بازگشت هکرهای OilRig به ادعای کلیراسکای

به گزارش واحد هک و نفوذ سایبربان؛ محققانPalo Alto Networks  ادعا می‌کنند که گروه OilRig را مدتی زیر نظر داشته و دریافته‌اند که این گروه با بهره‌گیری از تهدید پیشرفته و مستمر، بر ضد سازمان‌های دولتی، موسسات مالی و شرکت‌های فناوری عربستان سعودی، اسرائیل، امارات متحده عربی، لبنان، کویت، قطر، امریکا و ترکیه حملات سایبری انجام داده است.

Palo Alto Networks نام OilRig را برای آن دسته از عوامل تهدیدزا برگزیده که از فایل‌های اکسل آلوده موسوم به Clayslide و درب پشتی موسوم به Helminth استفاده می‌کنند. این شبکه تحقیقاتی اعلام کرده که OilRig دوباره فعال شده و در حلقه حملات اخیر که برخی سازمان‌های اسرائیلی از جمله شرکت‌های فناوری اطلاعات، شبکه ملی پست و موسسات ملی را هدف گرفته، ردپای این گروه دیده شده است.

طبق ادعای کارشناسان امنیتی کلیراسکای، هکرهای ایرانی یک پرتال وی‌پی‌ان جونیپر نتورکز (Juniper Networks VPN) جعلی راه انداخته و از حساب‌های ایمیل شرکت‌های فناوری اطلاعات برای فریب قربانیان بهره برده‌اند. ایمیل‌های ارسالی حاوی لینک‌هایی بوده که قربانیان را به پرتال وی‌پی‌ان جعلی هدایت می‌کرده است.

در گزارش تحلیلی کلیراسکای آمده است: «ایمیل‌ها از حساب کاربری یکی از شرکت‌های فناوری اطلاعات ارسال گردیده است. ایمیل‌های مشابهی نیز از سایر شرکت‌های فناوری اطلاعات در همان زمان ارسال شده است. این امر نشان می‌دهد که هکرها پایگاه ثابتی در شبکه‌های شرکت‌ها برای خود دست و پا کرده‌اند یا این که حداقل، به برخی از رایانه‌ها یا حساب‌های ایمیل این شرکت‌ها دسترسی داشته‌اند.

قربانیان، با کلیک بر روی لینک موجود در ایمیل، به سایت تقلبی جونیپر هدایت شده و در آنجا از آنها درخواست می‌شد که نرم‌افزار وی‌پی‌ان را نصب کنند. در این مرحله، هکرها از یکی از نرم‌افزارهای معتبر جونیپر نتورکز استفاده می‌کردند که بدافزار Helminth را در خود جای داده بود. هکرها نرم‌افزار مذکور را با یک گواهی کد امضای معتبر که از سوی سیمنتک برای یک شرکت نرم‌افزاری مستقر در امریکا به نام AI Squared صادر شده بود، امضا کرده بودند. بنا بر ادعای محققان، نمونه دومی از بدافزار Helminth نیز کشف شد که با یکی دیگر از گواهی‌های صادر شده برای شرکت AI Squared امضا شده بود. این به این معناست که هکرها احتمالا با در دست گرفتن شبکه شرکت AI Squared، به یکی از کلیدهای مجاز شرکت دسترسی پیدا کرده‌اند. احتمال دیگر آن است که هکرها با جا زدن خود به عنوان AI Squared، از سیمنتک تقاضای صدور گواهی کرده باشند.

در موردی دیگر، محققان حملاتی را کشف کرده اند که در آنها OilRig از چهار دامنه متعلق به دانشگاه آکسفورد برای حمله بهره برده است. چهار دامنه مذکور عبارتند از: oxford-symposia.com، oxford-careers.com، oxford.in، oxford-employee.com.

طبق ادعای کلیراسکای، هکرها در یکی از این حملات، سایتی جعلی با عنوان ثبت‌نام کنفرانس آکسفورد راه‌اندازی می‌کنند. هنگامی که قربانیان از سایت بازدید می‌کنند از آنها درخواست می‌شود برای انجام پیش‌ثبت‌نام اقدام به نصب برنامه‌ای کنند که بدافزار را در خود پنهان کرده است. هکرها در این مورد هم از گواهی امنیتی شرکت AI Squared استفاده کرده‌اند.

در سال 2015، محققان سیمنتک گزارشی درباره فعالیت‌های دو گروه هکر ایرانی به نام‌های Cadelle و Chafer منتشر کردند که از دو درب پشتی برای جاسوسی از ایرانیان و سازمان‌های غرب آسیا استفاده می‌کردند. آدرس آی‌پی اشاره شده در گزارش سیمنتک که به زیرساخت C&C مرتبط بود و گروهChafer  از آن استفاده می‌کرد، همان آدرسی است که OilRig به کار گرفته است. کلیراسکای مدعی است که این یکسان بودن آدرس آی‌پی نشان می‌دهد که Chafer همان Oilrig است.