شرکتهای سراسر دنیا با بودجه دولتی توسط هکرهای چینی مورد هدف قرار میگیرند
محققان یک کمپین هک گستردهای را کشف کردهاند که با استفاده از ابزارها و تکنیکهای پیشرفته، شبکههای شرکتها در سراسر جهان را به خطر میاندازند.
به گزارش سایت پلیس فتا به نقل از arstechnica، این هکرها که به احتمال زیاد بودجه آن از دولت چین تأمین میشود، از ابزارهای پیشرفته استفاده میکنند. بعضی از این ابزارها معمولی هستند و بعضی دیگر سفارشیشده و اختصاصی میباشند. یکی از ابزارهای مذکور از Zerologon استفاده میکند که به یک آسیبپذیری در سرور ویندوز گفته میشود. البته وصله امنیتی مربط به آن در ماه آگوست منتشر شده است. این مشکل میتواند به مهاجمان امکان دسترسی سریع به سیستمهای آسیبپذیر بدهد.
شرکت امنیتی سیمانتک (Symantec) از نام رمز Cicada برای این گروه استفاده میکند که به اعتقاد عموم بودجهی آن توسط دولت چین تأمین میشود. گروه Cicada که هیچ ارتباط و وابستگی به شرکتهای دیگر ندارد و از سال 2009 در هک به سبک جاسوسی فعال بوده و تقریباً به طور انحصاری شرکتهای مرتبط با ژاپن را مورد هدف قرار میدهد. نکته جالب این است که شرکتهایی که اخیرا مورد هدف این کمپین قرار گرفتهاند در ایالات متحده و سایر کشورها مستقر هستند و همه آنها با ژاپن یا شرکتهای ژاپنی تعامل دارند.
محققان شرکت امنیتی سیمانتک در یک مقاله نوشت که سازمانهای مرتبط با ژاپن باید هوشیار باشند زیرا مشخص است که آنها هدف اصلی این گروه پیشرفته و با منابع کافی هستند، بهنظر میرسد صنعت خودرو هدف اصلی در این حمله باشد، با این وجود سازمانهای ژاپنی در همه بخشها باید آگاه باشند که در معرض خطر قرار نگیرند.
این حملات از DLL loading side استفاده گستردهای میکند، این روش بهگونهای است که مهاجمان یک پرونده کتابخانه پیوند پویا ویندوز را با یک پرونده مخرب جایگزین میکنند. مهاجمان از DLL loading side برای تزریق بدافزار به فرایندهای قانونی استفاده میکنند تا بتوانند از شناسایی هک توسط نرمافزار امنیتی جلوگیری کنند.
این کمپین از ابزار دیگری هم استفاده میکند که توانایی بهرهبرداری از Zerologon را دارد. هکرها در این روش با ارسال یک رشته صفر در سری پیامهایی که از پروتکل Netlogon بهره میبرند، سرورهای ویندوز را که برای ورود کاربران به شبکه از آنها استفاده میشود به اشتباه میاندازند. هکرها میتوانند از باگ امنیتی Zerologon برای دسترسی به کنترلکنندههای دامنه Active Directory استفاده کرده و از آن سوءاستفاده میکنند؛ این بخش مانند یک دروازهبان قدرتمند برای همه ماشینهای متصل به شبکه عمل میکند.
مایکروسافت در ماه اوت بروزرسانی امنیتی را برای این آسیبپذیری ارائه داد اما از آن زمان تاکنون مهاجمان از آن سوءاستفاده کرده تا سازمانهایی که هنوز نصب بروزرسانی نشدهاند به خطر بیافتند. هم افبیآی و هم وزارت امنیت داخلی خواستار آن شدهاند که بلافاصله سیستمها بروزرسانی شوند.
از جمله سیستمهایی که در هنگام حملات کشفشده توسط سیمانتک به خطر افتادهاند، میتوان به کنترلکنندههای دامنه (Domain Controllers) و سرورهای فایل (File Fervers) اشاره کرد. محققان این شرکت همچنین شواهدی در مورد فایلهای فاششده از برخی دستگاههای آسیبدیده کشف کردند.
اهداف این گروه سودجو از بخشهای مختلف صنعت هستند که عبارتند از:
• خودروسازی و شرکتهای سازنده قطعات خودرو
• پوشاک
• الکترونیک
• مهندسی
• شرکتهای بازرگانی عمومی
• دولت
• محصولات صنعتی
• ارائهدهندگان خدمات مدیریتشده
• ساخت و ساز
• دارویی
• خدمات حرفهای
در ادامه نقشهای از مکان جغرافیایی اهداف آورده شده است:
سیمانتک توانسته این حملات را بر اساس اثر انگشت دیجیتالی موجود در بدافزار و کد حمله به Cicada مرتبط کرد. اثر انگشت شامل تکنیکهای مبهمسازی و کدی است که در بارگیری جانبی DLL و همچنین ویژگیهای زیر ذکر شده، در این گزارش سال 2019 شرکت امنیتی Cylance ذکر شده است:
• مرحله سوم DLL دارای یک نام خاص و مشخص است.
• مرحله سوم DLL از روش CppHostCLR برای تزریق و اجرای مجموعه NET استفاده میکند.
• فایل .NET Loader با ConfuserEx v1.0.0 مبهمسازی شده است.
• فایل نهایی QuasarRAT است که درواقع یک راه نفوذ منبع باز محسوب میشود و پیشتر توسط Cicada استفاده شده است.
طبق گزارش محققان سیمانتک، مقیاس یا اندازهگیری توانایی در عملیات، به تواناییهای گروه Cicada اشاره دارد. هدف قرار دادن چندین سازمان بزرگ در نقاط مختلف جهان آن هم بهطور همزمان، به منابع و همچنین مهارتهای زیادی نیاز دارد که بهطور کلی فقط در گروههایی امکانپذیر است که تحت حمایت دولتها باشند. پیوندی که همه قربانیان به ژاپن دارند نیز به Cicada اشاره دارد؛ زیرا در گذشته سازمانهای ژاپنی هدف اصلی این گروه بودند.
این گزارش به این مسئله اشاره میکند که احتمالا این گروه بهطور مستقیم از دولت چین تغذیه میشوند و وظیفهی اصلی آنها حمله به سازمانهای ژاپنی است؛ البته این ادعا هنوز به اثبات نرسیده است. تاکنون شرکتهای زیادی توسط این گروه مورد حمله قرار گرفتهاند و اطلاعات زیادی از آنها فاش شده است.
انتهای پیام
افزودن دیدگاه جدید