سرور کمپین شارپشوتر، به دست تحلیلگران رسید

به گزارش کارگروه حملات سایبری سایبربان؛ شرکت مک‌آفی -که در دسامبر 2018، گزارشی را در رابطه با یک پویش حمله سایبری به نام شارپشوتر (Operation Sharpshooter) منتشر کرده بود- به تازگی و چند ساعت قبل از شروع اجلاس «RSA 2019»، اطلاعات جدیدی را در این رابطه منتشر کرد. در این تهاجم، بیش از 80 سازمان و صنایع حیاتی مختلف از سراسر جهان مانند: ارتباطات، انرژی، دولت و حوزه‌ دفاعی، هدف قرار گرفتند.

در گزارش پیشین مک‌آفی، آمده بود که ساختار بدافزار مورد استفاده، بسیار به شیوه‌ عملکرد گروه لازاروس (Lazarus) کره شمالی شباهت دارد؛ اما آنان نتوانستند مدرکی برای اثبات این موضوع، ارائه دهند. کارشناسان این شرکت، اخیراً اعلام کردند که پس از اجرای تحقیقات گسترده‌تر، هم‌اکنون توانایی انجام دادن این کار را دارند.

مقامات آمریکایی، به تازگی سرور فرماندهی و کنترلی (C2) را -که باور داشتند در حمله شارپشوتر و چندین تهاجم دیگر، مورد بهره برداری قرار گرفته است- در اختیار تحلیلگران امنیتی قرار دادند.

بخش پژوهش تهدیدات پیشرفته مک‌آفی (McAfee Advanced Threat Research)، موفق شد با بررسی سرور یادشده، ابزارها و تریدکرفت (Tradecraft) به کار رفته را در آن کمپین جاسوسی سایبری، شناسایی کند. این بررسی باعث شد تا چندین سرور فرماندهی و کنترل دیگر -که در گذشته از آن‌ها بهره‌ برداری شده بود- کشف شوند. همچنین مشخص شد که حمله‌ شارپشوتر، از اوایل 2017 آغاز شده است و اهداف آن، مجموعه‌ گسترده‌ای از سازمان‌ها و صنایع مختلف را در بر می‌گیرند.

راج سمانی (Raj Smani)، یکی از پژوهشگران ارشد مک‌آفی گفت:

بررسی‌های گروه پژوهش تهدید پیشرفته، از کدها و داده‌های سرور فرماندهی و کنترل مذکور، بینش بهتری نسبت به چگونگی توسعه شارپشوتر و پیکربندی زیرساخت‌های کنترل، نحوه توزیع بدافزار و شیوه آزمایش پنهانی آن، ارائه می‌دهد. این داده‌ها، به منظور درک عمیق‌تر دشمن، بسیار ارزشمند هستند و همچنین به دستیابی از دفاع قدرتمندتر، کمک می‌کنند.

کریستین بک (Christiaan Beek)، دانشمند و مهندس ارشد مک‌آفی ادامه داد:

شواهد فنی، معمولاً برای درک کامل یک حمله‌ سایبری، کافی نیست؛ زیرا همگی، قطعات پازل را ارائه نمی‌دهند. دسترسی به کد سرور فرماندهی و کنترل دشمن، یک فرصت نادر است. این سامانه‌ها، درحالی که به ندرت در اختیار بخش خصوصی هستند، بینش بهتری را از زیرساخت حمله، در اختیار ما، قرار می‌دهند.

بررسی اسناد جدید، شواهد بیشتری را از شباهت پویش شارپشوتر با گروه لازاروس، نشان می‌دهند. این حملات، همچنان درحال اجرا هستند و تمرکز اصلی و فعلی آن‌ها، زیرساخت‌های خدمات مالی، دولتی و حیاتی است. همچنین کشورهای آلمان، ترکیه، انگلیس و آمریکا، بیش از هر نقطه‌ دیگری، مورد هجوم قرار گرفته‌اند.

سرور اشاره شده، به عنوان زیرساخت فرماندهی و کنترل بدافزار مورد بحث، عمل کرده و با زبان‌های «PHP» و «ASP» نوشته شده است. کاربرد این 2 زبان برنامه‌نویسی وب، باعث شده بود تا به سادگی توسعه یابند و مقیاس‌پذیر باشد. این سرور، در پس‌زمینه، از چندین کامپوننت گوناگون بهره می‌برد که هر یک، وظیفه‌ خاصی دارند. برای مثال، یکی از آن‌ها، وظیفه‌ دانلود ایمپلنت رایزینگ سان (Rising Sun) را از روی یک سرور واسط، برعهده دارد؛ تا به پنهان‌سازی عملیات کمک کند.

رایزینگ‌ سان، یک بدافزار ماژولار، به حساب می‌آید که با گذشت چنین سال، به مرور زمان، تکامل یافته است. در زمان بررسی سرور، مشخص شد که تعدادی از کامپوننت‌های این بدافزار، در سال 2016، به وجود آمده بودند. همچنین نشانه‌هایی از نمونه‌ تکامل یافته درب پشتی «Duuzer» -که در سال 2015 با رایانه‌های کره جنوبی، هدف قرار گرفت- پیدا شد. به علاوه بخشی از کد مورد بررسی نیز به حمله انجام گرفته به شرکت سونی، شباهت داشت.

با بررسی فایل لاگ نیز چندین آدرس آی‌پی شناسایی شدند که متعلق به کشور نامبیا در آفریقا بودند. پژوهشگران مک‌آفی نتوانستند توضیحی برای این مسئله بیابند؛ اما احتمال می‌دهند که پیش از آغاز حمله‌ اصلی، ایمپلنت‌ها در بستر همین آی‌پی‌ها، مورد بررسی قرار گیرند.