حمله به زیرساخت های جهانی با بدافزار Fileless
به گزارش کارگروه حملات سایبری سایبربان، به نقل از «softpedia»؛ گروه تحقیق تهدیدات پیشرفته مک آفی، به تازگی یک کمپین بدافزار معروف به عملیات شارپشوتر (Sharpshooter) را کشف کرده است. این کمپین، بخش های هسته ای، دفاعی، انرژی و مالی را در سراسر جهان، مورد هدف قرار داده است.
همانطور که توسط گروه تحقیقاتی مک آفی (McAfee) مشخص شده است، کمپین عملیات شارپشوتر از داده های درون حافظه ای بسیار مهم برای دانلود و اجرای بسته های اطلاعاتی (payload) سطح دوم، استفاده می کنند. این بسته ی داده ها، «Rising Sun» نام دارد و به نظر می رسد تا کنون 87 سازمان مختلف در سراسر جهان را هدف قرار داده است.
بسته ی ویروسی Rising Sun، یک درب پشتی ماژولار و کاملا کاربردی است که به منظور نظارت بر شبکه های آسیب دیده ی قربانیان طراحی شده است.
بدافزار سطح دوم یاد شده، شباهت های متعددی با تروجان درب پشتی «Duuzer» دارد. این تروجان توسط گروه لازاروس (Lazarus)، یک تهدید سایبری-جاسوسی، در حملاتی که به منظور اختلال در اهدافی از صنایع حیاتی یکسان طراحی شده بود، در طول سال 2015 مورد استفاده قرار گرفت. مشخص شده است که این گروه حداقل از سال 2009 فعال بوده است.
کمپین مذکور خود را به عنوان عملیات قانونی استخدام شغل صنعتی معرفی کرده و ماهیت خود را پنهان می کند. روند حملات نیز با یک فایل حاوی ماکروی مخرب آغاز می شود. این ماکروها به گونه ای طراحی شده اند تا اولین سطح بسته های اطلاعاتی را در حافظه ی سامانه دانلود کرده، به طور مخفیانه در پس زمینه اجرا و اطلاعات را جمع آوری کنند.
شرکت ترند میکرو نیز (Trend Micro)، از نسبت دادن حمله به یک گروه تهدید مشخص، امتناع کرد.
همه ی داده هایی که Rising Sun از سیستم های آلوده شده جمع آوری کرد، به سرورهای کنترل گروه فرستاده شده اند. این اقدام، اطلاعاتی راجع به جزئیات سامانه، تطبیق دهنده های شبکه، نام کاربری و نشانی های آی پی محلی را برای مهاجمان اصلی حملات فراهم کرده و همچنین به آن ها اجازه ی مدیریت فایل ها و فرایندهای سامانه را می دهد.
شرکت امنیتی ترند میکرو، با امتناع از نتیجه گیری سریع توضیح داد:
پیوندهای متعدد فنی عملیات شارپشوتر به گروه لازاروس برای رسیدن به این نتیجه که این گروه مسئول حملات بوده، بسیار واضح بوده، در عوض نشان دهنده ای احتمالی برای عملیات پرچم دروغین است. بهتر است تشخیص افراد پشت این حملات را به انجمن امنیتی وسیع تری بسپاریم.
با توجه به تفاوت های قابل توجه بین بسته ی ویروسی Rising Sun و تروجان Duuzer، این شرکت امنیتی مردد است؛ زیرا بسته ی ویروسی از کانال های ارتباطی «HTTP» و تروجان نام برده از مکانیسم ارتباطی مبتنی بر سوکت استفاده می کند.
علاوه بر این، کدهای فرمان و کد/ داده های بازگشتی در این 2 شاخه، متفاوت است. همچنین طرح های رمزنگاری که توسط سازندگان این 2 استفاده شده است، کاملا متفاوت هستند؛ زیرا تروجان نام برده از یک طرح «XOR» خاص بهره برده و Rising Sun از الگوریتم جریانی RC4 استفاده می کند.
