کشف ردپای هکرهای تازه‌کار ایرانی پشت حملات یک باج​‌افزار معروف

احمد باطبی

تحقیقات شرکت امنیتی Group-IB نشان می‌​دهد که گروهی از هکر​های مبتدی ایرانی، مدیریت برخی حملات سایبری، با استفاده از باج​‌افزار Dharma را بر عهده دارند.

بنا بر این گزارش که بیست‌و‌چهام ماه آگوست ۲۰۲۰ انتشار یافته است، هکرهای تازه​‌کار ایرانی با انگیزه‌​های مالی شرکت‌​های مختلفی در روسیه، چین، هند و ژاپن را هدف قرار داده‌اند.

محققان شرکت امنیتی Group-IB از جمله دلایل آماتور بودن این هکرها را، استفاده آن‌ها از ابزار​های مجانی موجود در اینترنت، یا بدافزارهای متن‌باز ارائه‌شده در مخزن GitHub و یا بدافزارهای بارگرفته از منابعی همچون تاگرام اعلام کرده‌اند. در بخشی از این گزارش آمده است که بررسی برخی نرم‌افزارهای مورد استفاده هکرها، مانند Defender Control و Uninstaller نشان می‌​دهد که مهاجمان آن‌ها را از یک سایت اشتراک‌​گذاری ایرانی و یک کانال تلگرام ایرانی دانلود کرده و حتی در ردپای به‌جامانده از این دانلود​ها، عبارت فارسی «دانلود نرم‌افزار» به چشم می‌​خورد. به اعتقاد این محققان، هکرهای گرداننده این حملات، هنوز به حدی از توانمندی مالی نرسیده‌اند که قادر باشند از بدافزارهای تجاری و پولی استفاده کنند.

هکرهای مذکور در اخاذی‌​های اینترنتی خود، مبلغی بین ۱۱۷۰۰ تا پنجاه‌ونه‌هزار دلار (به پول اینترنتی، بیت‌​کوین 1-5 BTC) از قربانیان خود طلب می‌​کردند که در میانگین اخاذی​‌های اینترنتی معمول در جهان، رقمی پایین محسوب می‌​شود. روش آن‌ها به این صورت بود که ابتدا با اسکنر متن‌باز Masscan و یا Advanced Port Scanner اقدام به جستجوی آی‌پی‌​های قربانیان می‌کردند تا از فعال بودن پروتکل (Remote Desktop Protocol (RDP مطمئن شوند. این پروتکل از جمله پروتکل‌​های شرکت مایکروسافت است که از طریق آن می‌​توان با یک رابط گرافیکی به کامپیوتر دیگری از راه دور متصل شد. این روش، پیش‌تر از سوی مجرمان سایبری دیگر، همچون Fxmsp، فروشنده بدنام اطلاعات و امکانات دسترسی غیرقانونی به شبکه شرکت‌​ها مورد استفاده قرار می‌​گرفت. سپس هکر​ها از طریق نرم‌​افزار NLBrute که لیستی از واژه‌​های عبور مخصوص (RDP) را آزمایش می​‌کند، اقدام به کشف آسیب​‌پذیری‌​های ممکن از شبکه ​قربانی می‌​کردند. از جمله آسیب​‌پذیری‌​های مورد استفاده آن‌ها، آسیب​‌پذیری قدیمی CVE-2017-0213 بود که به آن‌ها امکان می‌​داد حمله خود را بر روی ویندوز نسخه ۷ تا ۱۰عملی کنند. در این نوع از حملات مبتنی بر اخاذی با باج‌​افزار Dharma، مهاجمان برای نصب اسکریپت‌​ها و دیگر ملزومات خود به PowerShell متکی هستند. اسکریپت اصلی پس از نصب، خود را به عنوان یک جعبه ابزار معرفی و قفل کردن سیستم قربانی را از طریق رمزنگاری اطلاعات با پیامی مانند «خوش بگذره داداش!» آغاز می‌​کند.

باج‌​افزار Dharma از سال ۲۰۱۶ به صورت (Ransomware-as-a-service (RaaS در اختیار مجرمان متقاضی این بد​افزار قرار می​‌گرفت، اما از خرداد ماه سال جاری، کدهای این باج‌​افزار در بازار سیاه اینترنتی در معرض فروش قرار گرفته و به همین دلیل، هکر​های غیرحرفه‌​ای و یا دارای مهارت‌​های پایین را نیز به ​خود علاقه​‌مند کرده است. از این رو، به‌کارگیری باج‌​افزار Dharma در مباحث تحلیلی در دسته‌​بندی اقدامات غیرحرفه‌​ای قرار می‌​گیرد. تحلیل​‌های آماری نشان می​‌دهد که از سال ۲۰۱۶ به این سو، تقریبا ۸۵ درصد حملات اینترنتی صورت‌گرفته با باج‌​افزارها، از طریق Dharma انجام شده است.

تصویری از صفحه اول نسخه Bip باج​‌افزار Dharma. تصویر از وب‌سایت Bleeping Computer

باج​‌ا‌فزار Dharma توسط مجرمان مختلف در سراسر جهان توسعه یافته و نسخ متفاوتی از آن، چه در بخش نفوذ و راه‌​اندازی بدافزار و چه در حوزه تصاحب اطلاعات قربانی و رمزنگاری آن تولید شده است. به عنوان مثال، در تصویر زیر، نسخه Bip باج​‌افزار Dharma پس از نصب بر روی کامپیوتر قربانی اقدام به اسکن و رمزنگاری اطلاعات موجود کرده است.

تصویری از فایل‌​های رمزنگاری‌شده توسط باج‌​افزار Dharma. تصویر از وب‌سایت Bleeping Computer

در این شیوه از رمزنگاری، باج‌افزار فایل​‌های تصاحب‌شده را به عنوان مثال از test.jpg به فرمت مخصوص خود، یعنی test.jpg.id-BCBEF350.[[email protected]].bip رمزنگاری کرده و حتی درایو​های موجود در نقشه​ هارد کامپیوتر را نیز قفل می‌​کند.

تصویری از یادداشت ایجادشده توسط باج​‌افزار Dharma. تصویر از وب‌سایت Bleeping Computer

باج‌​افزار همچنین یادداشتی در پوشه‌​ای به نام Info.hta ایجاد می‌​کند که هنگام گشودن ویندوز توسط کاربر با یک autorun ظاهر می‌شود و به کاربر می‌​گوید که برای پس ​گرفتن اطلاعات رمزنگاری‌شده، از چه طریق باید با مجرمان تماس بگیرد. باج‌افزار در طول این مدت به طور خودکار پیکربندی را توسعه می‌دهد و هر نوع اطلاعات دیگری که به سیستم افزوده شود، رمزنگاری می​‌شود. در صورت رسیدن به این مرحله، هیچ راهی به جز پرداخت باج درخواست‌شده و یا پاک‌سازی عمیق شبکه و بازنشانی نسخه پشتیبان وجود ندارد.

«اولگ اسکولکین»، تحلیل‌گر ارشد شرکت امنیتی Group-IB، در این باره گفت که تا کنون هکرهای ایرانی به صورت سنتی به جمهوری اسلامی وابسته بوده‌اند و عموم فعالیت‌​هایشان در حوزه جاسوسی و خرابکاری، آن هم با حمایت حکومت انجام می‌​شد، اما جای تعجب دارد که این بار، هکرهای ایرانی با انگیزه‌​های مالی اقدام به حملاتی از این دست کرده و با وجود این که مجرمان از تاکتیک‌​ها و تکنیک​‌های متداول و پیش‌​پاافتاده‌​ای استفاده کرده​‌اند، عملا بسیار موفق عمل بوده‌اند. آقای اسکولکین با ارائه نقشه MITER ATT & CK زیر، به این نکته اشاره دارد که متن‌باز بودن باج‌​افزار Dharma امکانات ویژه‌ای را در اختیار مجرمان قرار می‌​دهد که همین باعث بالا رفتن کاربری این بدافزار شده است.

گرافیک نحوه عمل‌کرد هکرهای ایران از وب‌سایت شرکت امنیتی Group-IB

آخرین سابقه به‌ثبت‌رسیده و رسمی فعالیت​‌های هکر​های ایرانی در حوزه باج‌​افزار و اخاذی‌​های اینترنتی به باج​‌افزار سم‌سام SamSam ransomware در سال ۲۰۱۸ باز می​‌گردد. این باج‌​افزار قوی توسط یک گروه هکری ایرانی، و مخصوص هدف قرار دادن شرکت‌​های خصوصی و دولتی طراحی شده و ایالات متحده آمریکا یکی از اهداف اصلی آن بود. اداره حمل‌ونقل شهر کلرادو در ایالت دنور، بیمارستان ارتوپدی در ایالت نبراسکا، شرکت MedStar Health، شرکت LabCorp of Americ و چندین بیمارستان، مدرسه، شرکت و سازمان‌های دولتی در شهر نیوآرک در ایالت نیوجرسی و بندر سن​دیگو در کالیفرنیا از جمله قربانیان این باج​‌افزار ایرانی بودند. در دسامبر سال ۲۰۱۸، دادگستری ایالات متحده از ایالت نیوجرسی، بیانیه‌​ای را در خصوص گروه هکری مدیریت‌کننده باج​‌افزار سم‌سام منتشر کرد و دو تن از اعضای این گروه، به نام‌های «فرامرز شاهی ساوندی» و «محمدمهدی شاه‌منصوری»، هردو ساکن ایران را به توطئه برای ارتکاب به کلاه‌برداری با کامپیوتر و تلاش برای آسیب رساندن به سیستم‌​های محافظت‌شده متهم کرد. در بیانیه دادگستری آمریکا آمده است که گردانندگان باج‌​افزار سم‌سام در مجموع بیش از ۲۰۰ قربانی را هک و بیش از شش‌میلیون دلار اخاذی کرده‌اند. همچنین ضرر مالی که این اخاذی به کسب‌​وکار قربانیان وارد کرد، رقمی بیش از سی‌میلیون دلار است. گروه هکری گرداننده باج‌​افزار سم‌سام، اندکی پس از شناسایی این دو عضو گروه ناپدید شدند.

کارشناسان امنیتی با تاکید بر این که در دسترس بودن کدهای باج‌​افزار Dharma حتی به مهاجمان تازه‌​کار نیز فرصت حمله و حتی نفوذ می​‌دهد، توصیه می​‌کنند که برای جلوگیری از گرفتاری‌​های احتمالی، یا به کلی از پروتکل (Remote Desktop Protocol (RDP در شبکه خود صرف نظر کنند و یا در صورت نیاز به استفاده از آن، پورت پیش‌فرض پروتکل  «۳۳۸۹» را مسدود و از پورت بی‌ربط دیگری برای فعال‌​سازی RDP استفاده کنند. همچنین تنظیمات شبکه را به شکلی تغییر دهند که تلاش‌​های ناموفق مهاجمان برای ورود به سیستم به شکل خودکار مسدود شود.