حمله اتفاقی هکرهای چینی به یک بیمارستان اروپایی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، کارشناسان شرکت امنیت سایبری چک پوینت (Check Point) درباره حادثه‌ای که در اوایل سال جاری در بیمارستانی که به طور ناخواسته تحت تأثیر یک بدافزار که به شبکه مؤسسه مراقبت‌های بهداشتی معرفی شده بود، سخن می گویند.

محققان چک پوینت، یک درایو یو اس بی آلوده را به کامارو دراگون (Camaro Dragon) ردیابی کرده اند؛ یک عامل تهدید جاسوسی مستقر در چین که فعالیت‌هایش بر دولت‌ها و موسسات آسیای جنوب شرقی متمرکز است.

سرگئی شیکویچ، مدیر گروه اطلاعات تهدید در چک پوینت ریسرچ، به خبرگزاری ریکوردد فیوچر نیوز (Recorded Future News) می گوید:

این مورد برای ما برجسته بود؛ زیرا ما شاهد انتشار غیرقابل کنترل یک عامل تهدید جاسوسی شناخته شده چینی از طریق دستگاه های یو اس بی بودیم.
تحقیقات ما فاش می کند که اگرچه منشأ آن در آسیای جنوب شرقی است، اما در حال حاضر این آلودگی در مناطق مختلف در سراسر جهان شناسایی شده است. این موضوع نگران‌کننده بود؛ زیرا یکی از اهداف اصلی این عامل مخرب احتمالاً نفوذ به شبکه‌های ارتباطی بخش‌بندی شده یا محدود با استفاده از این روش است.

پاسخ دهندگان حادثه متوجه می شوند که یکی از کارمندان بیمارستان در کنفرانسی در آسیا شرکت کرده و با یکی دیگر از شرکت کنندگان سخنرانی انجام داده است.

لپ‌تاپ آن شخص به بدافزار ویسپ رایدر (WispRider) آلوده بوده است؛ یک بدافزار قدرتمند که نه تنها می‌تواند آنتی‌ویروس را دور بزند و درهای پشتی را در سیستم ایجاد کند، بلکه خود را به درایوهای جداشدنی تازه متصل نیز گسترش می‌دهد.

هنگامی که کارمند بیمارستان یو اس بی خود را با شخصی که با او قرار بر ارائه داشته به اشتراک می گذارد، یو اس بی آلوده می شود.

کارمند به بیمارستان خود در اروپا باز می گردد، یو اس بی را وصل می کند و بدافزار را به سیستم کامپیوتری بیمارستان منتقل می کند.

محققان نسبت به توانایی این بدافزار برای انتشار خودکار و غیرقابل کنترل در چندین دستگاه، ابراز نگرانی می کنند.

آنها می گویند:

این رویکرد نه تنها نفوذ به سیستم‌های بالقوه ایزوله را امکان‌پذیر می‌سازد، بلکه دسترسی به مجموعه وسیعی از موجودیت‌ها، حتی آن‌هایی را که هدف اصلی نیستند را اعطا کرده و حفظ می‌کند.

گروه ای پی تی (APT) کامارو دراگون (Camaro Dragon) به استفاده از دستگاه‌های یو اس بی به عنوان روشی برای آلوده کردن سیستم‌های هدفمند ادامه داده و به طور موثر این تکنیک را با سایر تاکتیک‌های شناخته شده ترکیب می‌کند.

این گروه که توسط محققان با نام‌های پاندای موستانگ (Mustang Panda) و لومینوسموس (LuminousMoth) نیز شناخته می‌شود، مدت‌هاست که متهم به استفاده از درایوهای یو اس بی آلوده به عنوان راهی برای انجام حملات خود، به‌ویژه علیه دولت‌های جنوب شرقی آسیا و آفریقا شده است.

گابور ساپانوس، مدیر تحقیقات تهدید در سوفوس (Sophos) می گوید که محققان دریافته اند که سازمان‌های دولتی در سراسر آسیای جنوب شرقی در نوامبر گذشته با درایوهای یو اس بی که دارای بدافزار پلاگ اکس (PlugX) بوده اند (ابزار مخربی که در سال 2008 توسط پاندای موستانگ ساخته شده است)، هدف قرار گرفته اند.

این کمپین سازمان های دولتی در مغولستان، پاپوآ گینه نو، غنا، زیمبابوه و نیجریه را هدف قرار داده است.

طبق یک پست در وبلاگ ماندیانت (Mandiant) در ماه نوامبر، یک کمپین یو اس بی چینی دیگر نیز در آسیای جنوب شرقی احتمالاً از سپتامبر 2021 آغاز شده است.

چک پوینت می گوید که نسخه بدافزار ویسپ رایدر که در این حمله دیده اند، با عملکردهای درب پشتی بهتر و تاکتیک‌های انتشار بهتر، بهبود یافته است.

این حادثه، نیاز فوری سازمان‌ها به هوشیاری و برداشتن گام‌هایی برای حفاظت از دارایی‌های خود را نشان می‌دهد.

محققان پیشنهاد می کنند که سازمان‌ها از استفاده از درایوهای ناآشنا در دستگاه‌های شرکتی، از جمله ممنوعیت کامل استفاده از آن‌ها، به استثنای مواردی که از منابع قابل اعتماد تهیه شده و برای بدافزار یا راه‌حل‌های جایگزین مانند ذخیره‌سازی‌های ابری یا پلت‌فرم‌های اشتراک‌گذاری فایل رمزگذاری‌شده اسکن شده باشند، خودداری کنند.

پاندای موستانگ قبلا متهم به هدف قرار دادن نخست وزیران و رهبران جنوب شرق آسیا، از جمله میانمار و همچنین سازمان اطلاعات اندونزی و حتی دولت روسیه و نیز مخابرات در سراسر جهان شده بود.

این گروه طی چندین سال از فریب های مرتبط با کووید-19 و حمله روسیه به اوکراین برای انتشار بدافزارهایی مانند پلاگ اکس استفاده کرده است.

گزارشی از رویترز نشان می دهد که پاندای موستانگ به سرقت اطلاعات از سیستم‌های فناوری اطلاعات اتحادیه آفریقا متهم شده است و تا جایی پیشروی کرده است که به نظارت بر تغذیه دوربین‌های امنیتی رسیده است.