احمد باطبی

تازه‌ترین گزارش امنیتی نشان می‌دهد، هکرهای وابسته جمهوری اسلامی تلاش کرده‌اند از طریق حملات نوع فیشینگ و ارسال یک فرم نظرسنجی جعلی، به سیستم‌های کامپیوتری کارکنان دولت فدرال ایالات‌متحده نفوذ کنند.

به گفته پائول لیتواک «Paul Litvak» و مایکل کجیلوتی « Michael Kajilolti»، دو کاشف این حمله‌ها در شرکت «Intezer»، گروه هکری موسوم به «APT3» با جعل فرم‌های موسسه معروف ارائه‌کننده خدمات نظرسنجی در آمریکا «Westat»، تلاش کرده‌اند تا کارکنان دولت ایالات‌متحده را تشویق به باز کردن فرم‌ها و اجرای بدافزاری کنند که به‌تازگی توسط آن‌ها بازنویسی و بهینه‌سازی‌شده است. این دو محقق در اواخر ماه ژانویه گذشته فایلی بنام «survey.xls» را کشف کردند که ظاهری شبیه یک فرم نظرسنجی داشت که با موضوع میزان رضایت‌مندی کارکنان و مشتری‌ها تهیه شده بود.

تصویر فرم موجود در فایل «survey.xls» از وبسایت شرکت «Intezer»

فرم به شکلی طراحی شده بود که با یک‌بار کلیک برای فعال کردن گزینه «Macros»، نتیجه نظرسنجی‌ها به نمایش درمی‌آمد، اما هم‌زمان کد مخرب «VBA» نیز در کامپیوتر قربانی اجرا می‌شد. ماکروها برنامه‌های جانبی هستند که زبان ویژوال‌بیسیک نوشته می‌شوند و قابلیت‌ و ویژگی‌های جدیدی را به فایل اصلی اضافه می‌کند. با اجرای این کد مخرب، پوشه‌ای موقتی گشوده می‌شود، فایل دیگری بنام «Client update.exe» از آن استخراج و در مسیر «C: Users <User> valsClient update.exe» سیستم‌عامل ویندوز نصب می‌شود. فایل «Client update.exe» درواقع نسخه به‌روزرسانی شده‌ بدافزار «TONEDEAF » است که به‌عنوان یک فریبنده مکانیزم امنیتی کامپیوتر یا «Backdoor»، به‌صورت فرمان و کنترل « Command-and-control servers» و از طریق «HTTP» و «DNS» وارد عمل می‌شود. پنج دقیقه پس از اجرای تابع «crtt» دستورالعملی برای برسی به‌روزرسانی‌های زمان‌بندی‌شده ایجاد می‌شود که دسترسی هکرها را در آن لحظه و همین‌طور برای آینده به سیستم قربانی باز می‌کند و این نحوه عملکرد، مشابه عملکردی است که پیش‌تر شرکت «FireEye» در گزارش خود از این گروه هکری منتشر کرده بود.

تصویر کدهای مخرب «VBA» از وبسایت شرکت «Intezer»

برسی‌ متادیتاهای فایل «survey.xls» نشان داده که این فایل اکسل، از نسخه دیگری با زبان پیش‌فرض عربی تهیه شده است. نتیجه بررسی‌های شرکت امنیتی «cyberx» نشان می‌دهد که این شیوه عملکرد، از سوی هکرهای وابسته به جمهوری اسلامی، در حملات مشابه به کشورهای عربی نیز استفاده شده است. از این‌رو بعید نیست که فایل «survey.xls» نیز از نسخه عربی آن ساخته شده باشد.

بدافزار بهینه‌سازی‌شده‌ «TONEDEAF» که شرکت «FireEye» از آن با عنوان بدافزار اختصاصی این گروه هکری یاد می‌کند، در نسخه جدید از امکان به‌کارگیری پوسته‌های اختصاصی بهره برده و ضمن امکان اجرای دستورهای غیرپیش‌فرض، امکانات جدیدی همچون ابزارهای کاربردی پویا، رشته‌های رمزنگاری و همچنین امکانات مختلف مرتبط با فریب قربانی را در خود جای داده است.

بدافزار «TONEDEAF» بعد از اجرا، جهت فریب قربانی مانند بسیاری از نرم‌افزارهای قانونی پیام «argument» ارسال می‌کند. در صورت کلیک قربانی جهت تماشای موافقت‌نامه، پنجره‌ای سفید از سوی برنامه‌ای بنام زنبور گشوده می‌شود که وانمود می‌کند، به دلیلی نامشخصی، متن توافق‌نامه نمایش داده نشده است. همچنین در نسخه جدید، بدافزار با پنهان کردن «API» و فایل‌های «DLL» مربوط به آن و همچنین استفاده از رمزگذاری خود را بیشتر از گذشته مخفی می‌کند.

همچنین «Backdoor» برای ارتباط فرمان و کنترل «C2 Communication» از پروتکل «HTTP»، رمزگذاری اختصاصی و ارتباط در اصطلاح دست دهی «Handshake» بهره می‌برد. بررسی‌های فنی نشان داده که بدافزار در موردی توانسته از یک گواهی‌نامه SSL استفاده کند که با دامنه مورداستفاده در ارتباط فرمان و کنترل هماهنگ بوده است. به گفته تحلیلگران شرکت «Intezer»، بعید نیست که این بدافزار از سوی هکرها درحال‌توسعه باشد تا بتواند از قابلیت «OPSEC» جهت پنهان شدن در زمان انتقالات در پروتکل «HTTPS» استفاده کنند. تحلیلگران همچنین کشف کره‌اند که در این بدافزار یک باینری 64 بیتی سارق اعتبار گواهی‌نامه‌های مرورگر، از خانواده «Win.valuevault» پیاده‌سازی شده که قبلا توسط کاربرانی از لبنان مورد استفاده قرارگرفته و شرکت «FireEye» آن را کشف و گزارش کرده بود. برسی فایل «survey.xls» نیز نشانگر بارگذاری همین «VALUEVAULT» در بدافزار «TONEDEAF» توسط کاربری در لبنان است که تنها با تفاوت زمان چند دقیقه انجام شده است. ازاین‌رو بعید نیست که این فایل توسط لبنانی‌ها آماده و در اختیار هکرهای مرتبط با جمهوری اسلامی قرار گرفته باشد.

تصویر مقایسه آثار «VALUEVAULT» از وبسایت شرکت «Intezer»

 

شرکت «Intezer» تاکید کرده تمام شواهد نشانگر این است که گروه هکری «APT3» پشت‌پرده این حمله‌ها بوده و جمهوری اسلامی نیز از آن‌ها حمایت کرده تا هویت آن‌ها را مخفی نگه دارد.

بسیاری گروه هکری ایرانی «APT3»، با عمر تقریبی شش‌ساله، به دلیل شباهت فراوان روش‌ها و عملکردش با گروه‌های «OilRig» و «Helix Kitten» مرتبط و حتی یک گروه می‌دانند. «APT3» ابتدا در سال ۲۰۱۴ توسط شرکت امنیتی «FireEye» شناسایی و سپس مورد رصد قرار گرفت. به گفته این شرکت، اهداف این گروه هکری زیرساخت‌های مراکز دولتی و غیردولتی در خاورمیانه و دیگر کشورهاست که ممکن است علیه ایران دست به اقدامی بزنند. مراکز انرژی، شیمیایی، ارتباطی ازجمله آن‌هاست، اما اهداف این گروه صرفا محدود به این موارد نیست.

تصویر سابقه حمله‌های «APT3» از وبسایت «NSFOCUS SECURITY LABS»

 

شرکت امنیتی «NSFOCUS SECURITY LABS» به‌تازگی گزارشی دقیقی از سابقه و نحوه عملکرد این گروه منتشر کرده است. همچنین مجموعه‌ای از ابزارها، سوابق تصاویر و مشخصات منتسب به اعضای این گروه، در کانال تلگرام گروه هکری لب‌دوختگان که خود را مخالف جمهوری اسلامی و افشاگر فعالیت‌های هکرهای حکومتی معرفی می‌کنند منتشرشده که از این لینک و با رمز «vJrqJeJo2n005FF*» قابل دریافت است.

 

مطالب مرتبط:

در مقابل حمله نوع «روز صفر» به اینترنت اکسپلورر در ویندوز چه باید کرد؟

{[ breaking.title ]}

{[ breaking.title ]}