هک شرکت ملی نفت بحرین با بدافزار جدید وایپری داده

به گزارش کارگروه حملات سایبری سایبربان؛ وبگاه تخصصی «ZDNet» به گفته برخی منابع اعلام کرد که هکرهای ایرانی از بدافزار جدید پاک‌‌کن داده در شبکه باپکو (Bapco)، شرکت ملی نفت بحرین استفاده کرده‌اند.

این اتفاق 29 دسامبر سال گذشته رخ داد. به گفته کارشناسان، حادثه فوق اثر دلخواه هکرها را در پی نداشت، زیرا تنها بخشی از ناوگان رایانه‌ای باپکو تحت تأثیر قرار گرفت و شرکت پس از حمله به کار خود ادامه داد.

ZDNet اظهار داشت که سازمان امنیت سایبری ملی عربستان سعودی هفته گذشته در مورد حمله سایبری به باپکو هشدار داده بود. مقامات سعودی نیز به شرکت‌های فعال در بازار انرژی در مورد حملات احتمالی هشدار دادند و از شرکت‌ها خواستند تا امنیت شبکه‌های خود را تأمین کنند.

حادثه امنیتی باپکو در میان افزایش تنش‌های سیاسی بین ایالات متحده و ایران و پس از شهادت سردار سلیمانی به‌وسیله پهپاد آمریکایی مطرح شد. اگرچه این حادثه به نظر با تنش‌های سیاسی میان 2 کشور ارتباطی ندارد، اما نشان دهنده توانایی‌های پیشرفته فنی ایران برای اجرای حملات سایبری مخرب است؛ درست همان چیزی که وزارت امنیت داخلی آمریکا در مورد آن پیشتر هشدار داده بود.

بدافزار داستمن (Dustman)

حمله باپکو با یک بدافزار جدید به نام داستمن (Dustman) رخ داد. براساس تجزیه و تحلیل آژانس امنیت سایبری ملی عربستان، داستمن یک پاک‌کننده اطلاعات است و برای حذف داده‌ها در کامپیوترهای آلوده طراحی شده است. بنا به ادعای کارشناسان، داستمن نماینده سومین بدافزار پاک‌کننده داده با تهران ارتباط دارد و هکرهای ایرانی سابقه طولانی در استفاده از این گونه بدافزارها دارند.

هکرهای ایرانی قبلاً در سال 2012 از بدافزار شمعون موسوم به «Disttrack» - گونه‌ای بدافزار برای پاک کردن بیش از 32 هزار کامپیوتر در آرامکو (شرکت ملی نفت عربستان) – در یکی از مشهورترین حملات سایبری جهان استفاده کرده بودند. 2 نسخه دیگر شمعون نیز در سال‌های بعد با نام‌های «Shamoon v2» (مورد استفاده در سال‌های 2016 و 2017) و «Shamoon v3» (مورد استفاده در سال‌های 2018 و 2019) کشف شدند.

طبق گزارش منتشر شده از «IBM X-Force»، هکرهای ایرانی با یک بدافزار ثانویه مختلف موسوم به «ZeroCleare» - که اولین بار در سال 2019 کشف شد – در این حملات دخالت داشته‌اند. به گفته مقامات سعودی، داستمن به نظر نسخه به‌روز شده و پیشرفته‌تر پاک‌کننده ZeroCleare است که پاییز سال قبل کشف شد و شباهت‌های چندگانه کد با شمعون اصلی داشت.

مؤلفه اصلی مشترک بین هر 3 نوع بدافزار، «EldoS RawDisk»، یک ابزار نرم‌افزاری قانونی برای تعامل با پرونده‌ها، دیسک‌ها و پارتیشن‌ها است. در این 3 بدافزار از تکنیک‌های مختلف برای ارزیابی دسترسی اولیه به سطح اصلی، از محل اولیه و اجرای EldoS RawDisk برای پاک ‌کردن داده‌ها در هاست‌های آلوده استفاده می‌شده است.

از زمان کشف داستمن در نسخه نهایی ZeroCleare، بیشتر کدها یکسان هستند اما مقامات سعودی معتقدند که داستمن 2 تفاوت مهم دارد:

توانایی مخرب داستمن و کلیه درایورها و بارگذارهای مورد نیاز در یک پرونده اجرایی بر خلاف 2 مورد دیگر ارائه شده است، همانطور که در مورد ZeroCleare نیز وجود داشت.

داستمن توده را بازنویسی می‌کند، درحالیکه ZeroCleare با نوشتن آن با داده‌‎های زباله حجم را پاک می‌کند (0x55)

هدف‌گیری باپکو

به گفته منابع آگاه، هدف قرار دادن باپکو یا داستمن در حالت معمول با هکرهای ایرانی باید مرتبط باشد. از نظر تاریخی، پیش از استقرار داستمن هکرهای ایران از شمعون و ZeroCleare در شرکت‌های نفت و گاز استفاده می‌کردند.

اهداف گذشته شامل شرکت‌های سعودی و آرامکو (شرکت نفت و گاز عربستان) بودند. ایران و عربستان سعودی از سال 1970 به دلیل اختلاف نظر در تفسیر اسلام و رقابت در بازار صادرات نفت روابط تیره‌‎ای دارند. باپکو یک شرکت بحرینی است که به علت روابط تجاری شناخته شده با آرامکو، روبط سیاسی خوبی با ایران ندارد.

نحوه رخداد حادثه

باپکو به نظر تنها قربانی حمله به‌وسیله داستمن است، اما این بدان معنا نیست که بدافزار در شبکه سایر اهداف مستقر نشده است. به گزارش «CNA»، مهاجمان ظاهراً قصد استفاده از داستمن در آن زمان را نداشته‌اند، اما فرآیند پاک کردن داده‌ها به عنوان آخرین تلاش برای از بین بردن شواهد در اشتباهات متعدد شبکه هک بوده است.

منابع آگاه در گفتگو با ZDNet ادعا کرده‌‎اند که شرکت بحرینی در تابستان گذشته مورد حمله قرار گرفته است. مقامات سعودی سی‌ان‌ای با چندین منبع دیگر تأیید کردند که نقطه شروع، سرورهای وی‌پی‌ان شرکت بوده است. گزارش سی‌ان‌ای نشان می‌دهد که آسیب‌پذیری‌های راه دور در یک دستگاه وی‌پی‌ان در ماه ژوئیه 2019 کشف شده و این نقطه شروع ورود مهاجمان به باپکو است.

با وجود اینکه مقامات دستگاه خاصی را به عنوان مقصر معرفی نکرده‌اند، اما به گزارش منتشر شده از «Devcore» در تابستان گذشته اشاره می‌کنند که اشکالات اجرا از راه دور در سرورهای وی‌پی‌ان درجه سازمانی مانند مواردی در فورتینت (Fortinet)، «Pulse Secure» و شبکه‌های پالو آلتو (Palo Alto) را نشان می‌داد.

برخی محققان معتقدند که هکرها از آسیب‌پذیری در سرورهای Pulse Secure استفاده می‌کنند در حالیکه دیگران به سرورهای وی‌پی‌ان فورتینت اشاره دارند.
موتور جستجوی «BinaryEdge» نشان می‌دهد که بخشی از شبکه «vpn.bapco.net» در واقع روی تجهیزات وی‌پی‌ان فورتینت اجرا می‌شود. با این وجود، احتمالاً باپکو در گذشته سرورهای Pulse Secure را اجرا می‌کرده است.

منابع درخصوص سرور دقیق وی‌پی‌ان مورد استفاده در حمله اختلاف نظر دارند. به گزارش سی‌ان‌ای در عربستان، هکرها ابتدا کنترل سرور وی‌پی‌ان را در اختیار گرفتند و سپس دسترسی خود را به کنترل کننده دامنه محلی افزایش دادند.

در این گزارش آمده است : «عامل تهدید حساب‌های مدیریت و سرویس دامنه را در شبکه قربانی به دست آورد و بدافزار داستمن را روی همه سیستم‌های قربانی نصب کرد. مهاجم از حساب سرویس کنسول مدیریت آنتی ویروس برای توزیع بدافزار در شبکه استفاده کرده است.

عامل تهدید پس از دسترسی به شبکه قربانی، بدافزار و ابزار اجرا از راه دور را با نام «PSEXEC» را در سرور کنسول مدیریت آنتی‌ویروس کپس کرده و به دلیل ماهیت عملکردی آن به کلیه دستگاه‌های موجود در شبکه قربانی متصل شده است. چند دقیقه بعد ، مهاجم به سرور ذخیره‌سازی قربانیان دسترسی یافته و کلیه حجم‌ها را به‌صورت دستی پاک کرده است.

مهاجمان سپس برای توزیع بدافزار در کلیه دستگاه‌های متصل، دستورات مربوط به کنترل آنتی‌ویروس و از طریق (PSEXEC) بدافزار را اجرا و پرونده‌های اضافی، 2 درایور و پاک‌کن را رها کردند. بیشتر دستگاه‌های متصل پاک شدند.

حملات موفقیت‌آمیز – که منجر به پاک شدن سیستم‌ها شدند – حاوی پیام «BSOD»، صفحه آبی مرگ بودند.

مقامات سعودی توضیح دادند:

در اقدامات مهاجم احساس فوریت وجود داشته است. دلیل این فوریت مشخص نیست. بدافزار داستمن احتمالاً روی زیرساخت عامل تهدید چند دقیقه پیش از نصب روی شبکه قربانی تهیه شده بود. این امر با حملات مخرب شناخته شده مغایرت دارد زیرا معمولاً قبل از اجرا آزمایش می‌شوند.

با این حال، این عجله و عدم آزمایش بر موفقیت عملیات پاک‌کن تأثیر گذاشت و بدافزار در برخی از سیستم‌ها به درستی کار نکرد. مقامات سعودی معتقدند که مهاجمان به پاک کردن‌های شکست خورده توجه داشتند و در عین حال تلاش می‌کردند تا مصنوعات داستمن را از این سیستم‌ها حذف کنند؛ سپس قبل از خروج از شبکه این شرکت گزارش‌های دسترسی را روی سرور وی‌پی‌ان پاک کردند.

مقامات باپکو یک روز بعد و زمان ورود کارمندان به شرکت متوجه حمله شدند. آنها پس از بررسی بدافزار داستمن را شناسایی کردند، زیرا برخی از ایستگاه‌های کاری زمان حمله در حالت خواب بوده‌اند. پس از شروع به کار سیستم‌ها، آنها سعی کردند بدافزار را اجرا کنند، اما آنتی‌ویروس (غیرفعال در زمان حمله اصلی) حمله را تشخیص داد و از آن جلوگیری کرد.

انتشار آنلاین نمونه‌های بدافزار داستمن

یکی از نمونه‌های بدافزار روی «Hybrid-Analysis»، محیط آنالیز جعبه آنلاین در همان روز کشف حمله بارگذاری شده بود. پرونده‌ها درنهایت در توییتر و «VirusTotal» در مسیر خود قرار گرفتند.

پاک‌کن‌های سال 2019 دخیل در رویدادهای خلیج فارس:

18c92f23b646eb85d67a890296000212091f930b1fe9e92033f123be3581a90f
f07b0c79a8c88a5760847226af277cf34ab5508394a58820db4db5a8d0340fc7
2fc39463b6db44873c9c07724ac28b63cdd72f5863a4a7064883e3afdd141f8d

مقامات امنیتی در گفتگو با ZDNet اظهار داشتند که به دلیل عدم دید کامل نسبت بعه حمله نتوانسته‌اند این حادثه را به گروه خاص هکری در ایران نسبت دهند.
البته مک‌آفی حملات شمعون را به یک گروه هکری ایرانی موسوم به «APT33» نسبت داد، در حالیکه شرکت آی‌بی‌ام ZeroCleare را به 2 گروه به نام‌های «xHunt» و «APT34» تخصیص داد.

مقامات باپکو با وجود درخواست‌های مکرر هنوز اظهار نظر خاصی در این خصوص نداشته‌اند. گزارش سعودی سی‌ان‌ای همچنین حاوی پیشنهاداتی برای شرکت‌های فعال در زمینه نفت و گاز بود که به عنوان هدف برای حملات با بدافزار داستمن به شمار می‌روند. با افزایش تنش‌های سیاسی میان ایران و ایالات متحده، کارشناسان براین باورند که حضور شرکت‌های نفت و گاز آمریکایی بیشتر احساس خواهد شد.