انتشار شده در تاریخ 1400/09/06 - 16:57

حمله سایبری گروه هکری «ChamelGang» به مجتمع سوخت روسیه

اخیرا یک گروه هکری به نام «ChamelGang» .که پیش از این ناشناخته بود، حملاتی را به مجتمع سوخت و انرژی و صنعت هوانوردی روسیه انجام داده است

به گزارش کارگروه بین الملل سایبربان؛مرکز روسی «Positive Technologies» در اوخر ماه سپتامبر 2021، از شناسایی یک گروه هکری جدید که پیش از این ناشناخته بود و اکنون با نام «ChamelGang» شناخته می‌شود، خبر داد.

این مرکز اعلام کرد، این گروه، روی سرقت اطلاعات سرورهای دولتی از کشورهایی مانند آمریکا، هند، نپال، تایوان، ژاپن و روسیه تمرکز کرده است. یکی از آخرین عملیات این گروه، حمله به مجتمع سوخت و انرژی و صنعت هوانوردی روسیه است.

مدل حمله

این گروه، از دامین های فشینگ و مخفی کردن بدافزار و زیرساخت‌های شبکه استفاده می‌کرد. برای مثال، دامین هایی را برمی‌گزید که از نام برندهای بزرگ فناوری مانند مایکروسافت، ترند میکرو، مک آفی، آی.بی.ام تقلید می‌کرد.

این گروه با قرار دادن SSL در سرورها، خود را قانونی نشان می‌داد. بخش صنعتی مذکور در روسیه، از سرویس اپلیکیشن پلتفرم «JBoss Enterprise Application » (متعلق به شرکت Redhat) و نسخه آسیب پذیر آن استفاده می‌کرد.

هکرها با استفاده از آسیب‌پذیری شناسه «CVE-2017-12149» موفق به اجرای فرمان‌های از راه دور شدند. آن‌ها پس از دو هفته توانستند، شرکت مادر را نیز هدف قرار بدهند.

مهاجمان رمز عبور ادمین لوکال را در یکی از سرورها در یک بخش مجزا (ایزوله) به دست آوردند و از طریق پروتکل دسکتاپ از راه دور (RDP) به شبکه نفوذ کردند. مهاجمان به مدت سه ماه در شبکه، به شکل ناشناس ماندند.

آن‌ها توانستند پس از این، کنترل بیشتر شبکه از جمله سرورها و گره‌های حیاتی در بخش‌های مختلف را به دست آوردند. تحقیقات نشان می‌دهد که گروه فوق، به‌طور خاص به دنبال داده‌ها بوده و موفق به سرقت آن‌ها نیز شده است.

همچنین هکرها توانستند از آسیب‌پذیری مایکروسافت چنج با شناسه‌های «CVE-2021-34473»،«CVE-2021-34523» و «CVE-2021-31207» استفاده کنند.

هکرها پس از دسترسی به سرورهای ایمیل شرکت مذکور، از درب پشتی استفاده کردند که آنتی ویروس‌ها نیز توانایی شناسایی آن را نداشتند. آن‌ها حدود هشت روز داخل زیرساخت سازمان بودند.

یکی از ویژگی‌های این گروه، استفاده از بدافزارهای جدید بهنام‌های «ProxyT»، «BeaconLoader» و «DoorMe» بود. در این حمله از درب پشتی موسوم به «UNIX» استفاده می‌شد.

به‌علاوه با استفاده از تکنیک هایجک DLL به همراه سرویس «DistributedTransaction Control» برای حضور و تشدید بیشتر حمله استفاده می‌کردند. این هکرها از برنامه آلوده«Cobalt Strike Beacon» برای کمک به‌فرمان های اضافی استفاده می‌کردند.

در این حمله از برخی دیگر از برنامه‌های آلوده مانند Tiny Shell و FRP استفاده شد. محققان می‌گویند، این گروه پس از دسترسی موفق به داده‌ها، آن‌ها را در وب سرورهای شبکه‌های قربانی قرار داد تا بعداً با استفاده از برنامه Wget دانلود کند.

هکرها در این عملیات، با استفاده از BeaconLoader، تلاش می‌کردند تا وارد شبکه و گره‌های آلوده شوند.