به گزارش کارگروه حملات سایبری سایبربان؛ محققان امنیت سایبری میگویند یک گروه جاسوسی سایبری چینی را کشف کردهاند که علاوه بر جاسوسی از اهداف استراتژیک دولتی، شرکتهای ارز دیجیتال را با انگیزههای مالی هدف حمله قرار میدهند.
این گروه که ارث لوسکا (Earth Lusca) نام دارد، سالهای گذشته را صرف جاسوسی از اهدافی کرده است که میتواند موردعلاقه دولت چین باشد ازجمله:
- نهادهای دولتی در تایوان، تایلند، فیلیپین، ویتنام، امارات، مغولستان و نیجریه
- مؤسسات آموزشی در تایوان، هنگکنگ، ژاپن و فرانسه
- رسانههای خبری در تایوان، هنگکنگ، استرالیا، آلمان و فرانسه
- سازمانها و جنبشهای سیاسی طرفدار دموکراسی و حقوق بشر در هنگکنگ
- سازمانهای تحقیقاتی واکسن کرونا در ایالاتمتحده
- شرکتهای مخابراتی در نپال
- جنبشهای مذهبی که در سرزمین اصلی چین ممنوع هستند
درحالیکه فعالیت اصلی این گروه بر جمعآوری اطلاعات متمرکز بوده است، شرکت امنیتی ترند میکرو (Trend Micro) بهتازگی در گزارشی اعلام کرده این گروه همچنین حملاتی صرفاً با انگیزه مالی را علیه شرکتهای قمار در چین و پلتفرمهای مختلف ارز دیجیتال سازماندهی کرده و اموالی را استخراج کرده است.
آیا این گروه همان APT41 است؟
کشف یک گروه جاسوسی دولتی که با انگیزه مالی در حملات شرکت میکنند، معمولاً یک یافته بزرگ است، با این تفاوت که انجام همزمان این دو نوع حمله (جاسوسی و حملاتی با انگیزه مالی) اخیراً به الگویی برای گروههای هکری تبدیل شده است.
برای مثال، گروههای ایرانی در حال هک کردن دستگاههای VPN در سراسر جهان هستند، آنها اهداف مهمی را برای جمعآوری اطلاعات انتخاب میکنند و اطلاعات مازاد را در فرومهای زیرزمینی به گروههای باج افزاری میفروشند.
هکرهای کره شمالی هم روش خود را دارند، برخی از آنها توسط خود دولت مأمور و موظف شدهاند که در سرقتهای بانکی و ارزهای دیجیتال بهعنوان راهی برای جمعآوری پول برای رژیم پیونگیانگ که در سه دهه گذشته تحت تحریمهای اقتصادی سنگین بوده است، شرکت کنند.
در مورد چین هم قبلاً، این دوبعدی بودن در برخی از عملیاتهای جاسوسی دیده شده است، مانند گزارشی که شرکت فایر آی (FireEye) درباره گروه APT41 معروف به دبل دراگون (Double Dragon) ارائه کرد.
درواقع، به نظر میرسد بسیاری از تاکتیکها و حملات گروه ارث لوسکا، کاملاً عملیات گذشته و جدیدتر گروه APT41 را توصیف میکنند و ممکن است ارث لوسکا ازنظر شرکت امنیتی ترند میکرو نمای دیگری از گروه APT41 باشد، با تأکید بر اینکه APT41 یکی از بزرگترین و فعالترین گروههای هکری حال حاضر است.
فیشینگ، حملات چاله آب و سوءاستفاده از سرور
شرکت ترند میکرو در مورد نحوه انجام عملیاتهای اخیر گروه ارث لوسکا گفت که این گروه عمدتاً در حملاتی که اخیراً توسط این شرکت مشاهده شدهاند از سه روش استفاده میکند:
- بهرهبرداری از آسیبپذیریهای اصلاحنشده در سرورهای عمومی و برنامههای کاربردی وب (هدفهای رایج در این نوع حملات شامل Oracle GlassFish و سرورهای Microsoft Exchange میشود)
- ارسال ایمیلهای فیشینگ به سازمانهای هدف، این ایمیلها حاوی لینکهایی هستند که سازمانها را به فایلها یا سایتهای مخرب هدایت میکنند.
- حملات چاله آب، در این نوع حملات هکرها قربانیان را در سایتهای هک شده فریب میدهند و سعی میکنند قربانیان را با بدافزار آلوده کنند.
شرکت ترند میکرو گفت که در بیشتر موارد، مهاجمان سعی کردهاند نسخهای از بدافزار کوبالت استرایک (Cobalt Strike) را روی میزبانهای آلوده مستقر کنند. این بدافزار ابزاری است که توسط محققان امنیتی برای شبیهسازی حملات مورداستفاده قرار میگیرد و در سالهای اخیر بهطور گستردهای توسط گروههای هکری مورداستفاده قرار گرفته و هکرها از آن بهعنوان اولین نقطه نفوذ و بهعنوان راهی برای استقرار بدافزارهای بعدی استفاده میکنند.
بدافزارهای مرحله دوم که توسط ارث لوسکا به این طریق مستقر شده بودند عبارتاند از:
- درب پشتی Doraemon
- درب پشتی ShadowPad
- درب پشتی Winnti
- درب پشتی FunnySwitch
- پوسته وب AntSword
- پوسته وب Behinder
محققان همچنین خاطرنشان کردند که این گروه همچنین استخراجکنندههای رمز ارز را بر روی میزبانهای آلوده مستقر کرده است، اگرچه هنوز مشخص نیست که آیا هدف آنها از این کار انگیزههای مالی بوده یا این کار را بهعنوان راهی برای دور زدن تیمهای امنیتی که ممکن است یکی از نفوذهای آنها را کشف کنند انجام دادهاند تا محققان را به این باور برسانند که این حملات هکری یک بات نت استخراج رمز ارز است و نه یک عملیات جاسوسی سایبری پیچیده.
