جاسوسان چینی، میانمار و کشورهای دیگری را هدف قرار دادند!

گفته می‌شود که گروهی از مجرمان وابسته به دولت چین برای دسترسی به اقتصاد کشورهای دیگر، عملیات جاسوسی سایبری علیه میانمار و کشورهای دیگر صورت داده‌اند.

این گروه که شرکتی امنیتی هلندی به نام Fox- IT، نام Mofang را بر روی آن گذاشته است، سازمان‌ها و نهادهایی را در میانمار، هند، آلمان، کانادا، آمریکا، سنگاپور، کره جنوبی و احتمالاً کشورهای دیگری را حداقل از فوریه سال ۲۰۱۲ هدف قرار داده ‌است. این حملات بر روی دولت، نظام، زیرساخت‌های حیاتی و شرکت‌های خودرو‌سازی و اسلحه‌سازی تمرکز کرده‌اند.

بسیاری از حملات Mofang سازمان‌هایی را در میانمار هدف قرار داده‌اند، اما یکی از جدیدترین حملات صورت گرفته علیه این کشور نشان می‌دهد که جاسوسان سایبری دقیقاً از چه اهرمی علیه این کشور استفاده کرده‌اند.

عملیات مذکور مربوط به منطقه اقتصادی ویژه (Kyaukphyu (SEZ است که شرکت ملی نفت چین (CNPC) در آن قرار دارد که پس از امضای تفاهم‌نامه با دولت مورد تحقیق و بررسی قرار گرفته است.

در مارس سال ۲۰۱۴، دولت میانمار اطلاع داد که شرکت CPG در سنگاپور مناقصه‌ای را برنده شده که طی آن موظف است در منطقه اقتصادی ویژه Kyaukphyu سرمایه‌گذاری خارجی انجام دهد. در همان سال، شرکت CPG و دولت میانمار مزایده‌ی دیگری برای تنظیم زیرساخت‌های SEZ ترتیب دادند که گروه CITIC چین آن را برد.

اواسط سال ۲۰۱۵، پیش از اینکه CITIC به عنوان برنده اعلام شود، Mofang حملاتی علیه سازمان‌های دولت میانمار و شرکت CPG ترتیب داد. متخصصان معتقدند اطلاعاتی که مهاجمان ممکن است از هدف‌های خود به دست آورده‌ باشند، می‌تواند به این شرکت چینی در بردن مزایده کمک کرده باشد.

جاسوسان سایبری چینی اغلب متهم به سرقت اطلاعات هستند که همین موضوع به دولت حس رقابت می‌دهد، اما همیشه یک حمله سایبری ویژه فقط برای منافع اقتصادی هم نیست.

شرکت Fox-IT حملات Mofang را به گروهی ربط می‌دهد که از ابزارهایی برای حملاتشان استفاده می‌کنند. برخلاف گروه‌های مجرمانه دیگر که اغلب از آسیب‌پذیری‌ها برای آلوده کردن هدف‌هایشان سوءاستفاده می‌کنند، Mofang با تکیه بر مهندسی اجتماعی کارهای خود را پیش می‌برد. تنها سوءاستفاده‌ای که توسط APT صورت گرفته، حق امتیاز ویژه‌‌ای است که درون بدافزارشان قرار داده‌اند.

ابزار Mogang شامل دو بدافزار اصلی است که یکی از آن‌ها یک ابزار مدیریتی از راه دور (RAT) تحت عنوان ShimRat است که به مهاجمان اجازه دست‌کاری پرونده‎ها و پوشه‎ها، بارگذاری و بارگیری پرونده‎ها و اجرای برنامه‌ها و دستورات را می‌دهد.

محققان مشخص کردند که طرح ShimRat از سال ۲۰۱۲ آغاز شد و طی چند سال به‌طور برجسته‌ای پیشرفت یافت. همانند دیگر جاسوسان سایبری چینی، Mofang نیز از ضدویروس‌ها برای اجرای ShimRat استفاده می‌کنند.

این گروه همچنین از ShimRatReporter استفاده کرده ‌است. این ابزار اواخر سال ۲۰۱۴ برای اولین بار کشف شد. از ابزار ShimRatReporter برای جمع‌آوری اطلاعات در مورد زیرساخت سازمان‌ها و بارگیری بار داده مرحله دوم که معمولاً ShimRat ایجاد می‌کند، استفاده می‌شود.

یوناتان کلیجنسما، نویسنده این گزارش Fox-IT در مورد Mofang گفت در حالی که ShimRat ابزاری شناخته شده برای شرکت‌های امنیتی است، برخی آن را به جای PlugX RAT مورد استفاده‌ی APT های چینی اشتباه می‌گیرند؛ اما هیچ شرکت امنیتی دیگری تحقیقات عمیقی راجع به بدافزار یا فعالیت‌های خرابکاران انجام نداده‌ است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.