حملات باج‌افزاری در کشمکش‌های سایبری ایران و آمریکا

عصر ارتباط – رزنیکا رادمهر – بر اساس ادعای برخی رسانه‌ها، گروه‌های سایبری وابسته و نزدیک به ایران، حملات باج‌افزاری علیه آمریکا را آغاز کرده‌اند. بر اساس ادعای شرکت امنیت اطلاعات Secureworks Counter Threat Unit (CTU) طی چند ماه گذشته، گروه سایبری Charming Kitten (بچه‌گربه‌های جذاب) که به ایران نسبت داده می‌شود، در فعالیت‌هایی با انگیزه مالی شرکت داشته است. همچنین تهدیدات مداوم پیشرفته (APT) که با نام‌های APT35، Magic Hound، NewsBeef، Newscaster، Phosphorus و TA453 شناخته می‌شود، به دلیل هدف قرار دادن فعالان، سازمان‌های دولتی، روزنامه‌نگاران و نهادهای مختلف، معروف است.
در نوامبر 2021، جلسه مشترک سازمان‌های دولتی در ایالات متحده، بریتانیا و استرالیا، درباره آنچه حملات تحت حمایت دولت ایران ذکر کرد، هشدار داد. بنا به ادعای آنها، این حملات، زیرساخت‌های حیاتی و سایر سازمان‌ها را با استفاده از آسیب‌پذیری‌ Fortinet FortiOS و Microsoft Exchange ProxyShell هدف قرار می‌دهد. در گزارش دسامبر 2021، مایکروسافت مدعی شد گروه هکری Charming Kitten، علاقه زیادی به استفاده از آسیب‌پذیری Log4j دارد و تمایل خود را برای استفاده از این آسیب در حملات جدید نشان می‌دهد. در ژانویه 2022، حملات APT که به تهدیدات مداوم پیشرفته معروف است، با استفاده از درب پشتی (Backdoor) جدید PowerShell مشاهده شد. (گفتنی است پاورشل از موتورهای خودکار با عملکرد پیچیده و قدرتمند است که به مدیریت و راندمان بهتر شبکه‌های کامپیوتری کمک می‌کند.)
شرکت امنیت اطلاعات CTU که یک گروه سایبری با نام Cobalt Mirage (کبالت میراژ) را ردیابی می‌کند، مدعی شد این گروه به حملات مالی با انگیزه باج‌افزار روی آورده است. محققان خاطرنشان می‌کنند در ژانویه 2022، عامل تهدید از دسترسی ایجادشده قبلی، برای نفوذ به شبکه سازمان بشردوستانه در ایالات متحده استفاده کرده است؛ جایی که آنها یک پوسته وب را مستقر کردند که بعدا برای حذف پرونده‌های اضافی مورد استفاده قرار گرفت. یکی از این فایل‌ها که Dllhost.exe نام دارد، باینری Go است که به نظر می‌رسد تا حدی بر اساس کد پروکسی معکوس سریع (FRP) موجود در GitHub است.
فایل Dllhost.exe هنگامی که روی یک سرور Exchange در معرض خطر اجرا می‌شود، اطلاعات سیستم را جمع‌آوری و یک تونل ارتباطی با سرور فرمان و کنترل (C&C) ایجاد می‌کند. در مرحله بعد، مهاجمان یک سرویس سرور امنیتی محلی (LSASS) را برای جست‌وجوی اعتبار کاربر انجام دادند. سه روز بعد، آنها از پروتکل دسک‌تاپ از راه دور (RDP) برای ورود به سرور Exchange استفاده کردند که احتمالا یک عملیات دست روی صفحه کلید بود.
بر اساس گزارش شرکت امنیت اطلاعات Secureworksعامل تهدید، پس از برشمردن محیط، به‌صورت جانبی حرکت و سپس سه ایستگاه کاری کاربر را با BitLocker رمزگذاری کرد و آنها را برای کارکنان سازمان، در معرض خطر غیر قابل ‌دسترسی قرار داد. مهاجمان سپس یک یادداشت باج به یک چاپگر محلی ارسال کردند و به قربانی دستور دادند از طریق ایمیل یا تلگرام برای دریافت اطلاعات رمزگشایی و بازیابی با آن، تماس برقرار کند. «این رویکرد، یک عملیات کوچک را پیشنهاد می‌کند که بر فرایندهای دستی برای نگاشت قربانیان به کلیدهای رمزگذاری مورد استفاده به منظور قفل کردن داده‌های‌شان متکی است. تا زمان انتشار این موضوع، محققان CTU از محل نشت گروه کبالت میراژ اطلاعی ندارند. شناسایی قربانیان حملات گروه کبالت میراژ نشان می‌دهد این عوامل تهدید، بر سود مالی متمرکز شده‌اند. بر این اساس، در مارس 2022، مشاهده شد همان عامل تهدید، شبکه یک دولت محلی ایالات متحده را به خطر انداخته بود اما هیچ باج‌افزاری مستقر نشد. در مقابل، این گروه بر جمع‌آوری داده‌ها و استخراج آن با استفاده از خدمات آنلاین رایگان، متمرکز شد. پس از شناسایی و مختل شدن نفوذ مارس 2022، هیچ فعالیت مخرب دیگری مشاهده نشد.
محققان CTU به‌طور مستقیم حملات باج‌افزار مرتبط با فعالیت را مشاهده نکردند اما شواهدی وجود دارد که این عوامل تهدید، ممکن است در حال آزمایش باج‌افزار باشند. محققان امنیتی معتقدند در حالی که این گروه، موفق شده اهداف زیادی را در سراسر جهان به خطر بیندازد، توانایی آنها برای سرمایه‌گذاری در خصوص این دسترسی، در جهت منافع مالی یا جمع‌آوری اطلاعات، محدود است. با این حال، بر اساس نتایج حاصل‌شده توسط شرکت امنیت اطلاعات Secureworksاستفاده از ابزارهای در دسترس عموم برای عملیات باج‌افزار نشان می‌دهد این گروه، همچنان یک تهدید مداوم است.


Comments are closed, but trackbacks and pingbacks are open.