حمله گسترده به زیرساخت های انرژی آمریکا

به گزارش کارگروه حملات سایبری سایبربان؛ پژوهشگران امنیتی به تازگی 2 کمپین بدافزاری جدید را شناسایی کرده‌اند که صنعت حمل نقل و زیرساخت‌های کشورهایی خاص را هدف قرار می‌دهند.

با توجه به گزارش پروفپوینت (Proofpoint)، اولین کمپین بدافزاری، تحت حمایت یک دولت ایجاد شده و در یک بازه 5 ماهه از 5 آپریل تا 29 آگوست به 17 شرکت ارائه‌دهنده خدمات زیرساختی آمریکا حمله کرده است. در این حمله از ارسال ایمیل‌های فیشینگ برای کارمندان تأسیسات آمریکا استفاده شده است. پس از باز کردن ایمیل سامانه‌ها با یک تروجان دسترسی از راه دور (RAT) آلوده می‌شوند. این تروجان «لوکبک» (LookBack) نام داشته و از ویژگی‌های متنوعی بهره می‌برد.

با وجود این که محققان هنوز حمله لوکبک را به هیچ کشوری نسبت نداده‌اند؛ اما مطرح کردند که احتمالاً گروه APT 10 وابسته به دولت چین مسئول این تهاجم است.

لوکبک با استفاده از زبان برنامه‌نویسی C++ نوشته شده و پس از باز شدن فایل آلوده موجود در ایمیل روی سیستم دانلود می‌شود. پس از این که لوکبک رو سیستم نصب شد، قادر است داده‌های پردازش‌ها و  فایل‌ها را مشاهده کند، محتوا را حذف گرداند، کلیک ماوس انجام دهد، سیستم را مجدداً راه‌اندازی کند و عملکردهای مختلف دیگری را از خود به نمایش بگذارد.

بدافزار مذکور به منظور انتقال اطلاعات میان سیستم آلوده با سرور فرماندهی و کنترل (C2)، از یک ارتباط پراکسی بهره می‌گیرد. با توجه به مشاهدات فعلی به نظر می‌رسد، لوکبک به طور خاص روی آمریکا متمرکز است؛ زیرا تاکنون شرکت‌های حوزه انرژی مانند اپراتورهای نیروگاه‌های هسته‌ای، زیرساخت‌های شبکه برق، نیروگاه‌های زغال‌سنگ و مزارع بادی این کشور را هدف قرار داده است.

کمپین دوم نیز مربوط به بدافزاری به نام «ایکس هانت» (xHunt) است که در گذشته به منظور هدف قرار دادن صنعت حمل‌ونقل کویت مورد هدف قرار گرفته بود.

با توجه به گزارش واحد 42 شرکت پالوآلتو نتورک (Palo Alto Networks)، کمپین ایکس هانت از می سال 2019 فعالیت خود را آغاز کرده است. مهاجمان در این حمله ابتدا یک درب پشتی (Backdoor) به نام نسخه 0.8 هیسوکا (Hisoka version 0.8) را روی سیستم نصب می‌کنند. سپس به واسطه آن بدافزارهای مختلفی را مانند «گان» (Gon)، روی سامانه دانلود کرده و آن را آلوده می‌سازند.

گان به هکرها اجازه می‌دهد تا پورت‌های باز را جستجو کنند، به تهیه اسکرین‌شات پردازند، فایل‌های مورد نظر خود را دانلود یا آپلود کرده، دستورهای دلخواهی را اجرا کنند. همچنین امکان دسترسی از راه دور به محیط سامانه (RDP) را نیز به مهاجم می‌دهد. این قابلیت‌ها امکان نظارت روی سامانه‌های آلوده و سرقت اعتبارنامه‌های آن‌ها را فراهم می‌آورد.

در حمله سال 2018، هکرها از ابزاری به نام «ساکابوتا» (Sokabota) بهره گرفتند که به نظر می‌رسد نسخه اولیه هیسوکا باشد.

محققان توضیح دادند:

تعداد توابع و نام های به کار رفته در هیسوکا و ساکابوتا کاملاً مشابه یکدیگر است. این موضوع نشان می‌دهد توسعه‌دهنده و مهاجم هر دو حمله یک گروه هستند.

تحلیلگران همچنین شرح دادند تعدادی از زیرساخت‌های به کار رفته در گان، ساکابوتا و هیسوکا با نمونه‌های استفاده شده توسط گروه‌های ایل ریگ (OilRig)، هلیکس کیتن (Helix Kitten) و APT 35 هستند. آن‌ها ادعا می‌کنند گروه‌های یاد شده وابسته دولت ایران هستند. با وجود این هیچ‌یک از اطلاعات ارائه شده از بدافزارها، ارتباطی میان ایل ریگ و ایکس هانت را نشان نمی‌دهد.