لبنانی‌ها، اهداف تازه هکرهای وابسته به جمهوری اسلامی

احمد باطبی

هکرهای تحت فرمان حکومت ایران، از طریق ارسال اطلاعات جعلی از فرصت‌های شغلی تلاش کرده‌اند که اهدافی در لبنان را فریب داده و به شبکه و کامپیوترهای آن‌ها نفوذ کند.

شرکت امنیتی «چک‌پوینت» (Check Point) در گزارشی ویژه اعلام کرد که یک گروه جدید با نام مستعار «اویل ریج» (OilRig) از مجموعه گروه‌های وابسته به «تهدید پیشرفته مستمر» (APT34)، اهدافی را در لبنان مورد هدف حملات هکری از نوع حمله « درب پشتی» (Backdoor) قرار داده است. کارشناسان شرکت چک‌پوینت این عملیات را «سایدتويیست» (SideTwist) نام‌گذاری کرده است.

حملات موسوم به درب پشتی، به نوعی از حمله‌های هکری گفته می‌شود که در آن مهاجم بعد از نفوذ، مسیری را برای بازگشت دوباره ایجاد کرده و در آینده از طریق این مسیر با کامپیوتر و یا شبکه قربانی ارتباط برقرار می‌کند. «APT» یا «Advanced Persistent Threat» به معنای «تهدید پیشرفته مستمر» نیز اشاره‌​ای است به تهدیدهای دائمی که عموما از سوی مجرمان سایبری وابسته به دولت‌​ها ایجاد می‌​شوند؛ به عنوان مثال گروه «APT34» از جمله گروه​‌های «APT» است که تحت حمایت جمهوری اسلامی اقدام به فعالیت​‌های مجرمانه می​‌کند. فهرستی از این نوع گروه‌​های هک و نفوذ در این قسمت قابل مشاهده است.

به گفته شرکت چک‌پوینت، بعد از لو رفتن ابزارهای هکری مجموعه «تهدید پیشرفته مستمر» ایران (APT34) و انتشار این ابزار در کانال تلگرامی «لب‌دوخته‌گان»، این مجموعه در تلاش است تا این ابزارها را به‌روزرسانی و بهینه‌سازی کند تا نقاط ضعف آن که ممکن است به شناسایی و شکست عملیات نفوذ ختم ‌شود، ترمیم شود.

بعد از حملات جاسوسی (DNSpionage) توسط (APT34) که از سال ۲۰۱۸ به این‌سو آغاز شده، فرصت‌های شغلی یکی از مواردی است که هکرهای این گروه برای فریب قربانیان از آن استفاده می‌کنند. این نوع از این حمله‌ها که در دسته‌بندی‌ حملات فیشینگ قرار می‌گیرد، بیشتر از طریق شبکه لینک‌دین انجام می‌شود.

در حمله به اهداف لبنانی، هکرها یک فایل ماکروسافت به نام (Job-Details.doc) را مشابه اسناد شرکت مشاوره‌ای (Ntiva IT) مستقر در ایالت ویرجینیا‌ آمریکا طراحی کرده و برای اهداف خود ارسال کرده‌اند.

این فایل به شکلی طراحی شده است که در صورت فعال‌سازی گزینه ماکرو توسط قربانی، تنها پنج دقیقه زمان نیاز است تا فرایند آلوده‌سازی تکمیل شود.

این فایل آلوده سال‌ها است که توسط این گروه از هکرهای وابسته به جمهوری اسلامی تکامل یافته تا به عنوان اولین مرحله از نفوذ و آلوده‌سازی، یعنی فرایند تونل سازی DNS ، با استفاده از کد‌های مخرب ماکرو  را انجام دهد. به این شکل که ابتدا در یک پیام از سوی نرم‌افزار، از هدف خواسته می‌شود تا متصل بودن موس به کامپیوتر را تایید کند (Anti-Sandboxing technique). درصورت فشردن گزینه تایید، هویت دستگاه او برای سرور فرمان و کنترل (C2 server) مهاجمان ارسال شده و به‌طور خودکار برنامه مخرب هکرها با پسوند (doc) در کامپیوتر قربانی آزاد می‌شود. این برنامه اندکی بعد به یک فایل اجرایی با پسوند (EXE) تغییر یافته و به صورت یک برنامه تحت ویندوز، با قابلیت اجرای مکرر و زمان‌بندی‌شده روی کامپیوتر هدف نصب می‌شود.

تکنیک تونل‌سازی DNS پیشتر هم بارها از سوی این گروه مورد استفاده قرار گرفته بود، اما تونل سازی DNS با استفاده از کدهای مخرب ماکرو به تازگی به دستور کار (APT34) افزوده شده است.

هکرها برای پنهان‌ماندن بیشتر از دید ابزار و امکانات نظارتی، از سرویس مجانی ارائه شده در وبسایت (www.requestbin.net) بهره می‌بردند. استفاده از این سرویس باعث می‌شد که سیستم قربانی به دلیل رمزنگاری اطلاعات، قادر به شناسایی زیرساخت‌های مهاجمان نباشد. تصویر زیر نمونه‌ای از رمزنگاری سرویس (RequestBin) است که یک نام کاربری به نام (John) و یک نام میزبان به نام (john-pc) را در قالب یک (DNS data) رمزنگاری کرده است.

محققان شرکت چک‌پوینت گفته‌اند که پیش‌تر گروه هکری (APT34) از روش‌هایی مانند (DNSpionage) و (TONEDEAF) و (TONEDEAF2.0.) استفاده کرده‌اند، اما این مورد از حمله درب پشتی با روش (SideTwist)، شامل بارگیری، بارگذاری و اجرای دستور، برای برای اولین بار است که از این گروه مشاهده می‌شود.

ایجاد درب پشتی در سیستم قربانی دومین مرحله از عملیات نفود و آلوده‌سازی است. در این مرحله تنها ماکروهایی که در مرحله اول اجراشده‌اند، دارای خاصیت ماندگاری هستند و مرحله دوم فاقد هرگونه ماندگاری است. ماندگار مرحله اول نیز از طریق برنامه‌ای اجرایی به نام (SystemFailureReporter) ایجاد می‌شود که به عنوان یک وظیفه، هر پنج دقیقه، پنج بار به شکل خودکار اجرا می‌شود. در هر پنج نوبت اجرای برنامه (SystemFailureReporter)، سیستم قربانی یک دستور تازه از سرور (C&C) مهاجمان دریافت کرده و یک‌بار خاموش و روشن می‌شود تا دستورات دریافت شده به مرحله اجرا برسند.

درب پشتی در ابتدا اطلاعات اولیه قربانی، شامل نام کاربر، نام کامپیوتر و نام دامنه هدف را در قالب یک محاسبه ۴ بایتی به عنوان مقداردهی اولیه دریافت و به سرور (C&C) ارسال می‌کند تا مسیر ارتباطی ایجاد شود. اگر تمامی مراحل به درستی صورت گرفته باشد، وجود فایل (update.xml) در کامپیوتر قربانی، که در مرحله اول ایجاد شده تایید شده، تایید شده و کار ادامه پیدا خواهد کرد.

ارتباط (C&C) بین سرور مهاجمان و کامپیوتر قربانی نیز از طریق یک پروتکل (HTTP) و پورت‌های ۴۴۳ و ۸۰ با الگوریتم مشترک رمزنگاری انجام می‌شود. درخواست این ارتباط نیز از طریق یک پیوند، نظیر (sarmsoftware[.]com/search/{identifier}) ارسال می‌شود که در صفحات جعلی، مشابه تصویر زیر مخفی شده است.

نتیجه دستور ارسال شده از سرور (C&C) نیز به شکل پیوندی مشابه (sarmsoftware[.]com/search/{identifier}) به مهاجمان باز می‌گردد. این ارتباط بر اساس الگوریتم نوع (Mersenne Twister) رمزنگاری شده است. از چهار بیت ابتدایی هریک از این رمزنگاری‌ها برای رمزگشایی باقی پیام‌ها استفاده شده و رمزنگاری‌های (Base64) نیز از طریق یک برنامه به زبان «پایتون» (Python) انجام می‌شود.

کارشناسان شرکت چک‌پوینت گفته‌اند که ماکروهای مخرب استفاده شده در این حملات، هدف‌گیری و تکنیک‌های به‌کارگرفته شده تماما با ردپا و اسناد تایید شده مربوط به گروه (APT34) مطابقت دارد. به عنوان مثال، هم در گذشته و هم در مورد حمله به اهداف لبنانی، کدهای مخرب ماکرو برای پرهیز از شناخته شدن، از توابع (MouseAvailable) استفاده کرده و یک برنامه برای اجرای زمان‌بندی شده دارند.

در تصویر زیر کدهایی که این گروه در حملات قبلی (DNSpionage) تحت عنوان فرصت شغلی انجام داده‌اند، قابل مشاهده است. تنها فرق این دو کد، متغیر (beacher) است که به نام دیگری به‌روزرسانی شده است.

تنها مورد تازه‌ای که در حملات اخیر این گروه به چشم می‌خورد، نوع اجرای حمله درب پشتی است که با استفاده از محتوای مخفی شده در یک صفحه جعلی (HTML) مرتبط با یک وب‌سایت قانونی و بدون جلب توجه قربانی صورت می‌گیرد.

شرکت چک‌پوینت نسبت به فعالیت گسترده (APT34) در خاورمیانه و مخصوصا لبنان هشدار داده و گفته که این گروه ابزار و روش‌های خود را به‌روزرسانی کرده و کاهشی در سرعت فعالیت‌های آن دیده نمی‌شود.