شرکت‌های سراسر دنیا با بودجه دولتی توسط هکرهای چینی مورد هدف قرار می‌گیرند

به گزارش سایت پلیس فتا به نقل از arstechnica، این هکرها که به احتمال زیاد بودجه آن از دولت چین تأمین می‌شود، از ابزارهای پیشرفته استفاده می‌کنند. بعضی از این ابزارها معمولی هستند و بعضی دیگر سفارشی‌شده و اختصاصی‌ می‌باشند. یکی از ابزارهای مذکور از Zerologon استفاده می‌کند که به‌ یک آسیب‌پذیری در سرور ویندوز گفته می‌شود. البته وصله امنیتی مربط به آن در ماه آگوست منتشر شده است. این مشکل می‌تواند به مهاجمان امکان دسترسی سریع به سیستم‌های آسیب‌پذیر بدهد.

شرکت امنیتی سیمانتک (Symantec) از نام رمز Cicada برای این گروه استفاده می‌کند که به اعتقاد عموم بودجه‌ی آن توسط دولت چین تأمین می‌شود. گروه Cicada که هیچ ارتباط و وابستگی به شرکت‌های دیگر ندارد و از سال 2009 در هک به سبک جاسوسی فعال بوده و تقریباً به طور انحصاری شرکت‌های مرتبط با ژاپن را مورد هدف قرار می‌دهد. نکته جالب این است که شرکت‌هایی که اخیرا مورد هدف این کمپین قرار گرفته‌اند در ایالات متحده و سایر کشورها مستقر هستند و همه آنها با ژاپن یا شرکت‌های ژاپنی تعامل دارند.

محققان شرکت امنیتی سیمانتک در یک مقاله نوشت که سازمان‌های مرتبط با ژاپن باید هوشیار باشند زیرا مشخص است که آنها هدف اصلی این گروه پیشرفته و با منابع کافی هستند، بهنظر می‌رسد صنعت خودرو هدف اصلی در این حمله باشد، با این وجود سازمان‌های ژاپنی در همه بخش‌ها باید آگاه باشند که در معرض خطر قرار نگیرند.

این حملات از DLL loading side استفاده گسترده‌ای می‌کند، این روش به‌گونه‌ای است که مهاجمان یک پرونده کتابخانه پیوند پویا ویندوز را با یک پرونده مخرب جایگزین می‌کنند. مهاجمان از DLL loading side برای تزریق بدافزار به فرایندهای قانونی استفاده می‌کنند تا بتوانند از شناسایی هک توسط نرم‌افزار امنیتی جلوگیری کنند.

این کمپین از ابزار دیگری هم استفاده می‌کند که توانایی بهره‌برداری از Zerologon را دارد. هکرها در این روش با ارسال یک رشته صفر در سری پیام‌هایی که از پروتکل Netlogon بهره می‌برند، سرورهای ویندوز را که برای ورود کاربران به شبکه‌ از آن‌ها استفاده می‌شود به اشتباه می‌اندازند. هکرها می‌توانند از باگ امنیتی Zerologon برای دسترسی به کنترل‌کننده‌های دامنه Active Directory استفاده کرده و از آن سو‌ءاستفاده می‌کنند؛ این بخش مانند یک دروازه‌بان قدرتمند برای همه ماشین‌های متصل به شبکه عمل می‌کند.

مایکروسافت در ماه اوت بروزرسانی امنیتی را برای این آسیب‌پذیری ارائه داد اما از آن زمان تاکنون مهاجمان از آن سوءاستفاده کرده تا سازمان‌هایی که هنوز نصب بروزرسانی نشده‌اند به خطر بیافتند. هم افبیآی و هم وزارت امنیت داخلی خواستار آن شدهاند که بلافاصله سیستم‌ها بروزرسانی شوند.

از جمله سیستم‌هایی که در هنگام حملات کشف‌شده توسط سیمانتک به خطر افتاده‌اند، می‌توان به ‌کنترل‌کننده‌های دامنه (Domain Controllers) و سرورهای فایل (File Fervers) اشاره کرد. محققان این شرکت همچنین شواهدی در مورد فایل‌های فاش‌شده از برخی دستگاه‌های آسیب‌دیده کشف کردند.

اهداف این گروه سودجو از بخش‌های مختلف صنعت هستند که عبارتند از:
•    خودروسازی و شرکت‌های سازنده قطعات خودرو 
•    پوشاک
•    الکترونیک
•    مهندسی
•    شرکت‌های بازرگانی عمومی
•    دولت
•    محصولات صنعتی
•    ارائه‌دهندگان خدمات مدیریت‌شده
•    ساخت و ‌ساز
•    دارویی
•    خدمات حرفه‌ای

در ادامه نقشه‌ای از مکان جغرافیایی اهداف آورده شده است:

سیمانتک توانسته این حملات را بر اساس اثر انگشت دیجیتالی موجود در بدافزار و کد حمله به Cicada مرتبط کرد. اثر انگشت شامل تکنیک‌های مبهم‌سازی و کدی است که در بارگیری جانبی DLL و همچنین ویژگی‌های زیر ذکر شده، در این گزارش سال 2019 شرکت امنیتی Cylance ذکر شده است:

•    مرحله سوم DLL دارای یک نام خاص و مشخص است.
•    مرحله سوم DLL از روش CppHostCLR برای تزریق و اجرای مجموعه NET استفاده می‌کند.
•    فایل .NET Loader با ConfuserEx v1.0.0 مبهم‌سازی شده است.
•    فایل نهایی QuasarRAT است که درواقع یک راه نفوذ منبع باز محسوب می‌شود و پیش‌تر توسط Cicada استفاده شده است.

طبق گزارش محققان سیمانتک، مقیاس یا اندازه‌گیری توانایی در عملیات، به توانایی‌های گروه Cicada اشاره دارد. هدف قرار دادن چندین سازمان بزرگ در نقاط مختلف جهان آن هم به‌طور هم‌زمان، به منابع و همچنین مهارت‌های زیادی نیاز دارد که به‌طور کلی فقط در گروه‌هایی امکان‌پذیر است که تحت حمایت دولت‌ها باشند. پیوندی که همه قربانیان به ژاپن دارند نیز به Cicada اشاره دارد؛ زیرا در گذشته سازمان‌های ژاپنی هدف اصلی این گروه بودند.

این گزارش به این مسئله اشاره‌ می‌کند که احتمالا این گروه به‌طور مستقیم از دولت چین تغذیه می‌شوند و وظیفه‌ی اصلی آن‌ها حمله به سازمان‌های ژاپنی است؛ البته این ادعا هنوز به اثبات نرسیده است. تاکنون شرکت‌های زیادی توسط این گروه مورد حمله قرار گرفته‌اند و اطلاعات زیادی از آن‌ها فاش شده است.

انتهای پیام