حمله سایبری هکرهای چینی به اهدافی در ایران، عربستان و اسرائیل

یک دوره از حمله‌های سایبری به اهدافی در ایران، اسرائیل، عربستان و نقاط دیگری در خاورمیانه و آسیا کشف شده که از سوی هکرهای چینی سازمان‌دهی و اجرا شده‌اند.
شرکت بین‌المللی امنیت سایبری «فایرآی» (FireEye)،‌ کاشف این حمله‌ها گفت که هدف مهاجمان، سرقت اطلاعات و فناوری از ده‌ها شرکت و سازمان خصوصی و دولتی در این کشورها بوده است.

شرکت فایر‌آی گزارش فنی مفصلی در این باره منتشر کرده و گفته مهاجمان یک گروه از جاسوس‌های سایبری هستند که فایر‌آی آن‌ها را «UNC215» نامیده است.
دامنه فعالیت این گروه چینی، از اروپا، آسیا و امریکای شمالی تا سراسر خاورمیانه گسترده شده اما تمرکز اصلی آن‌ها بر کشور اسرائیل است.

گزارش فایرآی درحالی منتشر می‌شود که در نوزدهم ژانویه ۲۰۲۱، بسیاری از دولت‌های امریکایی، اروپایی، آسیایی و عضو اتحادیه اروپا و پیمان آتلانتیک شمالی (ناتو) در یک بیانیه‌ به این حمله‌ها اعتراض و جاسوسی سایبری و سازمان‌ یافته چینی‌ها را محکوم کردند.

محققان فایرآی در گزارش خود به اوایل سال ۲۰۱۹ میلادی اشاره کرده‌اند که گروه UNC215 تلاش داشت از طریق آسیب‌پذیری «CVE-2019-0604» و «Microsoft SharePoint»، نصب «web shells» و بدافزار «FOCUSFJORD»، اهداف دولتی و دانشگاهی را در خاورمیانه و آسیای مرکزی هدف قرار دهد؛ روش‌هایی که بسیار مشابه روش‌های گروه «تهدید پیشرفته مدام ۲۷» (APT27)، وابسته به چین است.

گروه‌های موسوم به تهدید پیشرفته مدام و یا «ای‌پی‌تی» (Advanced Persistent Threat)، به تهدیدهای مستمر و هدفمند سایبری علیه دولت‌های دشمن و یا رقیب، مخالفان حکومت، سازمان‌ها و نهاد‌های تاثیرگذار، شرکت‌های تجاری و مراکز علمی گفته می‌شوند که معمولا از حمایت دولت‌ها بهره‌مند هستند.

فایرآی یافته‌های خود را با ارتش دفاعی اسرائیل به اشتراک گذشته و به این نتیجه رسیده است که گروه UNC215 از سال ۲۰۱۹ به این سو از روش‌های تازه‌ای برای پنهان سازی  و حذف رد پاهای خود استفاده می‌کند.
تصویر زیر، چرخه فعالیت‌های UNC215 را در بازه زمانی ۲۰۱۹ تا ۲۰۱۰ نشان می‌دهد:

هکرهای UNC215 در این چرخه ابتدا به شناسایی و گردآوری اطلاعات با استفاده از دستورهای بومی «ویندوز» و ابزارهایی نظیر «ADFind» و «Active Directory» پرداخته و شبکه‌ها را اسکن می‌کردند. آن‌ها در مواردی، با نصب پوسته‌های وب (OWA)  بر روی سرورها، اقدام به گردآوری اعتبارنامه‌ها و استقرار بدافزار «FOCUSFJORD» کرده‌اند.

UNC215 بارها بدافزار FOCUSFJORD و امکانات آن، نظیر زیرساخت‌های مرتبط با «فرمان و کنترل» (C2)، گرد‌آوری اعتبارنامه‌ها، پنهان سازی و حذف رد‌پا را ویرایش، بهینه‌سازی و استفاده کرده‌اند که خود نشان‌گر وابستگی جدی این گروه به FOCUSFJORD و «HYPERBRO» است.

این گروه در مرحله اول حمله، ابتدا محموله حاوی زیرساخت‌ها و دستورات ارتباط فرمان و کنترل را توسط FOCUSFJORD به دستگاه هدف منتقل می‌کند و به شکل خودکار، کار دست‌کاری و بازنویسی رجیستری سیستم‌عامل قربانی آغاز می‌شود. در مرحله دوم نیز فرایند مانگاری مهاجم از طریق پیکربندی تازه با استفاده از فرمان و کنترل اعمال می‌شود.

محققان فایرآی در خلال تحقیقات خود، ابزار تازه‌ای به نام FJORDOHELPER را کشف کرده‌اند که قادر است تنظیمات FOCUSFJORD را متناسب با ساختار هدف و نیازمندی هکرها تغییر دهد و حتی برای حذف ردپا، این بدافزار را از سیستم قربانی حذف کند.

مهاجمان با استفاده از FJORDOHELPER، حتی می‌توانند از راه دور تمامی رد پا و شواهد قانونی را از روی هارد دیسک، پیکربندی‌های رمزنگاری شده، رجیستری و کلید‌های مربوط به آن حذف کنند.

استقرار FOCUSFJORD و مراحل نفوذ عموما از طریق ارتباط «RDP» شخص ثالث مورد اعتماد انجام شده‌اند که تصویر زیر، مراحل انجام این ارتباط و استقرار ابزارها را نشان می‌دهد:

ازجمله بازنویسی‌های اعمال شده در نسخه‌های جدید FOCUSFJORD، محدود سازی ترافیک خروجی، ایجاد امکان استفاده از سرورهای واسطه (Proxy) و حذف ویژگی‌های غیر ضروری بدافزار است که امکان شناسایی عوامل پشت پرده حملات را به حداقل می‌رساند.  

محققان در بررسی‌های خود، بدافزار نوظهور دیگری را نیز کشف کرده‌اند که با وجود تمایز از FOCUSFJORD، قادر است با استفاده از برخی توابع و ویژگی‌های اجرایی، کد‌های مرتبط با حمله را با FOCUSFJORD به اشتراک بگذارد.
تصویر زیر، ساز و کاری را نشان می‌دهد که برای ارتباط FOCUSFJORD با همین ابزار در سیستم قربانی دیگر طراحی شده است:

شرکت فایرآی می‌گوید از سال ۲۰۱۷ به این سو، نسخه‌های فراوانی از بدافزار (FOCUSFJORD) را کشف کرده‌ که بارها بنا بر نیازمندی‌ مهاجمان بازنویسی شده و ویژگی‌هایی به آن افزوده و یا از آن کاسته شده است.

محققان فایرآی معتقدند که این میزان از انعطاف در بازنویسی این بدابزار به این معنا است که یا هکرها ارتباط دوستانه‌ای با توسعه دهندگان (FOCUSFJORD) دارند و یا خود به کدهای آن دسترسی داشته و قادر به شخصی سازی آن هستند.

نسخه‌های مختلف FOCUSFJORD در مجموع ۱۳ رجیستری منحصر به فرد دارند که به هکرها امکان می‌دهند تا سیستم‌ قربانیان خود را با مکانیسم‌های بارگذاری، ماندگاری و ارتباطات (C2) در کنترل خود بگیرند.

اما ویرایش جدید این بدافزار دارای دوکلید رجیستری است که تسلط مهاجم را بر قربانی بیش از پیش می‌کند؛ کلید رجیستری شماره ۱۲ تحت عنوان «group»، که وظیفه‌اش بازنویسی رجیستری سیستم‌عامل قربانی، مطابق با نام دامنه یا نام سازمان قربانی است. کلید ۱۲ بعد از بازنویسی رجیستری، به هکرها امکان می‌دهد تا بازنویسی‌های بیشتری را از راه دور بر روی سیستم قربانی انجام دهند. کلید دوم، کلید رجیستری شماره ۱۳ است که به عنوان یک کنسول عمل می‌کند.

محققان فایرآی می‌گویند در این بدافزار، مقادیر «galway»، «Iceland»، «helen» و «idapro» و آدرس‌های مختلفی از سرورهای فرمان و کنترل یافته‌اند اما برای آن‌ها قابل فهم نیست که هکرها چه‌گونه از این پارامترها برای پیکربندی، سازمان‌دهی و ردیابی تعداد قربانیان استفاده می‌کنند.

گروه امنیتی «NCC» در سال ۲۰۱۸ گزارشی با همین موضوع  منتشر و یک ابزار رمزگشایی را نیز معرفی کرده بود.

شرکت «Trendmicro» نیز در گزارش‌های سال ۲۰۲۰ و ۲۰۲۱، به تغییرات در پیکربندی FOCUSFJORD و به روز رسانی‌های آن اشاره کرده بود.

اما توسعه دهندگان به سرعت این بدافزار را بازنویسی و تلاش کردند که یافته‌های محققان امنیتی را بی اثر کنند که این خود نشان‌گر توجه هکرهای UNC215 به رصدشان توسط شرکت‌های امنیتی است.

فایرآی می‌گوید موضوعات گروه UNC215 در حملات مختلف، حاوی رشته‌هایی به زبان‌های مختلف، از جمله هندی، ترکی، عربی و فارسی است که معمولا با زبان کشور هدف، متفاوت هستند. این کار شاید برای گم‌راه کردن محققان انجام می‌شود اما دست‌کم در سه مورد، هکرهای این گروه از ابزار گروه‌های هکری ایرانی استفاده کرده‌اند که پیش‌تر لو رفته و کدهای آن‌ها در فضای مجازی منتشر شده بودند؛ ازجمله پوسته وب «SEASHARPEE» که این گروه در سال ۲۰۱۹ برای هدف قرار دادن شرکت‌ها و موسسه‌های مالی آسیایی و خاورمیانه‌ای استفاده کرده بود.

توسعه دهنده این پوسته، گروه ایرانی «تهدید پیشرفته مستمر ۳۹» (APT39) است که مدتی توسط کانال تلگرامی «لب‌دوخته‌گان» معرفی و کد ابزارهای آن برای عموم افشا شده بود.

باوجود این که ظاهرا پنهان کاری و ناشناس ماندن برای UNC215 نسبت به هر چیز دیگر مهم‌تر است اما در اندک مواردی هم هکرهای این گروه از زیرساخت‌های مصرف شده (C2) استفاده کرده‌ و گاه نیز پرونده‌های یکسانی را علیه چند قربانی به کار گرفته‌اند که می‌تواند به معنای دست‌کم گرفتن توانایی‌های طرف مقابل در ردیابی و شناسایی مهاجمان باشد.

شرکت فایر‌آی اشاره کرده است که گروه چینی UNC215 را از سال ۲۰۱۴ زیر نظر دارند. این گروه، بخشی از «APT27» است که تا کنون بسیاری از سازمان‌های دولتی، فناوری، مخابرات، دفاعی، مالی، بهداشتی و حتی سرگرمی را هدف قرار داده است.

عملکرد UNC215 نشان می‌دهد این گروه آن ‌چه را دنبال می‌کند که علاقه استراتژیک حکومت چین است؛ مانند جمع‌آوری اطلاعات درباره زمینه‌های سرمایه‌گذاری‌ میلیاردی چین در مسیر جاده ابریشم که امروزه تحت عنوان «Belt and Road Initiative» شناخته می‌شود و یا استارت‌اپ‌های اسرائیلی، صنایع استراتژیک و هوش مصنوعی و غیره.
تمرکز این گروه بر کشور اسرائیل نیز می‌تواند به دلیل ظرفیت اقتصادی و محوری راه آهن بین «ایلات» و «اشدود» تا بندر حیفا باشد که تاثیر فراوانی بر نظام اقتصادی جاده ابریشم داشته و چین کنترل چندانی بر آن ندارد.