این بدافزار نشان داد که آن به شکل تقریبا مشابهی با نسخه‌هایی است که پیش‌تر در سال 2021 توسط Recorded Future مستندسازی شده بود.

 

Rainyday

این بک‌دور با گروه Firefly (که به نام Naikon نیز شناخته می‌شود) مرتبط است. در این حملات، بیشتر نسخه‌های Rainyday با استفاده از یک لودر به نام fspmapi.dll اجرا شدند. این لودر با نرم‌افزار قانونی F-Secure اجرا شده و با دستکاری حافظه اجرایی، روند اجرای بدافزار را به صورتی مخفیانه انجام می‌داد. یکی از نسخه‌های این بدافزار، از یک فایل با امضای نامعتبر دیجیتالی تحت عنوان “Kaspersky Lab” استفاده می‌کرد که نشان‌دهنده تلاش‌های مهاجمان برای پنهان‌کاری در محیط‌های هدف است.

 

تکنیک‌ها و روش‌های دیگر استفاده شده

علاوه بر بک‌دورهای سفارشی ذکر شده، مهاجمان از تاکتیک‌ها، تکنیک‌ها و روش‌های مختلف دیگری نیز استفاده کرده‌اند که شامل موارد زیر می‌شود:

 

استفاده از بدافزارهای کی‌لاگر: این بدافزارها احتمالا برای ثبت کلیدهای تایپ‌شده و جمع‌آوری اطلاعات محرمانه توسعه یافته‌اند.

اسکن پورت‌ها: در این حملات، حداقل از سه ابزار مختلف برای اسکن پورت‌ها استفاده شد تا نقاط ضعف شبکه‌های هدف شناسایی شوند.

سرقت اطلاعات احراز هویت: مهاجمان با استخراج کندوهای رجیستری ویندوز، اطلاعات احراز هویت کاربران را به دست می‌آوردند.

استفاده از ابزار Responder: این ابزار عمومی، برای مسموم کردن نام سرویس‌های شبکه‌های محلی و DNSهای چندبخشی استفاده شد.

فعال‌سازی RDP: یکی از روش‌های دسترسی مهاجمان، فعال کردن Remote Desktop Protocol برای دسترسی از راه دور به سیستم‌های آلوده بود.

ارتباطات با گروه‌های جاسوسی

ابزارها و بدافزارهایی که در این حملات استفاده شده‌اند، ارتباطات قوی با چندین گروه جاسوسی چینی دارند. به عنوان مثال، بک‌دور Coolclient به گروه Fireant، Quickheal به گروه Needleminer و Rainyday به گروه Firefly مرتبط هستند. بر اساس گزارشات شرکت سیمانتک و سایر شرکت‌های امنیتی، این گروه‌ها به صورت گسترده‌ای به عنوان عوامل دولت چین شناخته می‌شوند. در گزارش‌های منتشر شده توسط کمیسیون بررسی اقتصادی و امنیتی ایالات متحده–چین، از گروه Firefly به عنوان یک گروه APT که احتمالاً با واحد 78020 ارتش آزادی‌بخش خلق (PLA) چین در ارتباط است، یاد شده است.

 

با این حال، ماهیت دقیق ارتباط بین بازیگران حاضر در این حملات هنوز به طور کامل روشن نیست. برخی از احتمالات موجود عبارتند از:

 

فعالیت‌های چندین گروه مستقل که به طور همزمان به یک هدف حمله می‌کنند.

یک گروه که از ابزارها و منابع مشترک با دیگر گروه‌ها استفاده می‌کند.

همکاری میان چندین گروه در یک کمپین واحد.

هدف حملات: جاسوسی یا ایجاد اختلال؟

هنوز مشخص نیست که هدف نهایی این حملات چه بوده است. احتمال می‌رود که مهاجمان به دنبال جمع‌آوری اطلاعات محرمانه از بخش مخابراتی این کشور بوده‌اند. جاسوسی و شنود ارتباطات یکی از احتمالات اصلی است. از سوی دیگر، این احتمال نیز وجود دارد که مهاجمان در تلاش بوده‌اند تا توانایی ایجاد اختلال در زیرساخت‌های حیاتی این کشور را به دست آورند، که این می‌تواند زمینه‌ساز حملات بزرگ‌تر یا حتی جنگ سایبری در آینده باشد.

 

حملات سایبری اخیر به اپراتورهای مخابراتی یک کشور آسیایی، که از ابزارهای جاسوسی مرتبط با چین استفاده کرده‌اند، نگرانی‌های جدی درباره امنیت زیرساخت‌های حیاتی و اطلاعات محرمانه ایجاد کرده است. این حملات که با استفاده از بدافزارهای پیشرفته و تاکتیک‌های پیچیده انجام شده‌اند، نشان‌دهنده توانایی‌های فزاینده گروه‌های جاسوسی سایبری در نفوذ به شبکه‌های حساس و دسترسی به اطلاعات ارزشمند است. از آنجا که این نوع حملات به احتمال زیاد ادامه خواهند یافت، نیاز به تقویت اقدامات امنیتی و هوشیاری بیشتر در برابر تهدیدات سایبری بین‌المللی بیش از پیش احساس می‌شود. آلما شبکه، نماینده سیمانتک با مدیریت آقای وحید فوائدی آماده ارائه انواع لایسنس های نرم افزارهای امنیتی به شما مشتریان گرامی می باشد.

جدیدتر رنسام‌هاب، ظهور تهدیدی جدید با ریشه‌های قدیمی در دنیای باج‌افزارها
بازگشت به لیست
قدیمی تر بررسی گروه باج‌افزاری Play و ابزارهای جدید سفارشی آن بر اساس تحقیقات سیمانتک

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

11 + دو =