close button
آیا می‌خواهید به نسخه سبک ایران‌وایر بروید؟
به نظر می‌رسد برای بارگذاری محتوای این صفحه مشکل دارید. برای رفع آن به نسخه سبک ایران‌وایر بروید.
تغییر سایت‌ها
بلاگ

کشف ردپای هکرهای تازه‌کار ایرانی پشت حملات یک باج​‌افزار معروف

۵ شهریور ۱۳۹۹
امنیت دیجیتال با احمد باطبی
خواندن در ۵ دقیقه
تحقیقات شرکت امنیتی Group-IB نشان می‌​دهد که گروهی از هکر​های مبتدی ایرانی، مدیریت برخی حملات سایبری، با استفاده از باج​‌افزار Dharma را بر عهده دارند.
تحقیقات شرکت امنیتی Group-IB نشان می‌​دهد که گروهی از هکر​های مبتدی ایرانی، مدیریت برخی حملات سایبری، با استفاده از باج​‌افزار Dharma را بر عهده دارند.

احمد باطبی

تحقیقات شرکت امنیتی Group-IB نشان می‌​دهد که گروهی از هکر​های مبتدی ایرانی، مدیریت برخی حملات سایبری، با استفاده از باج​‌افزار Dharma را بر عهده دارند.

بنا بر این گزارش که بیست‌و‌چهام ماه آگوست ۲۰۲۰ انتشار یافته است، هکرهای تازه​‌کار ایرانی با انگیزه‌​های مالی شرکتهای مختلفی در روسیه، چین، هند و ژاپن را هدف قرار داده‌اند.

محققان شرکت امنیتی Group-IB از جمله دلایل آماتور بودن این هکرها را، استفاده آن‌ها از ابزار​های مجانی موجود در اینترنت، یا بدافزارهای متن‌باز ارائه‌شده در مخزن GitHub و یا بدافزارهای بارگرفته از منابعی همچون تاگرام اعلام کرده‌اند. در بخشی از این گزارش آمده است که بررسی برخی نرم‌افزارهای مورد استفاده هکرها، مانند Defender Control و Uninstaller نشان می‌​دهد که مهاجمان آن‌ها را از یک سایت اشتراک‌​گذاری ایرانی و یک کانال تلگرام ایرانی دانلود کرده و حتی در ردپای به‌جامانده از این دانلود​ها، عبارت فارسی «دانلود نرم‌افزار» به چشم می‌​خورد. به اعتقاد این محققان، هکرهای گرداننده این حملات، هنوز به حدی از توانمندی مالی نرسیده‌اند که قادر باشند از بدافزارهای تجاری و پولی استفاده کنند.

هکرهای مذکور در اخاذی‌​های اینترنتی خود، مبلغی بین ۱۱۷۰۰ تا پنجاه‌ونه‌هزار دلار (به پول اینترنتی، بیت‌​کوین 1-5 BTC) از قربانیان خود طلب می‌​کردند که در میانگین اخاذی​‌های اینترنتی معمول در جهان، رقمی پایین محسوب می‌​شود. روش آن‌ها به این صورت بود که ابتدا با اسکنر متن‌باز Masscan و یا Advanced Port Scanner اقدام به جستجوی آی‌پی‌​های قربانیان می‌کردند تا از فعال بودن پروتکل (Remote Desktop Protocol (RDP مطمئن شوند. این پروتکل از جمله پروتکل‌​های شرکت مایکروسافت است که از طریق آن می‌​توان با یک رابط گرافیکی به کامپیوتر دیگری از راه دور متصل شد. این روش، پیش‌تر از سوی مجرمان سایبری دیگر، همچون Fxmsp، فروشنده بدنام اطلاعات و امکانات دسترسی غیرقانونی به شبکه شرکت‌​ها مورد استفاده قرار می‌​گرفت. سپس هکر​ها از طریق نرم‌​افزار NLBrute که لیستی از واژه‌​های عبور مخصوص (RDP) را آزمایش می​‌کند، اقدام به کشف آسیب​‌پذیری‌​های ممکن از شبکه ​قربانی می‌​کردند. از جمله آسیب​‌پذیری‌​های مورد استفاده آن‌ها، آسیب​‌پذیری قدیمی CVE-2017-0213 بود که به آن‌ها امکان می‌​داد حمله خود را بر روی ویندوز نسخه ۷ تا ۱۰عملی کنند. در این نوع از حملات مبتنی بر اخاذی با باج‌​افزار Dharma، مهاجمان برای نصب اسکریپت‌​ها و دیگر ملزومات خود به PowerShell متکی هستند. اسکریپت اصلی پس از نصب، خود را به عنوان یک جعبه ابزار معرفی و قفل کردن سیستم قربانی را از طریق رمزنگاری اطلاعات با پیامی مانند «خوش بگذره داداش!» آغاز می‌​کند.

باج‌​افزار Dharma از سال ۲۰۱۶ به صورت (Ransomware-as-a-service (RaaS در اختیار مجرمان متقاضی این بد​افزار قرار می​‌گرفت، اما از خرداد ماه سال جاری، کدهای این باج‌​افزار در بازار سیاه اینترنتی در معرض فروش قرار گرفته و به همین دلیل، هکر​های غیرحرفه‌​ای و یا دارای مهارت‌​های پایین را نیز به ​خود علاقه​‌مند کرده است. از این رو، به‌کارگیری باج‌​افزار Dharma در مباحث تحلیلی در دسته‌​بندی اقدامات غیرحرفه‌​ای قرار می‌​گیرد. تحلیل​‌های آماری نشان می​‌دهد که از سال ۲۰۱۶ به این سو، تقریبا ۸۵ درصد حملات اینترنتی صورت‌گرفته با باج‌​افزارها، از طریق Dharma انجام شده است.

کشف ردپای هکرهای تازه‌کار ایرانی پشت حملات یک باج​‌افزار معروف

تصویری از صفحه اول نسخه Bip باج​‌افزار Dharma. تصویر از وب‌سایت Bleeping Computer

باج​‌ا‌فزار Dharma توسط مجرمان مختلف در سراسر جهان توسعه یافته و نسخ متفاوتی از آن، چه در بخش نفوذ و راه‌​اندازی بدافزار و چه در حوزه تصاحب اطلاعات قربانی و رمزنگاری آن تولید شده است. به عنوان مثال، در تصویر زیر، نسخه Bip باج​‌افزار Dharma پس از نصب بر روی کامپیوتر قربانی اقدام به اسکن و رمزنگاری اطلاعات موجود کرده است.

کشف ردپای هکرهای تازه‌کار ایرانی پشت حملات یک باج​‌افزار معروف

تصویری از فایل‌​های رمزنگاری‌شده توسط باج‌​افزار Dharma. تصویر از وب‌سایت Bleeping Computer

در این شیوه از رمزنگاری، باج‌افزار فایل​‌های تصاحب‌شده را به عنوان مثال از test.jpg به فرمت مخصوص خود، یعنی test.jpg.id-BCBEF350.[[email protected]].bip رمزنگاری کرده و حتی درایو​های موجود در نقشه​ هارد کامپیوتر را نیز قفل می‌​کند.

کشف ردپای هکرهای تازه‌کار ایرانی پشت حملات یک باج​‌افزار معروف

تصویری از یادداشت ایجادشده توسط باج​‌افزار Dharma. تصویر از وب‌سایت Bleeping Computer

باج‌​افزار همچنین یادداشتی در پوشه‌​ای به نام Info.hta ایجاد می‌​کند که هنگام گشودن ویندوز توسط کاربر با یک autorun ظاهر می‌شود و به کاربر می‌​گوید که برای پس ​گرفتن اطلاعات رمزنگاری‌شده، از چه طریق باید با مجرمان تماس بگیرد. باج‌افزار در طول این مدت به طور خودکار پیکربندی را توسعه می‌دهد و هر نوع اطلاعات دیگری که به سیستم افزوده شود، رمزنگاری می​‌شود. در صورت رسیدن به این مرحله، هیچ راهی به جز پرداخت باج درخواست‌شده و یا پاک‌سازی عمیق شبکه و بازنشانی نسخه پشتیبان وجود ندارد.

«اولگ اسکولکین»، تحلیل‌گر ارشد شرکت امنیتی Group-IB، در این باره گفت که تا کنون هکرهای ایرانی به صورت سنتی به جمهوری اسلامی وابسته بوده‌اند و عموم فعالیت‌​هایشان در حوزه جاسوسی و خرابکاری، آن هم با حمایت حکومت انجام می‌​شد، اما جای تعجب دارد که این بار، هکرهای ایرانی با انگیزه‌​های مالی اقدام به حملاتی از این دست کرده و با وجود این که مجرمان از تاکتیک‌​ها و تکنیک​‌های متداول و پیش‌​پاافتاده‌​ای استفاده کرده​‌اند، عملا بسیار موفق عمل بوده‌اند. آقای اسکولکین با ارائه نقشه MITER ATT & CK زیر، به این نکته اشاره دارد که متن‌باز بودن باج‌​افزار Dharma امکانات ویژه‌ای را در اختیار مجرمان قرار می‌​دهد که همین باعث بالا رفتن کاربری این بدافزار شده است.

کشف ردپای هکرهای تازه‌کار ایرانی پشت حملات یک باج​‌افزار معروف

گرافیک نحوه عمل‌کرد هکرهای ایران از وب‌سایت شرکت امنیتی Group-IB

آخرین سابقه به‌ثبت‌رسیده و رسمی فعالیت​‌های هکر​های ایرانی در حوزه باج‌​افزار و اخاذی‌​های اینترنتی به باج​‌افزار سم‌سام SamSam ransomware در سال ۲۰۱۸ باز می​‌گردد. این باج‌​افزار قوی توسط یک گروه هکری ایرانی، و مخصوص هدف قرار دادن شرکت‌​های خصوصی و دولتی طراحی شده و ایالات متحده آمریکا یکی از اهداف اصلی آن بود. اداره حمل‌ونقل شهر کلرادو در ایالت دنور، بیمارستان ارتوپدی در ایالت نبراسکا، شرکت MedStar Health، شرکت LabCorp of Americ و چندین بیمارستان، مدرسه، شرکت و سازمان‌های دولتی در شهر نیوآرک در ایالت نیوجرسی و بندر سن​دیگو در کالیفرنیا از جمله قربانیان این باج​‌افزار ایرانی بودند. در دسامبر سال ۲۰۱۸، دادگستری ایالات متحده از ایالت نیوجرسی، بیانیهای را در خصوص گروه هکری مدیریت‌کننده باج​‌افزار سم‌سام منتشر کرد و دو تن از اعضای این گروه، به نام‌های «فرامرز شاهی ساوندی» و «محمدمهدی شاه‌منصوری»، هردو ساکن ایران را به توطئه برای ارتکاب به کلاه‌برداری با کامپیوتر و تلاش برای آسیب رساندن به سیستم‌​های محافظت‌شده متهم کرد. در بیانیه دادگستری آمریکا آمده است که گردانندگان باج‌​افزار سم‌سام در مجموع بیش از ۲۰۰ قربانی را هک و بیش از شش‌میلیون دلار اخاذی کرده‌اند. همچنین ضرر مالی که این اخاذی به کسب‌​وکار قربانیان وارد کرد، رقمی بیش از سی‌میلیون دلار است. گروه هکری گرداننده باج‌​افزار سم‌سام، اندکی پس از شناسایی این دو عضو گروه ناپدید شدند.

کارشناسان امنیتی با تاکید بر این که در دسترس بودن کدهای باج‌​افزار Dharma حتی به مهاجمان تازه‌​کار نیز فرصت حمله و حتی نفوذ می​‌دهد، توصیه می​‌کنند که برای جلوگیری از گرفتاری‌​های احتمالی، یا به کلی از پروتکل (Remote Desktop Protocol (RDP در شبکه خود صرف نظر کنند و یا در صورت نیاز به استفاده از آن، پورت پیش‌فرض پروتکل  «۳۳۸۹» را مسدود و از پورت بی‌ربط دیگری برای فعال‌​سازی RDP استفاده کنند. همچنین تنظیمات شبکه را به شکلی تغییر دهند که تلاش‌​های ناموفق مهاجمان برای ورود به سیستم به شکل خودکار مسدود شود.

ثبت نظر

استان‌وایر

حقوق، بیمه، استخدام: دلایل برگزاری ۲۵ تجمع صنفی کارگران و معلمان در...

۵ شهریور ۱۳۹۹
خواندن در ۹ دقیقه
حقوق، بیمه، استخدام: دلایل برگزاری ۲۵ تجمع صنفی کارگران و معلمان در هشت روز