گزارش محققان امنیتی از فعالیت هکرهای منتسب به وزارت اطلاعات؛ حملات سایبری تازه علیه اسرائیل!
یک گروه هکری وابسته به وزارت اطلاعات جمهوری اسلامی (MOIS) با استفاده از یک فریمورک جدید به نام Cavern، سازمانهای دولتی، شرکتهای فناوری و ارائهدهندگان خدمات فناوری اطلاعات در اسرائیل را هدف قرار داده است. این ابزار مثل یک جعبهابزار همهفنحریف طراحی شده است؛ یعنی هکرها در ابتدا فقط یک فایل کوچک را وارد سیستم میکنند و بعد از این نفوذ اولیه، بر اساس نیازشان و بسته به نوع سازمان، بخشهای مخرب دیگر را تکبهتک از سرور خود دانلود و فعال میکنند. با این ترفند، آنها میتوانند هر زمان که بخواهند قابلیتهای خاصی مثل جاسوسی شبکه، دزدیدن فایلها، نفوذ به پایگاههای داده یا دسترسی به سایر سیستمهای داخلی را بدون جلب توجه آنتیویروسها اجرا کنند.
یک گروه هکری وابسته به وزارت اطلاعات جمهوری اسلامی (MOIS) با استفاده از یک فریمورک جدید به نام Cavern، سازمانهای دولتی، شرکتهای فناوری و ارائهدهندگان خدمات فناوری اطلاعات در اسرائیل را هدف قرار داده است. این ابزار مثل یک جعبهابزار همهفنحریف طراحی شده است؛ یعنی هکرها در ابتدا فقط یک فایل کوچک را وارد سیستم میکنند و بعد از این نفوذ اولیه، بر اساس نیازشان و بسته به نوع سازمان، بخشهای مخرب دیگر را تکبهتک از سرور خود دانلود و فعال میکنند. با این ترفند، آنها میتوانند هر زمان که بخواهند قابلیتهای خاصی مثل جاسوسی شبکه، دزدیدن فایلها، نفوذ به پایگاههای داده یا دسترسی به سایر سیستمهای داخلی را بدون جلب توجه آنتیویروسها اجرا کنند.
یکی از مهمترین ویژگیهای این حمله، روش نفوذ آن است. مهاجمان ابتدا یک شرکت ارائهدهنده خدمات فناوری اطلاعات را آلوده کرده و سپس از همان مسیر، بدافزار را در قالب یک بهروزرسانی ظاهراً معتبر به سازمانهای دیگر رساندهاند. این حمله بار دیگر نشان میدهد زنجیره تأمین نرمافزار به یکی از مهمترین اهداف هکرها تبدیل شده است. حتی دریافت فایل یا آپدیت از یک شرکت شناختهشده هم همیشه به معنای امن بودن آن نیست، اگر مهاجمان بتوانند به زیرساخت همان شرکت نفوذ کنند.
بررسیهای دقیق روی مهندسی معکوس این بدافزار نشان میدهد که هسته اصلی سیستم جاسوسی Cavern از طریق آلوده کردن یک فایل سیستمی ویندوز به نام uxtheme.dll کار خود را شروع میکند. هکرها با استفاده از یک ترفند زیرکانه، کدهای خود را به سه فرمت کاملاً متفاوت کامپایل (سرهم) کردهاند؛ بخشی از فایلها تماماً کد بومی ویندوز هستند و بخش دیگر از ساختارهای مدیریتشده استفاده میکنند. این ترکیب عجیب و غریب مثل این است که هکرها قفل سیستم شما را با سه زبان مختلف و متضاد بنویسند. این لایه ضد-تحلیل عملاً باعث میشود که آنتیویروسها و کارشناسان امنیتی مجبور شوند برای فهمیدن رفتار بدافزار، مدام بین ابزارهای مختلف جابهجا شوند و در این سردرگمی، بدافزار به کار خود ادامه دهد.
وقتی این جعبهابزار روی سیستم قربانی مستقر میشود، پنج افزونه یا ماژول حیاتی را به صورت مستقیم و روی هوا (به کمک ارتباطات امن HTTPS و وبسوکت) بارگذاری میکند. هر کدام از این ماژولها وظیفه ویژهای برای نفوذ به سازمان دارند؛ یکی از آنها مخصوص شخم زدن و brute-force کردن اکانتهای کاربران شبکه (Active Directory) است، دیگری مثل یک اسکنر تمام پورتهای باز شبکه داخلی را رصد میکند و خطرناکترین آنها، ماژولی است که مستقیماً به پایگاههای داده (SQL) وصل شده و کل اطلاعات حیاتی، جدولها و دادههای محرمانه را استخراج و به سرور هکرها میفرستد. این یعنی هکرها بدون داشتن دسترسی فیزیکی، به مغز اطلاعاتی سازمان دست پیدا میکنند.
پژوهشگران میگویند هکرها برای پنهان ماندن از روشهای فنی غیرمعمول در ساخت فایلهای بدافزار استفاده کردهاند؛ روشی که تحلیل و شناسایی آن را برای بسیاری از ابزارهای امنیتی و حتی متخصصان دشوارتر میکند. علاوه بر این، آنها در برخی حملات از قابلیتهای عادی سیستمها، مانند ابزارهای مدیریت از راه دور برای خارج کردن اطلاعات حساس استفاده کردهاند. یکی از جالبترین جزئیات کشفشده، نحوه خروج اطلاعات در محیطهای امن است؛ در سازمانهایی که انتقال فایل به بیرون کاملاً مسدود است، هکرها با فعال کردن پنهانی ویژگی «پرینت از راه دور» (Remote Printing)، اسناد حساس را به صورت مجازی پرینت گرفته و از شبکه خارج کردهاند! این موضوع نشان میدهد امروزه حتی قابلیتهای معمول و روزمره یک نرمافزار هم میتوانند به ابزار #جاسوسی تبدیل شوند.
همزمان با این گزارش، پژوهشگران از فعالیت گسترده گروه هکری MuddyWater نیز خبر دادهاند. این گروه وابسته به جمهوری اسلامی طی ماههای اخیر با سوءاستفاده از چندین آسیبپذیری شناختهشده در سرویسهای مختلف، بیش از ۱۲ هزار سامانه متصل به اینترنت را بررسی کرده و سپس حملات خود را به سمت سازمانهای فعال در حوزه هوانوردی، انرژی و نهادهای دولتی در کشورهای خاورمیانه هدایت کرده است. به گفته محققان، این عملیات در برخی موارد به سرقت اطلاعات حساس از سامانههای آلوده منجر شده است.
این گزارش بار دیگر یادآوری میکند که امنیت فقط به نصب آنتیویروس یا بهروزرسانی سیستم محدود نمیشود. سازمانها باید دسترسی شرکتهای پیمانکار، ابزارهای مدیریت از راه دور، روند انتشار بهروزرسانیها و ارتباط میان سامانههای مختلف را نیز بهطور مرتب بررسی کنند. برای کاربران عادی هم بهترین راهکار این است که سیستمعامل و نرمافزارهای خود را همیشه بهروز نگه دارند، تنها از منابع معتبر نرمافزار نصب کنند و هر رفتار غیرعادی در دستگاه یا برنامهها را جدی بگیرند.