حمله باج‌افزاری هکرهای ایرانی به شرکت‌های اسرائیلی و ایتالیایی

احمد باطبی

تحقیقات منابع مختلف فعال در عرصه امنیت سایبری نشان می‌دهند که بازیگران پشت پرده حملات سایبری اخیر به شرکت‌هایی در اسرائیل و ایتالیا، هکرهای ایرانی هستند.

این حملات که با استفاده از باج‌افزار«Pay2key» انجام شده، به طور مشخص از روزهای آغازین ماه اکتبر امسال اوج گرفته است. در برخی از موارد، مهاجمان در باج‌گیری مجازی موفق شده و از قربانیان تقاضای مبالغ هنگفتی کرده‌اند.

شرکت امریکایی-اسرائیلی «چک پوینت» (Checkpoint)، از جمله شرکت‌های مطرح فعال در حوزه امنیت سایبری، روز پنج‌شنبه ۱۲ نوامبر۲۰۲۰ گزارش تحقیقی مفصلی را از این حملات منتشر و اعلام کرده است بیشتر شرکت‌های هدف قرار گفته شده پرداخت باج به مجرمان اینترنتی را به مقابله با آن‌ها ترجیح می‌دهند؛ چراکه جلوگیری از آسیب‌ از دست دادن اطلاعات حساس، اولویت این شرکت‌ها است.

شرکت چک پوینت ششم نوامبر نیز گزارشی را در خصوص حملات باج‌افزاری pay2key به شرکت‌های اسرائیلی و شرکت «سواسکن» (Swascan) در نهم نوامبر گزارش دیگری را از حملات این باج‌افزار به شرکت‌های اروپایی منتشر کرده بود. بنابر گزارش چک پوینت، باج‌گیران اینترنتی بین ۱۱۰ هزار تا ۱۴۰ هزار دلار «بیت کوین» یا پول اینترنتی از قربانیان درخواست کرده‌اند.

تصویری از پیام باج‌افزاری «pay2key» به قربانی

شرکت چک پوینت، pay2key را یک باج‌افزار جدید توصیف کرده است که حتی برای مخفی کردن عملکرد خود، از «پَکِر» (Packer) استفاده نمی‌کند. به همین دلیل، در بین آنتی ویروس‌های موجود، تنها «ویروس‌توتال» (VirusTotal) آن را شناخته و به عنوان یک بدافزار تشخیص داده است. بازبینی کد‌های pay2key مشخص کرد که نگارش‌های انجام شده به زبان انگلیسی در دل باج‌افزار دارای اشتباهاتی است و می‌تواند به این دلیل باشد که نویسنده‌ها و توسعه‌دهنده‌های این باج‌افزار، انگلیسی زبان نیستند.

این شرکت گفته است هکرها به احتمال زیاد در مرحله آلوده‌سازی سیستم‌های قربانی از «پروتکل اتصال کنسولی رایانه»‌ ( Remote Desktop Protocol (RDP)) استفاده می‌کنند که به مهاجمان اجازه می‌دهد صفحه نمایش رایانه‌ قربانی را دیده و در کنترل خود بگیرند. اجرای باج‌افزار نیز از طریق «psexec.exe» انجام می‌شود.

«PsExec» یکی از ابزارهای خط فرمان مجموعه «pstools Sysinternals» سیستم‌عامل «ویندوز» است که سال‌ها پیش توسط «مارک روسینوویچ» طراحی شده است. اگرچه امروزه از گزینه‌های دیگری مانند «PowerShell Remoting» و یا « Invoke-Command PowerShell cmdlet» برای استفاده از خط فرمان ویندوز استفاده می‌شود اما PsExec کماکان در دسترس است و به مدیران شبکه و همین‌طو هکرها اجازه می‌دهد تا از راه دور، دستوراتی را روی کامپیوتر هدف اجرا کنند.

نکته ویژه در طراحی این باج‌افزار، تمرکز بر نحوه ارتباط آن است که رد پا و اثر سازوکار رمزنگاری اطلاعات قربانی را هنگام برقراری ارتباط «Command and Control» به پایین‌ترین حد ممکن می‌رساند. در نهایت، «AES» و «RSA» دو نوع الگوریتمی هستند که pay2key برای رمزنگاری و خارج کردن اطلاعات از کنترل قربانی استفاده می‌کند.

الگوریتم AES  یا (Advanced Encryption Standard) نوعی از استاندارد بین‌المللی رمزنگاری است که از سال ۲۰۰۲ به صورت رسمی مورد استفاده جهانی قرار گرفت. این الگوریتم با جعبه‌های ۱۲۸، ۱۹۲ و یا ۲۵۶ بیتی یک بلوک از یک متن را انتخاب و یک کلید رمز جایگزین آن می‌کند. الگوریتم رمزنگاری نامتقارن RSA  یا (Rivest–Shamir–Adleman) نوع متداول‌تری از رمزنگاری است که در دهه ۷۰ میلادی ایجاد شد و توسعه پیدا کرد. اساس کار این شیوه، ایجاد کلید رمز، رمزنگاری داده و رمزگشایی آن است؛ به این معنا که رمزگذار و رمزگشا هر دو یک کلید یکتا و سری مشترک دارند و محتوی رمزگذاری شده را با آن رمزنگاری و رمزگشایی می‌کنند.

چک پوینت در گزارش خود آورده است که گردانندگان باج‌افزار pay2key پس از تسلط بر سیستم‌های قربانیان، از شیوه «Double Extortion» یا «تحت فشار قراردادن قربانی» استفاده می‌کنند؛ به این معنا که آن‌ها را تهدید می‌کنند در صورت عدم پذیرش پرداخت باج، اطلاعات محرمانه آن‌ها را در فضای مجازی منتشر کرده و یا به رقیب‌های آن‌ها می‌فروشند.

تصویری از پیام تهدیدآمیز هکرها مبنی بر انتشار اطلاعات محرمانه قربانیان

 

عوامل پشت پرده این باج‌افزار برای نشان دادن جدی بودن تهدیدشان، وب‌سایتی را نیز برای انتشار این اطلاعات محرمانه در وب‌تاریک راه‌اندازی کرده‌اند.

تصویری از وب‌سایت هکرها در وب‌تاریک برای انتشار اطلاعات محرمانه قربانیان

 

شرکت چک پوینت گفته است تا لحظه انتشار این گزارش، سه شرکت اسرائیلی قربانی شده از پذیرش باج‌دهی به هکرها خوداری کرده‌اند. این احتمال وجود دارد که قربانیان دیگری نیز به این سه شرکت بپیوندند. این درحالی است که مجرمان اینترنتی در وب‌سایت افشاگر خود در وب‌تاریک، بخش‌هایی مخصوص، حاوی پیام‌هایی مختص به هرکدام از این قربانیان خود ایجاد و داده‌های حساسی مانند سرمایه‌های دیجیتال قربانیان، اطلاعات محرمانه مربوط به دامنه‌ها و سرورهای آن‌ها، بایگانی نسخه‌های پشتیبان این شرکت‌ها و مواردی از این دست را آماده انتشار کرده‌اند.

به نوشته وب‌سایت «زی‌نت» (Znet)، بازتاب‌دهنده اخبار حوزه اطلاعات و تکنولوژی، برخی قربانیان باج‌افزار تلاش کردند تا از طریق نرم‌افزار کمکی «وانا اسکریم» (WannaScream)» اقدام به بازگشایی فایل‌های رمزنگاری شده خود کنند. اما خطاهای ناشی از ناسازگاری این نرم‌افزار باعث بدتر شدن اوضاع و از بین رفتن اطلاعات آن‌ها شده است.

هکرهای ایرانی پشت پرده باج‌گیری‌های اینترنتی

رصد مسیر باج دریافت شده از لحظه پرداخت تا دریافت

شرکت چک‌پوینت در بخشی از گزارش خود نوشته است که در میان قربانیان، دست‌کم چهار شرکت تصمیم گرفتند که گزینه پرداخت باج به هکرها را انتخاب کنند.

متخصصان شرکت چک‌پوینت به همراه Whitestream، شرکت فعال در حوزه «بلاک‌چین» (Blockchain)» یا سیستم ثبت اطلاعات و گزارش مبتنی بر رمزنگاری، اقدام به ره‌گیری باج‌های پرداخت شده کرد. نتیجه این ره‌گیری نشان داد که باج دریافتی در نهایت به یکی از کیف‌های اینترنتی شناخته شده در وب‌سایت ایرانی «www.excoino.com»، متعلق به «شرکت دانش‌بنیان اکسکوینو» رسیده است.

شرکت اکسکوینو از جمله شرکت‌های فعال در حوزه پول اینترنتی است که از سال ۱۳۹۶ کار خود را به صورت رسمی در ایران آغاز کرده و در حوزه دور زدن تحریم‌های ایالات متحده از طریق تبدیل پول به بیت‌کوین، نقش پر رنگی داشته است.

کارشناسان شرکت چک‌پوینت برای کشف مسیر حرکت مبلغ پرداخت شده از «والت اکسپلورر» ( WalletExplorer) بهره برده است. تحلیل شناسه اجزای کیف اینترنتی دریافت‌کننده باج [00045af14c]  از طریق وب‌سایت والت اکسپلورر نشان می‌دهد که مقصد نهایی وجه دریافتی، وب‌سایت صرافی مجازی اکسکوینو در ایران است.  

شناسه مشترک مربوط به صرافی مجازی اکسکوینو در ایران

شرکت چک‌پوینت گفته صرافی مجازی اکسکوینو در ایران شرکتی قانونی محسوب می‌شود و تابع قوانین حوزه تبادلات مالی مجازی و پول اینترنتی است که یکی از آن‌ها، اخذ گواهی‌های معتبر هویتی از مشتریان، نظیر شماره تلفن، شناسنامه و کد ملی است. از این رو، شرکت دانش‌بنیان اکسکوینو قادر است هرگونه فعالیت مشکوک مانند باج‌گیری‌های مجازی را به پلیس سایبری ایران (پلیس فتا) گزارش کند.

 

مطالب مرتبط:

توقیف ۲۷ دامنه‌ اینترنتی وابسته به سپاه با حکم دادستانی امریکا

حذف ۱۳۰ حساب توییتری مرتبط با ایران به ظن اخلال در فضای انتخابات امریکا

از نشت اطلاعات تا قرار گرفتن در لیست تحریم؛ شرکت «رایانش هوشمند رانا»

گزارش اختصاصی؛ اقلیت‌ها، هدف هکرهای حکومتی

پرونده هکرهای جمهوری اسلامی روی میز اف‌بی‌آی؛ شناسایی۳ هکر ایرانی دیگر

درباره هکرهای ایرانی تحت تعقیب اف‌بی‌آی چه می‌دانیم؟​

کشف ردپای هکرهای تازه‌کار ایرانی پشت حملات یک باج​‌افزار معروف

توجه! هکرهای حکومتی ایران مشغول کارند