جاسوسی دو گروه سایبری Cadelle و Chafer ازISPهای ایران

به گفته‌ی شرکت سیمنتک اخیراً گروه‌های جاسوسی ناشناس به طور مستقل ایران را مورد حمله خود قرار داده‌اند.
همچنین کشورهای انگلیس، آمریکا، آلمان و هلند نیز در طی ۱۸ ماه گذشته مورد این حملات قرار گرفته‌اند. به گفته‌ی سیمنتک دو گروه جاسوسی ناشناس به نام‌ها‌ی Cadelle و Chafer با استفاده از در پشتی، به طور مستقل فعالیت‌های سیاسی را مورد جاسوسی قرار داده‌اند.
این گروه‌ها تا کنون به بیش از ۱۰۰ شرکت هواپیمایی، سامانه‌‌های شبکه‌های مخابراتی و دیگر سازمان‌ها در کشور ایران و کشورهای خاورمیانه مانند افغانستان و عربستان سعودی و همچنین به یک شرکت در آمریکا نفوذ کرده‌اند. هدف اصلی آن‌ها افرادی هستند که از ISP ها و خدمات میزبانی یا هاستینگ داخل ایران استفاده می‌کنند.
تحقیقات نشان می‌دهد که تمرکز این حملات زیر نظر گرفتن فعالیت‌های اشخاص حقیقی می‌باشد. البته بیشترین تعداد قربانی‌ها بعد از ایران، کشور آمریکا می‌باشد. از نظر رتبه‌بندی بر اساس تعداد قربانی‌ها، کشورهای آلمان، انگلیس و هلند به ترتیب در رده‌های ششم، هفتم و دوازدهم قرار می‌گیرند.
هنوز هیچ جزئیاتی از اهداف این گروه‌ها در کشورهای مذکور فاش نشده است . سیمنتک معتقد است که هر دوی این گروه‌ها در ایران مستقر بوده و هر کدام شامل ۵ تا ۱۰ عضو می‌باشند و ممکن است که با یک‌دیگر نیز رابطه داشته باشند. اعضای این گروه‌ها همگی در روزها و ساعات مشخص و معینی اقدام به توسعه‌ی این جاسوس‌افزار نموده‌اند که با ساعات کاری ایران (شنبه تا پنجشنبه) مطابقت دارد.
همچنین با بررسی یکی از بسته‌های نفوذی به کار رفته مشخص شده که تعدادی رشته‌ی حاوی عبارات تقویم هجری شمسی در آن وجود دارد. این گروه‌ها از ماه جولای ۲۰۱۴ فعالیت خود را در این زمینه آغاز کرده‌اند ولی با توجه اطلاعات کارگزار کنترل و فرمان‌دهی، احتمال تشکیل آن‌ها از سال ۲۰۱۱ نیز وجود دارد.
بسیاری از کسانی که توسط این دو گروه مورد جاسوسی قرار گرفته‌اند، با استفاده از سرویس‌های پراکسی یا فیلترشکن معروف به اینترنت متصل بوده‌اند. سرویس‌هایی که استفاده از آن‌ها در بین گروه‌های خاص سیاسی و یا محققان بسیار شایع است.
سیمنتک می‌‌گوید: «ما معتقدیم که قربانیان این دو گروه به احتمال زیاد افراد علاقه‌مند به گروه‌های خاص می‌باشد.»
سیمنتک اضافه می‌کند هر دوی این گروه‌ها توانسته‌اند به طور موفقیت‌آمیز از در پشتی‌های ساخته‌ی خودشان سوءاستفاده کنند و با استفاده از آن‌ها، با نام‌های Cadelspy و Remexi، به جاسوسی دو گروه سایبر‌ی Cadelle و Chafer از ISPهای ایرانی پرداخته یا به سامانه‌های قربانیان خود نفوذ کنند. به عنوان نمونه در یک سازمان، ۶۰ رایانه در حدود یک سال مورد سوءاستفاده قرار گرفته است.
این دو گروه به خوبی آگاه هستند که مجبور نیستند به طور مستقیم به اهداف خود حمله کنند و می‌توانند با سوءاستفاده از سرویس‌هایی که افراد موردنظرشان از آن‌ها استفاده می‌کنند، برای انجام حملات و رسیدن به اهداف خود فعالیت کنند.
بسته‌ی نفوذی Cadelspy این امکان را می‌دهد که از تمام اطلاعات واردشده از طریق صفحه‌کلید قربانی گزارشگیری شود. همچنین می‌تواند با ضبط صدا، گرفتن تصاویر از صفحه‌ی سامانه و یا از کاربر با استفاده از وب‌کم، دسترسی به clipboard، جمع‌آوری عناوین پنجره‌های بازشده و سرقت تمامی پرونده‌های ارسالی به چاپ‌گر از قربانی خود جاسوسی کند. بیشترین فعالیت Cadelspy توسط سیمنتک در ماه سپتامبر گزارش شده است که به ۹ سازمان حمله کرده است. بسته‌ی نفوذی Remexi یک تروجان ساخته‌شده از در پشتی‌های پایه است که امکان دسترسی از راه دور برای اجرای دستورات مختلف را به حمله‌کننده می‌دهد.
Remexi می‌تواند گذرواژه‌های قربانی را به سرقت ببرد و امکان دسترسی به سامانه را به حمله‌کننده بدهد. سیمنتک این‌گونه ادامه می‌دهد که فعالیت‌های این دو گروه نشان می‌دهد که آن‌ها نیازی به داشتن مهارت‌های پیشرفته برای جاسوسی از قربانیان خود ندارند. همچنین حملات آن‌ها به گونه‌ای مدیریت می‌شود که تقریباً تا یک سال بر روی سامانه‌ی هدف باقی بماند و در این صورت حمله‌کننده می‌تواند به اطلاعات حساس زیادی در طول این مدت دسترسی داشته باشد.
بررسی فعالیت‌های این گروه‌ها توسط یکی از محققان F-Secure نشان می‌دهد که حملات آن‌ها نمونه‌ای از حملات APT می‌باشد، اگرچه Remexi نمونه‌ای از یک در پشتی استاندارد می‌باشد.
این محقق ادامه می‌دهد: «خودکار نبودن ابزارها و یا مخفی نبودن آن‌ها به معنی پیشرفته‌نبودن حملات نمی‌‌باشد. به نظر می‌رسد ایران برای شناسایی و تشخیص حملات APT از روش پیچیده و اختصاصی استفاده می‌کند.»
سیمنتک می‌گوید: «به نظر می‌رسد گروه‌های Cadelle و Chafer از دیگر گروه‌های مظنون جاسوسی سایبری ایرانی مثل Rocket kitten پیروی می‌کنند که فعالیت آن‌ها در حمله به دولت‌های اروپایی و صهیونیستی و سازمان‌های خصوصی فاش شده بود.»
سیمنتک ادامه می‌دهد: «اطلاعات بررسی شده در ماه قبل نشان می‌دهد جاسوسی دو گروه سایبری Cadelle و Chafer از ISPهای ایرانی نشان می‌دهد که گروه Rocket kitten به بیش از ۱۶۰۰ هدف حمله کرده است و اطلاعات به دست آمده حاکی از آن است که این گروه وابسته به سپاه پاسداران انقلاب می‌باشد.
در همین حال، در دسامبر سال ۲۰۱۴ میلادیCylance فاش کرد که گروه‌های جنگ سایبری ایرانی که با نام Operation Cleaver از آن‌ها یاد می‌شود به بیش از ۵۰ سازمان زیرساخت در ۱۶ کشور جهان از جمله آمریکا، انگلیس، فرانسه و آلمان حمله کرده‌اند. سیمنتک در مورد Remexi می‌گوید که فعالیت‌های آن یادآور حملات گروه Operation Cleaver می‌باشد و احتمالاً ادامه‌ی سیاست‌های این گروه می‌باشد.
یکی از محققان امنیتی اروپایی به نام Aatish Pattni عنوان می‌کند که در ماه گذشته محققان حوزه‌ی سایبری اطلاعات زیادی در مورد گروه Rocket kitten و فعالیت‌های مظنون آن‌ها فاش کرده‌اند.
شاید تنها خاورمیانه نباشد که مورد حملات سایبری قرار می‌گیرد و سازمان‌های اروپایی نیز باید این هشدار را دریافت کنند.
سیمنتک از فعال بودن دو گروه Cadelle و Chafer ابراز نگرانی می‌کند و این‌گونه عنوان می‌کند که فعالیت‌های آن‌ها به زودی خاتمه نمی‌یابد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.