به گزارش کارگروه حملات سایبری سایبریان؛ تیم شکارچی تهدید سیمَنتک (Symantec Threat Hunter Team) اعلام کرد که 4 سازمان زیرساخت حیاتی در یک کشور جنوب شرقی آسیا هدف یک کمپین جمعآوری اطلاعات قرار گرفتند که چندین ماه ادامه داشت. از جمله سازمانهای مورد هدف یک شرکت آب، یک شرکت برق، یک شرکت ارتباطات و یک سازمان دفاعی بودند و ظاهراً براساس شواهد موجود، مهاجمان به اطلاعات مربوط به سیستمهای اسکادا (SCADA) علاقه داشتند.
محققان سیمَنتک اظهار داشتند که حملات حداقل از ماه نوامبر سال گذشته تا ماه مارس امسال، چند ماه قبل از حمله سایبری به خط لوله «Colonial» که توجه جهان را به خطر حملات سایبری روی زیرساختهای حیاتی جلب کرد، ادامه داشت و شاید حتی زودتر از آن هم آغاز شده بود. دسترسی مهاجم به چندین سازمان زیرساختی حیاتی در یک کشور احتمالی میتواند باعث دسترسی عوامل مخرب به حجم وسیعی از اطلاعات حساس باشد.
به گفته تیم شکارچیان تهدید، نشانههای متعددی وجود دارند که نشان میدهد یک مهاجم پشت همه حملات بوده است؛ این نشانهها عبارتند از :
- پیوندهای جغرافیایی و بخشی سازمانهای هدف؛
- وجود برخی مصنوعات روی ماشینها در سازمانهای مختلف از جمله بارگیری کننده (که در 2 سازمان یافت میشود) و یک صفحه کلید (که در 3 سازمان یافت میشود)
- آدرس آیپی مشابهی نیز در حمله سایبری روی 2 سازمان دیده شد؛
کارشناسان معتقدند که طبق برخی نشانهها، مهاجم پشت این کمپین در چین مستقر است، اما با اطلاعات فعلی موجود، سیمَنتک نمیتواند این فعالیت را به یک عامل شناخته شده نسبت دهد. به نظر میرسد سرقت هویت و جابهجایی جانبی در شبکههای قربانی یکی از اهداف اصلی مهاجم بوده که در این کمپین از ابزارهای «living-off-the-land» استفاده کرده است. از جمله این ابزارها یا ابزارهای استفاده مجدد میتوان به موارد زیر اشاره کرد :
- ابزار مدیریت ویندوز (WMI)
- «ProcDump»
- «PsExec»
- «PAExec»
- «Mimikatz»
مهاجم همچنین در حال سوءاستفاده از عامل چندرسانهای قانونی برای بارگیری «DLL» مخرب از طریق ربودن دستور جستجو و همچنین سوء استفاده از ابزار قانونی دیگر برای بارگیری پروندههای مشکوک روی دستگاههای قربانی است.
