حمله گروه هکری چینی به کاربران ویچت

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، محققان امنیتی یک ابزار نظارتی به نام لایت اسپای (LightSpy) را با گروه جاسوسی سایبری چینی به نام ای پی تی 41 (APT41) مرتبط کردند.

این گروه از پیام‌های هرزنامه برای متقاعد کردن کاربران جهت دانلود یک برنامه مخرب ویچت (WeChat) از فروشگاه‌های برنامه شخص ثالث، استفاده می کرده است.

محققان امنیتی در تریت فابریک (ThreatFabric) استفاده از بدافزار نظارتی لایت اسپای را به گروه هکری تحت حمایت دولت نسبت می‌دهند که با نام ویکد پاندا (Wicked Panda) نیز شناخته می‌شود.

برخلاف اکثر عوامل تهدید، ای پی تی 41 سابقه استفاده از انواع بدافزارهای نظارتی، سازگار با دستگاه های آی او اس (iOS) و اندروید را دارد.

شرکت امنیت سایبری کسپرسکی، لایت اسپای را در سال 2020 در حمله ای که کاربران آی او اس را در هنگ کنگ هدف قرار داده بود، شناسایی کرد.

لایت اسپای قادر است اطلاعات خصوصی دقیقی را از دستگاه های قربانی به سرور فرماندهی و کنترل خود به دست آورده و به آنها انتقال دهد.

این اطلاعات ممکن است شامل مکان دقیق قربانی در داخل ساختمان، داده های پرداخت، ضبط تماس ها و آرشیو چت باشد.

تریت فابریک گفت این بدافزار حاوی ده‌ها پلاگین است که قابلیت‌های نظارت و استخراج داده‌ها را دارد.

ای پی تی 41 با حملات برنامه های کاربردی وب و سوء استفاده از آسیب پذیری نرم افزار مرتبط بود، اما اخیراً تاکتیک هایی را برای توسعه بدافزارهای خاص برای سیستم عامل های تلفن همراه تغییر داده است.

شرکت امنیت سایبری لوک اوت (Lookout) در ماه جولای گفت این گروه تهدید که با نام‌های باریوم (Barium)، ارث باکو (Earth Baku) و وینتی (Winnti) نیز شناخته می‌شود، از بدافزارهای نظارتی ویرم اسپای (WyrmSpy) و دراگون اگ (DragonEgg) نیز برای هدف قرار دادن دستگاه‌های تلفن همراه اندرویدی استفاده می‌کند.

محققان تریت فابریک، آدرس‌های آی پی (IP)، هش‌ها و نمونه‌های بدافزار منتشر شده توسط اوک اوت را تجزیه و تحلیل کرده و با اطمینان بالا به این نتیجه رسیده اند که گروه تهدید مسئول استفاده از بدافزار نظارتی دراگون اگ و لایت اسپای، یکی است.

مسیر فرمان و کنترل (C2) هر دو نسخه بدافزار حاوی یک شناسه منحصر به فرد و کلمه لایت (light) است و هر دو نسخه بدافزار، الگوی پیکربندی و ساختار زمان اجرای یکسانی دارند.

ساختار آنها شامل یک هسته است که در آن عوامل تهدید می توانند ماژول های قابل به روز رسانی پویا را اضافه کنند که از عملکردهای متعدد پشتیبانی می کنند.

نسخه‌های بدافزار اندروید و آی او اس، همچنین داده‌های جی اس اون ان (JSON) را با شناسه فرمان و سرور اجرا، نقاط پایانی ای پی آی (API) مشابه، و فهرستی از شبکه‌های وایفای را که در نزدیکی همان نقاط پایانی ای پی آی پشتیبان بودند، به سرور ارسال می‌کند.

طبق گفته تریت فابریک، عاملان تهدید از نسخه مخرب وی چت برای به دست آوردن مجوزهای دسترسی گسترده به یک دستگاه هدف استفاده کرده و از لایت اسپای برای استخراج اطلاعات خصوصی داخلی مانند آرشیو ارتباطات، لیست مخاطبین و فایل های ذخیره شده استفاده می کرده اند.

این گروه تهدید، سرورهای فعالی در چین، سنگاپور و روسیه دارد و در درجه اول قربانیان را در منطقه آسیا و اقیانوسیه هدف قرار داده است.

این شرکت گفت:

لایت اسپای ممکن است به اطلاعات خصوصی داخلی از پیام رسان از جمله آرشیو ارتباطات، لیست مخاطبین و فایل های ذخیره شده دسترسی پیدا کند که در صورتی که امتیازات کاربر در دستگاه در دسترس نباشد، امری بسیار مهم است. ما گمان می کنیم که چنین تکنیکی زمانی که پیام رسان ها حامل کدهای مخرب هستند، بسیار خطرناک است و به سختی قابل تشخیص است.