امنیت

اینترنت و شبکه

فناوری اطلاعات

June 12, 2021
11:27 شنبه، 22ام خردادماه 1400
کد خبر: 125200

دیپلمات ها زیر تیغ هکرها

 تازه‌ترین گزارش کارشناسان امنیتی کمپانی ESET از کشف گروه جاسوسی سایبری (APT) جدیدی با نام BackdoorDiplomacy خبر داده که در 4 سال گذشته، دیپلمات‌ها و بویژه وزرای امور خارجه را در بسیاری از کشورهای آفریقایی و برخی کشورهای خاورمیانه، آسیا و اروپا مورد هدف قرار داده است؛ خبری که خواب بسیاری از دیپلمات‌ها را درجهان آشفته کرده و حالا همگی منتظر خبرهای تازه این کمپانی هستند تا بدانند اطلاعات حساس کدام یک از دیپلمات‌های جهان به سرقت رفته یا احتمالاً دستکاری شده است.
یک گروه هکری و هزار راه حمله سایبری
ESET یک کمپانی امنیت اینترنت مستقر در اسلواکی است که محصولات آنتی ویروس و فایروال ارائه می‌دهد و تاکنون در زمینه کشف حملات سایبری در جهان بسیار موفق عمل کرده است.
محققان این کمپانی معتقدند گروه سایبری جدید که شرکت امنیتی ESET آن را با نام رمز BackdoorDiplomacy نامگذاری کرده است حداقل از سال 2017 تاکنون فعالیت داشته و قطعاً با پشتیبانی یک دولت خاص در حال فعالیت در جهان و گردآوری اطلاعات و ایجاد اختلال در کار دیپلمات هاست. در این گزارش هنوز به کشورهایی که مورد حمله قرار گرفته‌اند اشاره‌ای نشده است اما این احتمال می‌رود که به قربانیان اطلاع داده شده باشد و آنها نیز به‌دلیل مسائل امنیتی علاقه‌ای به فاش کردن این تهدیدات ندارند.
«آدام بورگر»، تحلیلگر ارشد تهدید اطلاعات در شرکت امنیت سایبری اسلواکی ESET، در تازه‌ترین گزارش این کمپانی گفت: تحقیقات ما نشان می‌دهد که این گروه هکری، قربانیان خود را از دیپلمات‌هایی در وزارت امور خارجه بسیاری از کشورهای آفریقایی و همچنین چند کشور اروپایی، خاورمیانه و آسیا انتخاب می‌کرده که البته بیشتر در سطح وزرای امورخارجه بوده است.
بورگر افزود: البته این بدان معنا نیست که این گروه مجرم سایبری تنها به دیپلمات‌ها بسنده می‌کنند و اطلاعات و شواهدی که در دست داریم نشان می‌دهد شرکت‌های مخابراتی و ارتباطی در آفریقا و حداقل یک سازمان خیریه در خاورمیانه از دیگر اهداف این گروه سایبری  بوده است.
این محقق کمپانی ESET گفت: گروه هکری BackdoorDiplomacy در گام نخست نقاط ضعف وسایل، سیستم‌ها و دستگاه‌های متصل به اینترنت ازجمله سرورهای وب و رابط‌های مدیریتی برای تجهیز شبکه را مورد توجه قرار می‌دهد و درواقع همین ضعف هاست که راه را برای حمله موفق این گروه هکری هموار می‌کند. شواهد نشان می‌دهد که این گروه هکری حمله‌هایی موفق به سرورهای ایمیل Microsoft Exchange، پنل‌های مدیریت میزبانی وب Plesk و دستگاه‌های F5 BIG-IP داشته‌اند.
بورگر یادآور شد: هکرها به محض آلوده کردن سیستم‌های هدف و معمولاً قبل از گسترش بدافزار مخرب مورد نظر خود، یک در پشتی را نصب می‌کنند و طیف وسیعی از ابزارها را برای انجام نظارت و سرقت اطلاعات به کار می‌گیرند. گفتنی است کمپانی ESET از این در پشتی با نام Turian یاد می‌کند. به‌دنبال ایجاد این در پشتی، یک ابزار اسکن اپن سورس(منبع باز) را بارگیری کرده و مورد استفاده قرار می‌دهند تا بتوانند در شبکه براحتی حرکت کرده و میزان آلودگی را تا حدامکان بالا ببرند.
گفتنی است این تروجان مخرب می‌تواند هم به نسخه‌های ویندوز وهم لینوکس حمله کند که خبر بسیار بدی برای قربانیان است چراکه تعداد دستگاه‌های درمعرض خطر را بالاتر می‌برد. به این ترتیب پس‌از حمله به سیستم‌ها، هکرها می‌توانند با اهداف حساس ارتباط برقرار کرده، سیستم‌های آنها را جست‌و‌جو کنند و اطلاعات مهم را پاک کرده و از بین ببرند. گرفتن عکس از صفحه و همچنین رونویسی، انتقال، حذف یا سرقت پرونده‌ها از دیگر تلاش‌های این هکرها برای ایجاد اختلال در عملکرد دستگاه‌های دیپلماتیک در آفریقا، خاورمیانه و برخی کشورهای اروپایی بوده است.
این محقق کمپانی ESET همچنین اظهار داشت که مشاهده شده است BackdoorDiplomacy برای وسعت بخشیدن به فعالیت‌های جاسوسی سایبری خود، نه تنها کامپیوترها و سرورها که حتی وسایل جانبی قابل جابه‌جایی ازجمله درایوهای USB را نیز آلوده می‌کنند تا به محض اتصال این یو اس بی‌ها به سیستم‌های مختلف بلافاصله بدافزار مخرب در شبکه گسترش یابد و به موفقیت عملیات هک و حمله سایبری کمک شایان توجهی کند. در واقع این بدافزار درایوهای فلش را اسکن کرده و سعی می‌کند همه پرونده‌هایی که از آنها در بایگانی‌های محافظت شده با رمزعبور نگهداری می‌شود را کپی کرده و سپس اطلاعات را ازطریق در پشتی به مرکز کنترل (C2) منتقل کند.
انگشت اتهام به سوی چین
 هرچند کمپانی ESET این گروه هکری جدید را به‌طور رسمی به یک کشور خاص مربوط ندانست و آن را   تشکیل یافته از چندین گروه آسیایی توصیف کرد ولی برخی محققان، BackdoorDiplomacy را مرتبط با چین می‌دانند. اما چرا نگاه‌ها به سمت چین رفته است؟ برخی این حملات را به چندین عامل تهدید مستقر در چین متصل می‌کنند و احتمال می‌دهند که این گروه ممکن است حداقل با یکی از آنها یکسان یا در ارتباط باشد. تصور می‌شود درپشتی Turian، براساس Backdoor Quarian یعنی بدافزار مرتبط با حملات سال 2013علیه اهداف دیپلماتیک در سوریه و ایالات متحده، به وجود آمده است.
 این حمله هکری جدید شباهت‌هایی نیز با هک فورتنایت در سال 2017 و Intezer در 2018 و همچنین یک عملیات هک چینی علیه وزارت امور خارجه ایالات متحده دارد و برخی محققان نیز معتقدند که این گروه هکری از روش رمزگذاری مشابه درب پشتی Dr.Web استفاده می‌کنند که مؤسسات دولتی در قزاقستان و قرقیزستان را از سال 2017 تا 2020 مورد حمله قرار داد. البته گفتنی است که چین هنوز واکنشی نسبت به این موضوع نشان نداده و طبعاً مسئولیت این حملات را به عهده نگرفته است.
بیشترین قربانی در آفریقا
طبق گزارش کمپانی ESET، در حمله سایبری BackdoorDiplomacy بیشترین تعداد قربانی‌ها به آفریقا بازمی‌گردد و دقیقاً این کشورهای آفریقایی هستند که بیش از همه، بر دست داشتن چین در این حملات سایبری تأکید دارند. در اوایل سال‌ جاری میلادی مرکز مطالعات استراتژیک آفریقا در گزارشی عنوان کرده بود که بیشترین نگرانی‌ها در مورد جاسوسی سایبری در آفریقا با چین مرتبط است چراکه حدود 80 درصد همه زیرساخت‌های شبکه‌های ارتباطی این قاره و همچنین شبکه‌های دولتی بیش از 20 کشور آفریقایی توسط چین راه‌اندازی شده است و همین موضوع نشان می‌دهد که چقدر دست این کشور برای نفوذ در زیرساخت‌های آفریقا باز است.
این نخستین بار نیست که کشورهای آفریقایی به‌طور گسترده مورد حمله سایبری قرار می‌گیرند و در سال 2018 نیز در گزارشی عنوان شد که همه محتوای سرورها در مقرهای اتحادیه آفریقا(AU) به‌طور مداوم به شانگهای انتقال می‌یابد و وقتی مهندسان آفریقایی برای جایگزینی سرورها اقدام کردند این بار جاسوسی چین ازطریق دوربین‌های نظارتی صورت گرفت.
پیش از این نیز بدافزار خطرناک Pegasus به طور همزمان 11 کشور آفریقایی را مورد حمله قرار داده بود که درنهایت مشخص شد هکرها هم از داخل وهم خارج از آفریقا در این کار دخیل هستند و با انتقال اطلاعات در ساعات عادی کاری به چین، مسیرهای خود را پنهان می‌کنند. در آفریقا حمله به زیرساخت‌های حیاتی به امری متداول تبدیل شده و بانک‌ها تاکنون میلیاردها دلار درنتیجه خرابکاری در سیستم‌ها از دست داده‌اند. حال باید منتظر ماند و دید در گزارش‌های بعدی کمپانیESET نام چه کشورهایی در میان قربانیان قرار می‌گیرد.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.