تازهترین گزارش کارشناسان امنیتی کمپانی ESET از کشف گروه جاسوسی سایبری (APT) جدیدی با نام BackdoorDiplomacy خبر داده که در 4 سال گذشته، دیپلماتها و بویژه وزرای امور خارجه را در بسیاری از کشورهای آفریقایی و برخی کشورهای خاورمیانه، آسیا و اروپا مورد هدف قرار داده است؛ خبری که خواب بسیاری از دیپلماتها را درجهان آشفته کرده و حالا همگی منتظر خبرهای تازه این کمپانی هستند تا بدانند اطلاعات حساس کدام یک از دیپلماتهای جهان به سرقت رفته یا احتمالاً دستکاری شده است.
یک گروه هکری و هزار راه حمله سایبری
ESET یک کمپانی امنیت اینترنت مستقر در اسلواکی است که محصولات آنتی ویروس و فایروال ارائه میدهد و تاکنون در زمینه کشف حملات سایبری در جهان بسیار موفق عمل کرده است.
محققان این کمپانی معتقدند گروه سایبری جدید که شرکت امنیتی ESET آن را با نام رمز BackdoorDiplomacy نامگذاری کرده است حداقل از سال 2017 تاکنون فعالیت داشته و قطعاً با پشتیبانی یک دولت خاص در حال فعالیت در جهان و گردآوری اطلاعات و ایجاد اختلال در کار دیپلمات هاست. در این گزارش هنوز به کشورهایی که مورد حمله قرار گرفتهاند اشارهای نشده است اما این احتمال میرود که به قربانیان اطلاع داده شده باشد و آنها نیز بهدلیل مسائل امنیتی علاقهای به فاش کردن این تهدیدات ندارند.
«آدام بورگر»، تحلیلگر ارشد تهدید اطلاعات در شرکت امنیت سایبری اسلواکی ESET، در تازهترین گزارش این کمپانی گفت: تحقیقات ما نشان میدهد که این گروه هکری، قربانیان خود را از دیپلماتهایی در وزارت امور خارجه بسیاری از کشورهای آفریقایی و همچنین چند کشور اروپایی، خاورمیانه و آسیا انتخاب میکرده که البته بیشتر در سطح وزرای امورخارجه بوده است.
بورگر افزود: البته این بدان معنا نیست که این گروه مجرم سایبری تنها به دیپلماتها بسنده میکنند و اطلاعات و شواهدی که در دست داریم نشان میدهد شرکتهای مخابراتی و ارتباطی در آفریقا و حداقل یک سازمان خیریه در خاورمیانه از دیگر اهداف این گروه سایبری بوده است.
این محقق کمپانی ESET گفت: گروه هکری BackdoorDiplomacy در گام نخست نقاط ضعف وسایل، سیستمها و دستگاههای متصل به اینترنت ازجمله سرورهای وب و رابطهای مدیریتی برای تجهیز شبکه را مورد توجه قرار میدهد و درواقع همین ضعف هاست که راه را برای حمله موفق این گروه هکری هموار میکند. شواهد نشان میدهد که این گروه هکری حملههایی موفق به سرورهای ایمیل Microsoft Exchange، پنلهای مدیریت میزبانی وب Plesk و دستگاههای F5 BIG-IP داشتهاند.
بورگر یادآور شد: هکرها به محض آلوده کردن سیستمهای هدف و معمولاً قبل از گسترش بدافزار مخرب مورد نظر خود، یک در پشتی را نصب میکنند و طیف وسیعی از ابزارها را برای انجام نظارت و سرقت اطلاعات به کار میگیرند. گفتنی است کمپانی ESET از این در پشتی با نام Turian یاد میکند. بهدنبال ایجاد این در پشتی، یک ابزار اسکن اپن سورس(منبع باز) را بارگیری کرده و مورد استفاده قرار میدهند تا بتوانند در شبکه براحتی حرکت کرده و میزان آلودگی را تا حدامکان بالا ببرند.
گفتنی است این تروجان مخرب میتواند هم به نسخههای ویندوز وهم لینوکس حمله کند که خبر بسیار بدی برای قربانیان است چراکه تعداد دستگاههای درمعرض خطر را بالاتر میبرد. به این ترتیب پساز حمله به سیستمها، هکرها میتوانند با اهداف حساس ارتباط برقرار کرده، سیستمهای آنها را جستوجو کنند و اطلاعات مهم را پاک کرده و از بین ببرند. گرفتن عکس از صفحه و همچنین رونویسی، انتقال، حذف یا سرقت پروندهها از دیگر تلاشهای این هکرها برای ایجاد اختلال در عملکرد دستگاههای دیپلماتیک در آفریقا، خاورمیانه و برخی کشورهای اروپایی بوده است.
این محقق کمپانی ESET همچنین اظهار داشت که مشاهده شده است BackdoorDiplomacy برای وسعت بخشیدن به فعالیتهای جاسوسی سایبری خود، نه تنها کامپیوترها و سرورها که حتی وسایل جانبی قابل جابهجایی ازجمله درایوهای USB را نیز آلوده میکنند تا به محض اتصال این یو اس بیها به سیستمهای مختلف بلافاصله بدافزار مخرب در شبکه گسترش یابد و به موفقیت عملیات هک و حمله سایبری کمک شایان توجهی کند. در واقع این بدافزار درایوهای فلش را اسکن کرده و سعی میکند همه پروندههایی که از آنها در بایگانیهای محافظت شده با رمزعبور نگهداری میشود را کپی کرده و سپس اطلاعات را ازطریق در پشتی به مرکز کنترل (C2) منتقل کند.
انگشت اتهام به سوی چین
هرچند کمپانی ESET این گروه هکری جدید را بهطور رسمی به یک کشور خاص مربوط ندانست و آن را تشکیل یافته از چندین گروه آسیایی توصیف کرد ولی برخی محققان، BackdoorDiplomacy را مرتبط با چین میدانند. اما چرا نگاهها به سمت چین رفته است؟ برخی این حملات را به چندین عامل تهدید مستقر در چین متصل میکنند و احتمال میدهند که این گروه ممکن است حداقل با یکی از آنها یکسان یا در ارتباط باشد. تصور میشود درپشتی Turian، براساس Backdoor Quarian یعنی بدافزار مرتبط با حملات سال 2013علیه اهداف دیپلماتیک در سوریه و ایالات متحده، به وجود آمده است.
این حمله هکری جدید شباهتهایی نیز با هک فورتنایت در سال 2017 و Intezer در 2018 و همچنین یک عملیات هک چینی علیه وزارت امور خارجه ایالات متحده دارد و برخی محققان نیز معتقدند که این گروه هکری از روش رمزگذاری مشابه درب پشتی Dr.Web استفاده میکنند که مؤسسات دولتی در قزاقستان و قرقیزستان را از سال 2017 تا 2020 مورد حمله قرار داد. البته گفتنی است که چین هنوز واکنشی نسبت به این موضوع نشان نداده و طبعاً مسئولیت این حملات را به عهده نگرفته است.
بیشترین قربانی در آفریقا
طبق گزارش کمپانی ESET، در حمله سایبری BackdoorDiplomacy بیشترین تعداد قربانیها به آفریقا بازمیگردد و دقیقاً این کشورهای آفریقایی هستند که بیش از همه، بر دست داشتن چین در این حملات سایبری تأکید دارند. در اوایل سال جاری میلادی مرکز مطالعات استراتژیک آفریقا در گزارشی عنوان کرده بود که بیشترین نگرانیها در مورد جاسوسی سایبری در آفریقا با چین مرتبط است چراکه حدود 80 درصد همه زیرساختهای شبکههای ارتباطی این قاره و همچنین شبکههای دولتی بیش از 20 کشور آفریقایی توسط چین راهاندازی شده است و همین موضوع نشان میدهد که چقدر دست این کشور برای نفوذ در زیرساختهای آفریقا باز است.
این نخستین بار نیست که کشورهای آفریقایی بهطور گسترده مورد حمله سایبری قرار میگیرند و در سال 2018 نیز در گزارشی عنوان شد که همه محتوای سرورها در مقرهای اتحادیه آفریقا(AU) بهطور مداوم به شانگهای انتقال مییابد و وقتی مهندسان آفریقایی برای جایگزینی سرورها اقدام کردند این بار جاسوسی چین ازطریق دوربینهای نظارتی صورت گرفت.
پیش از این نیز بدافزار خطرناک Pegasus به طور همزمان 11 کشور آفریقایی را مورد حمله قرار داده بود که درنهایت مشخص شد هکرها هم از داخل وهم خارج از آفریقا در این کار دخیل هستند و با انتقال اطلاعات در ساعات عادی کاری به چین، مسیرهای خود را پنهان میکنند. در آفریقا حمله به زیرساختهای حیاتی به امری متداول تبدیل شده و بانکها تاکنون میلیاردها دلار درنتیجه خرابکاری در سیستمها از دست دادهاند. حال باید منتظر ماند و دید در گزارشهای بعدی کمپانیESET نام چه کشورهایی در میان قربانیان قرار میگیرد.