حملات سایبری APT به زیرساخت‌های صنعتی ۴ کشور

به گزارش کارگروه بین‌الملل سایبربان؛ در ماه ژانویه 2022، کارشناس «ICS CERT» شرکت امنیت سایبری کسپرسکی (Kaspersky) موجی از حملات هدفمند علیه شرکت‌های مجتمع صنعتی نظامی و مؤسسات عمومی را در چندین کشور شناسایی کردند. محققان ادعا کردند :

«در جریان تحقیقات خود، توانستیم بیش از ده‌ها سازمان مورد حمله را شناسایی کنیم. این حمله کارخانه‌های صنعتی، دفاتر طراحی و مؤسسات تحقیقاتی، سازمان‌های دولتی، وزارتخانه‌ها و ادارات را در چندین کشور اروپای شرقی (بلاروس، روسیه و اوکراین) و همچنین افغانستان هدف قرار داد.»

به گفته کارشناسان، مهاجمان توانستند به ده‌ها شرکت نفوذ کنند و حتی زیرساخت‌های فناوری اطلاعات برخی را ربودند و کنترل سیستم‌های مورد استفاده برای مدیریت راه‌حل‌های امنیتی را در دست گرفتند.

تجزیه و تحلیل اطلاعات به دست آمده در حین بررسی حوادث نشان می‌دهد که جاسوسی سایبری هدف این سری از حملات بوده است.

نفوذ اولیه

مهاجمان با استفاده از ایمیل‌های فیشینگ که با دقت ساخته شده‌اند، به شبکه سازمانی نفوذ کردند، برخی از آنها از اطلاعاتی استفاده می‌کنند که مختص سازمان مورد حمله است و در دسترس عموم نیست. این آمار نشان می‌دهد که مهاجمان کارهای مقدماتی را از قبل انجام داده‌اند؛ آنها ممکن است اطلاعات را در حملات قبلی به همان سازمان یا کارکنان آن یا سایر سازمان‌ها یا افراد مرتبط با سازمان قربانی به دست آورده باشند.

اسناد مایکروسافت ورد پیوست شده به ایمیل‌های فیشینگ حاوی کد مخربی بود که از آسیب‌پذیری «CVE-2017-11882» سوءاستفاده می‌کرد. این آسیب‌پذیری مهاجم را قادر می‌سازد تا کد دلخواه، در حملات مورد تجزیه و تحلیل، ماژول اصلی بدافزار «PortDoor»، را بدون هیچ گونه فعالیت اضافی کاربر اجرا کند.

یک سری از حملات قبلی که در آن بدافزار PortDoor نیز استفاده شده بود، به‌وسیله کارشناسان «Cybereason» توضیح داده شد. نسخه جدیدی از PortDoor در طول تحقیقات کسپرسکی شناسایی شد.

PortDoor پس از راه‌اندازی، اطلاعات کلی سیستم آلوده را جمع‌آوری و آن را به سرور کنترل و فرماندهی بدافزار (CnC) ارسال می‌کند. در مواردی که یک سیستم آلوده مورد توجه مهاجمان باشد، آنها از عملکرد PortDoor برای کنترل سیستم از راه دور و نصب بدافزار اضافی استفاده می‌کنند.

بدافزار اضافی

مهاجمان از 5 درب پشتی مختلف به طور همزمان، احتمالاً برای راه‌اندازی کانال‌های ارتباطی اضافی با سیستم‌های آلوده، در صورتی که یکی از برنامه‌های مخرب شناسایی و به‌وسیله یک راه‌حل امنیتی حذف شود، استفاده کردند. درهای پشتی مورد استفاده عملکرد گسترده‌ای را برای کنترل سیستم‌های آلوده و جمع‌آوری داده‌های محرمانه ارائه می‌دهند.

از 6 درب پشتی شناسایی شده روی سیستم‌های آلوده، 5 مورد شامل PortDoor، «nccTrojan»، «Logtu»، «Cotx» و «DNSep» قبلاً در حملاتی که سایر محققان به «APT TA428» نسبت داده‌اند، استفاده شده‌اند. درب پشتی ششم جدید است و در حملات دیگر مشاهده نشده است.

حرکت جانبی

پس از به دست آوردن جای پایی در سیستم اولیه، مهاجمان تلاش می‌کنند تا بدافزار را به سایر رایانه‌های موجود در شبکه سازمانی گسترش دهند. مهاجمان برای دسترسی به آن رایانه‌ها از نتایج اسکن شبکه و همچنین اعتبار کاربری که قبلاً به سرقت رفته‌اند استفاده می‌کنند.

کارشناسان کسپرسکی براین باورند که ابزار هک «Ladon»، که در چین محبوبیت دارد، به عنوان ابزار اصلی حرکت جانبی استفاده می‌شود؛ این اسکن شبکه، جستجوی آسیب‌پذیری و بهره‌برداری، حمله رمز عبور و سایر عملکردها را ترکیب می‌کند. مهاجمان همچنین به طور گسترده از ابزارهای استاندارد استفاده می کنند که بخشی از سیستم عامل مایکروسافت ویندوز است.

مرحله آخر حمله سایبری شامل ربودن کنترلر دامنه و به دست آوردن کنترل کامل بر تمام ایستگاه‌های کاری و سرورهای سازمان است.

مهاجمان برای جلوگیری از شناسایی بدافزار از سوی نرم‌افزارهای امنیتی، از روش‌های حفره‌ای و «DLL» به طور گسترده در این حمله استفاده کردند.

سرقت اطلاعات

بنابر ادعای محققان، مهاجمان پس از به دست آوردن امتیازات سرپرست دامنه، اسناد و فایل‌های دیگری حاوی داده‌های حساس سازمان مورد حمله را به سرورهای آنها که در کشورهای مختلف میزبانی می‌شوند، جستجو و از آنها استخراج کردند. این سرورها به عنوان سرورهای فرماندهی و کنترل مرحله اول نیز مورد استفاده قرار گرفتند.

مهاجمان فایل‌های دزدیده شده را در آرشیوهای زیپ (ZIP) رمزگذاری و محافظت شده با رمز عبور فشرده کردند. پس از دریافت داده‌های جمع‌آوری شده، سرورهای کنترل و فرماندهی مرحله یک، آرشیوهای دریافتی را به سرور مرحله دوم واقع در چین ارسال کردند.

پشتیبانان حملات سایبری

محققان معتقدند که همپوشانی‌های قابل توجهی در تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTPs) با فعالیت APT TA428 مشاهده شده است.

این تحقیق بدافزارها و سرورهای کنترل و فرماندهی را شناسایی کرد که قبلاً در حملات نسبت داده شده به گروه TA428 APT استفاده می‌شدند.

برخی شواهد غیرمستقیم نیز از نتیجه‌گیری کسپرسکی حمایت می‌کنند.

محققان این شرکت امنیت سایبری تصریح کردند :

«ما معتقدیم که مجموعه حملات شناسایی شده به احتمال زیاد توسعه یک کمپین شناخته شده است که در تحقیقات Cybereason، «DrWeb» و «NTTSecurity» شرح داده شده و با درجه بالایی از اطمینان به فعالیت APT TA428 نسبت داده شده است.»

نتیجه‌گیری

یافته‌های تحقیق ما نشان می‌دهد که اسپیر فیشینگ یکی از مرتبط‌ترین تهدیدها برای شرکت‌های صنعتی و مؤسسات عمومی است. در جریان حمله، مهاجمان عمدتاً از بدافزارهای پشتی شناخته شده و همچنین تکنیک‌ها و روش‌های استاندارد حرکت جانبی استفاده کردند که برای فرار از شناسایی به‌وسیله راه‌حل‌های امنیتی طراحی شده‌اند.

سری حملات شناسایی شده، اولین مورد در کمپین نیست. با وجود موفقیت مهاجمان، محققان اعتقاد دارند که احتمال وقوع مجدد حملات مشابه در آینده بسیار زیاد است. آنها اظهار داشتند :

«مؤسسات صنعتی و مؤسسات عمومی باید کارهای زیادی برای خنثی کردن موفقیت‌آمیز چنین حملاتی انجام دهند. ما هنوز تحقیقات خود را به پایان نرسانده‌ایم و به محض ظاهر شدن، اطلاعات مربوط به یافته‌های جدید را منتشر خواهیم کرد.»