عصر ارتباط – رزنیکا رادمهر – بر اساس ادعای برخی رسانهها، گروههای سایبری وابسته و نزدیک به ایران، حملات باجافزاری علیه آمریکا را آغاز کردهاند. بر اساس ادعای شرکت امنیت اطلاعات Secureworks Counter Threat Unit (CTU) طی چند ماه گذشته، گروه سایبری Charming Kitten (بچهگربههای جذاب) که به ایران نسبت داده میشود، در فعالیتهایی با انگیزه مالی شرکت داشته است. همچنین تهدیدات مداوم پیشرفته (APT) که با نامهای APT35، Magic Hound، NewsBeef، Newscaster، Phosphorus و TA453 شناخته میشود، به دلیل هدف قرار دادن فعالان، سازمانهای دولتی، روزنامهنگاران و نهادهای مختلف، معروف است.
در نوامبر 2021، جلسه مشترک سازمانهای دولتی در ایالات متحده، بریتانیا و استرالیا، درباره آنچه حملات تحت حمایت دولت ایران ذکر کرد، هشدار داد. بنا به ادعای آنها، این حملات، زیرساختهای حیاتی و سایر سازمانها را با استفاده از آسیبپذیری Fortinet FortiOS و Microsoft Exchange ProxyShell هدف قرار میدهد. در گزارش دسامبر 2021، مایکروسافت مدعی شد گروه هکری Charming Kitten، علاقه زیادی به استفاده از آسیبپذیری Log4j دارد و تمایل خود را برای استفاده از این آسیب در حملات جدید نشان میدهد. در ژانویه 2022، حملات APT که به تهدیدات مداوم پیشرفته معروف است، با استفاده از درب پشتی (Backdoor) جدید PowerShell مشاهده شد. (گفتنی است پاورشل از موتورهای خودکار با عملکرد پیچیده و قدرتمند است که به مدیریت و راندمان بهتر شبکههای کامپیوتری کمک میکند.)
شرکت امنیت اطلاعات CTU که یک گروه سایبری با نام Cobalt Mirage (کبالت میراژ) را ردیابی میکند، مدعی شد این گروه به حملات مالی با انگیزه باجافزار روی آورده است. محققان خاطرنشان میکنند در ژانویه 2022، عامل تهدید از دسترسی ایجادشده قبلی، برای نفوذ به شبکه سازمان بشردوستانه در ایالات متحده استفاده کرده است؛ جایی که آنها یک پوسته وب را مستقر کردند که بعدا برای حذف پروندههای اضافی مورد استفاده قرار گرفت. یکی از این فایلها که Dllhost.exe نام دارد، باینری Go است که به نظر میرسد تا حدی بر اساس کد پروکسی معکوس سریع (FRP) موجود در GitHub است.
فایل Dllhost.exe هنگامی که روی یک سرور Exchange در معرض خطر اجرا میشود، اطلاعات سیستم را جمعآوری و یک تونل ارتباطی با سرور فرمان و کنترل (C&C) ایجاد میکند. در مرحله بعد، مهاجمان یک سرویس سرور امنیتی محلی (LSASS) را برای جستوجوی اعتبار کاربر انجام دادند. سه روز بعد، آنها از پروتکل دسکتاپ از راه دور (RDP) برای ورود به سرور Exchange استفاده کردند که احتمالا یک عملیات دست روی صفحه کلید بود.
بر اساس گزارش شرکت امنیت اطلاعات Secureworksعامل تهدید، پس از برشمردن محیط، بهصورت جانبی حرکت و سپس سه ایستگاه کاری کاربر را با BitLocker رمزگذاری کرد و آنها را برای کارکنان سازمان، در معرض خطر غیر قابل دسترسی قرار داد. مهاجمان سپس یک یادداشت باج به یک چاپگر محلی ارسال کردند و به قربانی دستور دادند از طریق ایمیل یا تلگرام برای دریافت اطلاعات رمزگشایی و بازیابی با آن، تماس برقرار کند. «این رویکرد، یک عملیات کوچک را پیشنهاد میکند که بر فرایندهای دستی برای نگاشت قربانیان به کلیدهای رمزگذاری مورد استفاده به منظور قفل کردن دادههایشان متکی است. تا زمان انتشار این موضوع، محققان CTU از محل نشت گروه کبالت میراژ اطلاعی ندارند. شناسایی قربانیان حملات گروه کبالت میراژ نشان میدهد این عوامل تهدید، بر سود مالی متمرکز شدهاند. بر این اساس، در مارس 2022، مشاهده شد همان عامل تهدید، شبکه یک دولت محلی ایالات متحده را به خطر انداخته بود اما هیچ باجافزاری مستقر نشد. در مقابل، این گروه بر جمعآوری دادهها و استخراج آن با استفاده از خدمات آنلاین رایگان، متمرکز شد. پس از شناسایی و مختل شدن نفوذ مارس 2022، هیچ فعالیت مخرب دیگری مشاهده نشد.
محققان CTU بهطور مستقیم حملات باجافزار مرتبط با فعالیت را مشاهده نکردند اما شواهدی وجود دارد که این عوامل تهدید، ممکن است در حال آزمایش باجافزار باشند. محققان امنیتی معتقدند در حالی که این گروه، موفق شده اهداف زیادی را در سراسر جهان به خطر بیندازد، توانایی آنها برای سرمایهگذاری در خصوص این دسترسی، در جهت منافع مالی یا جمعآوری اطلاعات، محدود است. با این حال، بر اساس نتایج حاصلشده توسط شرکت امنیت اطلاعات Secureworksاستفاده از ابزارهای در دسترس عموم برای عملیات باجافزار نشان میدهد این گروه، همچنان یک تهدید مداوم است.
