پس‌کوچه
اپ‌های اندروید
برو به محتوای اصلی
Category: پس‌کوچه

گزارش محققان امنیتی از فعالیت هکرهای منتسب به وزارت اطلاعات؛ حملات سایبری تازه علیه اسرائیل!

یک گروه هکری وابسته به وزارت اطلاعات جمهوری اسلامی (MOIS) با استفاده از یک فریم‌ورک جدید به نام Cavern، سازمان‌های دولتی، شرکت‌های فناوری و ارائه‌دهندگان خدمات فناوری اطلاعات در اسرائیل را هدف قرار داده است. این ابزار مثل یک جعبه‌ابزار همه‌فن‌حریف طراحی شده است؛ یعنی هکرها در ابتدا فقط یک فایل کوچک را وارد سیستم می‌کنند و بعد از این نفوذ اولیه، بر اساس نیازشان و بسته به نوع سازمان، بخش‌های مخرب دیگر را تک‌به‌تک از سرور خود دانلود و فعال می‌کنند. با این ترفند، آن‌ها می‌توانند هر زمان که بخواهند قابلیت‌های خاصی مثل جاسوسی شبکه، دزدیدن فایل‌ها، نفوذ به پایگاه‌های داده یا دسترسی به سایر سیستم‌های داخلی را بدون جلب توجه آنتی‌ویروس‌ها اجرا کنند.

یک گروه هکری وابسته به وزارت اطلاعات جمهوری اسلامی (MOIS) با استفاده از یک فریم‌ورک جدید به نام Cavern، سازمان‌های دولتی، شرکت‌های فناوری و ارائه‌دهندگان خدمات فناوری اطلاعات در اسرائیل را هدف قرار داده است. این ابزار مثل یک جعبه‌ابزار همه‌فن‌حریف طراحی شده است؛ یعنی هکرها در ابتدا فقط یک فایل کوچک را وارد سیستم می‌کنند و بعد از این نفوذ اولیه، بر اساس نیازشان و بسته به نوع سازمان، بخش‌های مخرب دیگر را تک‌به‌تک از سرور خود دانلود و فعال می‌کنند. با این ترفند، آن‌ها می‌توانند هر زمان که بخواهند قابلیت‌های خاصی مثل جاسوسی شبکه، دزدیدن فایل‌ها، نفوذ به پایگاه‌های داده یا دسترسی به سایر سیستم‌های داخلی را بدون جلب توجه آنتی‌ویروس‌ها اجرا کنند.

یکی از مهم‌ترین ویژگی‌های این حمله، روش نفوذ آن است. مهاجمان ابتدا یک شرکت ارائه‌دهنده خدمات فناوری اطلاعات را آلوده کرده و سپس از همان مسیر، بدافزار را در قالب یک به‌روزرسانی ظاهراً معتبر به سازمان‌های دیگر رسانده‌اند. این حمله بار دیگر نشان می‌دهد زنجیره تأمین نرم‌افزار به یکی از مهم‌ترین اهداف هکرها تبدیل شده است. حتی دریافت فایل یا آپدیت از یک شرکت شناخته‌شده هم همیشه به معنای امن بودن آن نیست، اگر مهاجمان بتوانند به زیرساخت همان شرکت نفوذ کنند.

بررسی‌های دقیق روی مهندسی معکوس این بدافزار نشان می‌دهد که هسته اصلی سیستم جاسوسی Cavern از طریق آلوده کردن یک فایل سیستمی ویندوز به نام uxtheme.dll کار خود را شروع می‌کند. هکرها با استفاده از یک ترفند زیرکانه، کدهای خود را به سه فرمت کاملاً متفاوت کامپایل (سرهم) کرده‌اند؛ بخشی از فایل‌ها تماماً کد بومی ویندوز هستند و بخش دیگر از ساختارهای مدیریت‌شده استفاده می‌کنند. این ترکیب عجیب و غریب مثل این است که هکرها قفل سیستم شما را با سه زبان مختلف و متضاد بنویسند. این لایه ضد-تحلیل عملاً باعث می‌شود که آنتی‌ویروس‌ها و کارشناسان امنیتی مجبور شوند برای فهمیدن رفتار بدافزار، مدام بین ابزارهای مختلف جا‌به‌جا شوند و در این سردرگمی، بدافزار به کار خود ادامه دهد.

وقتی این جعبه‌ابزار روی سیستم قربانی مستقر می‌شود، پنج افزونه یا ماژول حیاتی را به صورت مستقیم و روی هوا (به کمک ارتباطات امن HTTPS و وب‌سوکت) بارگذاری می‌کند. هر کدام از این ماژول‌ها وظیفه ویژه‌ای برای نفوذ به سازمان دارند؛ یکی از آن‌ها مخصوص شخم زدن و brute-force کردن اکانت‌های کاربران شبکه (Active Directory) است، دیگری مثل یک اسکنر تمام پورت‌های باز شبکه داخلی را رصد می‌کند و خطرناک‌ترین آن‌ها، ماژولی است که مستقیماً به پایگاه‌های داده (SQL) وصل شده و کل اطلاعات حیاتی، جدول‌ها و داده‌های محرمانه را استخراج و به سرور هکرها می‌فرستد. این یعنی هکرها بدون داشتن دسترسی فیزیکی، به مغز اطلاعاتی سازمان دست پیدا می‌کنند.

پژوهشگران می‌گویند هکرها برای پنهان ماندن از روش‌های فنی غیرمعمول در ساخت فایل‌های بدافزار استفاده کرده‌اند؛ روشی که تحلیل و شناسایی آن را برای بسیاری از ابزارهای امنیتی و حتی متخصصان دشوارتر می‌کند. علاوه بر این، آن‌ها در برخی حملات از قابلیت‌های عادی سیستم‌ها، مانند ابزارهای مدیریت از راه دور برای خارج کردن اطلاعات حساس استفاده کرده‌اند. یکی از جالب‌ترین جزئیات کشف‌شده، نحوه خروج اطلاعات در محیط‌های امن است؛ در سازمان‌هایی که انتقال فایل به بیرون کاملاً مسدود است، هکرها با فعال کردن پنهانی ویژگی «پرینت از راه دور» (Remote Printing)، اسناد حساس را به صورت مجازی پرینت گرفته و از شبکه خارج کرده‌اند! این موضوع نشان می‌دهد امروزه حتی قابلیت‌های معمول و روزمره یک نرم‌افزار هم می‌توانند به ابزار #جاسوسی تبدیل شوند.

هم‌زمان با این گزارش، پژوهشگران از فعالیت گسترده گروه هکری MuddyWater نیز خبر داده‌اند. این گروه وابسته به جمهوری اسلامی طی ماه‌های اخیر با سوءاستفاده از چندین آسیب‌پذیری شناخته‌شده در سرویس‌های مختلف، بیش از ۱۲ هزار سامانه متصل به اینترنت را بررسی کرده و سپس حملات خود را به سمت سازمان‌های فعال در حوزه هوانوردی، انرژی و نهادهای دولتی در کشورهای خاورمیانه هدایت کرده است. به گفته محققان، این عملیات در برخی موارد به سرقت اطلاعات حساس از سامانه‌های آلوده منجر شده است.

این گزارش بار دیگر یادآوری می‌کند که امنیت فقط به نصب آنتی‌ویروس یا به‌روزرسانی سیستم محدود نمی‌شود. سازمان‌ها باید دسترسی شرکت‌های پیمانکار، ابزارهای مدیریت از راه دور، روند انتشار به‌روزرسانی‌ها و ارتباط میان سامانه‌های مختلف را نیز به‌طور مرتب بررسی کنند. برای کاربران عادی هم بهترین راهکار این است که سیستم‌عامل و نرم‌افزارهای خود را همیشه به‌روز نگه دارند، تنها از منابع معتبر نرم‌افزار نصب کنند و هر رفتار غیرعادی در دستگاه یا برنامه‌ها را جدی بگیرند.

اپ اندروید پس‌کوچه را دانلود کنید

دانلود
بازگشت به بالا