متهم کردن ایران، به جاسوسی سایبری، علیه جهان

به گزارش کارگروه حملات سایبری سایبربان؛ محققان امنیتی پالو آلتو نتورک (Palo Alto Network) به تازگی ادعا کرده‌اند که یک گروه هکری به نام اویل ریگ (OilRig) به منظور انجام دادن جاسوسی‌های سایبری، به صورت گسترده، از دی‌ ان ‌اس تانلینگ (DNS Tunneling) بهره می‌گیرد.

پالو آلتو ادعا می‌کند که اویل ریگ، از سال 2014، فعالیت خود را آغاز کرده و وابسته به دولت ایران است. از اهداف اصلی این گروه می‌توان به حوزه‌های مالی، دولتی، انرژی، ارتباطات و شیمی آمریکا و کشورهای آسیای غربی اشاره کرد.

بر اساس گزارش منتشرشده ازسوی شرکت مذکور، بسیاری از بدافزارهای مورد استفاده توسط اویل ریگ، در سال‌های گذشته از «DNS Tunneling» بهره می‌بردند. هدف از این کار، حفظ ارتباط با زیرساخت‌های فرماندهی و کنترل (C&C) بوده است.

کارشناسان ذکر کردند که اولین بار در سال 2016، به بهره گیری اویل ریگ از شیوه‌ی حمله نام برده، اشاره شده است. از این روش، در توسعه تروجان‌های «Helminth»، «ISMAgent»، «QUADAGENT»، «BONDUPDATER» و «BONDUPDATER»  -که ادعا می‌شود متعلق به اویل ریگ هستند-  بهره گرفته شده است.

با تحلیل پروتکل‌های تانلینگ مورد استفاده ازسوی اویل ریگ، موارد زیر به دست می‌آیند:

•    همه‌ی زیردامنه‌ها، حاوی یک ارزش تولیدشده تصادفی هستند. این کار، به منظور جلوگیری از پرس‌و‌جوی DNS در نتیجه‌ی یک واکشی کش (cached response) است.
•    به منظور جمع‌آوری شناسه، سامانه منحصربه‌فرد، از تبادل سیگنال اولیه بهره می‌گیرد.
•    به منظور شروع، یا توقف ارسال داده در داخل «DNS»، از آدرس‌های آی پی هاردکد شده، بهره گرفته می‌شود.
•    داده‌ی بارگذاری شده، شامل دنباله‌ای از اعداد است که به سرورهای فرماندهی و کنترل اجازه می‌دهند، اطلاعات را به صورت صحیح بازسازی کنند.
•    با توجه به نام ابزار، اویل ریگ، از انواع جست‌وجوی «A»، «AAA» و «TXT» برای تانلینگ بهره می‌گیرد.
•    همه‌ی پروتکل‌های DNS Tunneling، کوئری‌های DNS منحصر به فردی به وجود می‌آورند.

در بخشی از گزارش پالو آلتو آمده است:

صرف‌نظر از ابزار به کار رفته، همه‌ی پروتکل‌های DNS Tunneling، به منظور دریافت داده‌ها و انتقال آن‌ها به سرورهای فرماندهی و کنترل، از کوئری‌های DNS استفاده می‌کنند. بنابراین پروتکل‌های بالا، باید با پروتکل‌های DNS همخوانی داشته باشند. از همین رو، زیردامنه‌های طراحی شده، باید با حروف، یا ارقام شروع و پایان یافته، کمتر از 64 کاراکتر باشند. همچنین کل کوئری دامنه، شامل دامنه فرماندهی و کنترل و زیردامنه طراحی شده، نباید بیشتر از 253 کاراکتر داشته باشد.

برای نمونه، متخصصان شرح دادند؛ در طول چند سال گذشته، انواع مختلفی از درب پشتی «Helminth» را شناسایی کردند که همه‌ی آن‌ها، از یک «DNA Type A» مشابه بهره می‌بردند؛ اما هکرها می‌توانستند با تغییر زیر دامنه‌های تولیدشده، از شناسایی شدن جلوگیری کنند.

کارشناسان اظهار کردند که به نظر می‌رسد هکرهای یادشده، مزایای کاربرد DNS Tunneling را درک کرده‌اند؛ زیرا به کمک آن، می‌توان تقریباً به همه‌ی ابزارهای سراسر جهان نفوذ کرد.