شناسایی گروه جدید هکری Hexane

به گزارش کارگروه امنیت سایبربان؛ به‌تازگی کارشناسان امنیتی شرکت Dragos مدعی شدند گروه هکری جدیدی به نام Hexane شناسایی کرده‌اند که سیستم‌های کنترل شرکت‌های صنعتی، نفت و گاز و مخابرات را در خاورمیانه موردتهاجم سایبری قرار می‌دهد.

بر اساس ادعای شرکت امنیت سایبری دراگوس این گروه حفاظ تأسیسات را از طریق پیمانکاران معتمد با متضرر ساختن تجهیزات و نرم‌افزارها و شبکه‌های مخابراتی که توسط برخی تأسیسات به‌عنوان سامانه‌های کنترل خودکار پروسه‌های فنی مورداستفاده قرار می‌گیرند، دور می‌زند. اعضای این گروه فعالیت خود را از سال 2018 آغاز کرده و از اسناد آلوده برای نفوذ به شبکه استفاده می‌کنند. نیمه اول سال 2019  این گروه حملات خود را روی شرکت‌های نفت و گاز خاورمیانه خصوصاً کویت متمرکز کرده بودند. دراگوش همچنین مدعی شد گروه Hexane همچنین ارائه‌دهندگان خدمات مخابراتی را در کشورهای خاورمیانه، آفریقا و آسیای مرکزی موردتهاجم سایبری قرار داده است.

شرکت امنیت سایبری امریکایی نام برده در ادامه مدعی شد فعالیت‌های مخرب Hexan بسیار شبیه به حملات گروه‌های هکری (APT33)Magnallium  و Chrysene و Xenotime هستند، چراکه کلیه این گروه‌ها تأسیسات نفت و گاز را مورد هدف قرار می‌دهند و از متدهای مشابهی بهره می‌گیرند. گروه (APT33) حداقل طی 6 سال اخیر به جاسوسی سایبری مشغول بوده و از سال 2017 شرکت¬های بین‌المللی را در ایالات‌متحده، کره جنوبی و عربستان سعودی موردتهاجم قرار می دهد. نوک پیکان حملات این گروه به سمت هوافضا، انرژی و پتروشیمی گرفته‌شده است. به نظر می¬رسد این گروه به MuddyWater معروف است و یا با MuddyWater همکاری نزدیکی دارد.

این گروه در وهله نخست همیشه از حملات فیشینگ هدف‌دار (Spear Phishing) استفاده می¬کند، بدین‌صورت که به کارکنان شرکت های با مقاصد خاص (special purpose company) ایمیل هایی ارسال می گردد که آلوده به پیوست های مخرب بوده و به‌دقت طراحی و موضوع‌بندی شده اند. این پیوست معمولاً به فرمت HTA (HTML Application) بوده و حاوی جاوا یا وی بی اسکریپت (JS -VBScript) هستند. فیشینگ ازاین‌جهت است که این پیوست مخرب در ویندوز بدون هیچ کنترلی فعال می¬شود. این برنامه مخرب در مرورگر باز نمی شود و از طریق Microsoft HTML Application Host و سامانه‌های کتابخانه ای (system library)mshtml.dll.  راه اندازی می شود که درنتیجه کلیه تنظیمات امنیت مرورگر دیگر بی نتیجه می-شود.

گروه APT33 برای واقعی جلوه دادن ایمیل ها، تعدادی دامنه ثبت می کند که به اسامی شرکت های هواپیمایی عربستان سعودی و شرکای غربی آن‌ها در حوزه خدمات فنی شبیه‌سازی‌شده است که از میان آن‌ها می توان به آدرس های جعلی بوئینگ (Boeing)، نورثروپ گرومن (Northrop Grumman)، السلام ایرکرفت (Alsalam Aircraft) و Saudia Aerospace Engineering Industries و مؤسسات وابسته به آن‌ها اشاره نمود. شرکت¬های هواپیماییAirAsia, Thai Airways Flydubai и Etihad Airways نیز آماج حملات قرارگرفته‌اند.

گروه Chrysene شرکت‌ها و سازمان‌هایی را در آمریکای شمالی، اروپا و اسرائیل و عراق آماج حملات خود قرار داده و از بدافزارهای پیچیده هم برای تهاجم و هم جاسوسی استفاده می‌کند. در ماه ژوئن سال جاری گروه هکری Xenotime نیز شرکت‌های انرژی ایالات‌متحده و کشورهای آسیا و حوزه اقیانوس آرام را به لیست جامعه هدف خود افزود. این گروه از سال 2014 فعال بوده است، اگرچه سال 2017 پس از حمله به شرکت‌های نفت و گاز عربستان سعودی با استفاده از بدافزار صنعتی تریتون «Triton» - با نام Trisis و HatMan نیز شناخته می‌شود - که برای حمله به سیستم‌های امنیتی Schneider Electric Triconex اختصاص‌یافته‌اند، شناسایی‌شده است.

در همین‌ رابطه، شرکت امنیتی فایرآی (fireeye)، به‌تازگی با انتشار گزارشی مدعی شد که به شواهدی دست‌یافته که نشان می‌دهد، روسیه در توسعه و انتشار بدافزار صنعتی تریتون نقش داشته است. این شرکت از سرنخ‌های متفاوتی پرده‌برداری کرده است که مرتبط با یک آزمایشگاه دولتی با نام موسسه تحقیقات شیمی و مکانیک مسکو «CNIIHM» در روسیه است. به گفته فایرآی، ازآنجایی‌که امکان ایجاد یک بدافزار با چنین قابلیت‌هایی بدون داشتن دانش لازم درزمینه سیستم‌های کنترل صنعتی «ICS» امکان‌پذیر نیست، احتمال حضور موسسه CNIIHM به‌عنوان مشاور و فراهم‌کننده بسترهای توسعه بدافزار برای سازندگان آن وجود دارد.

سال گذشته نیز تیم کارشناسی Dragos گروه‌های مذکور را در لیست گروه‌هایی قرارداد که بیشترین خطر را برای سامانه‌های کنترل خودکار پروسه‌های فنی (automated control system) دارند.