زیرساخت‌های حیاتی ژاپن؛ هدف کمپین پنج‌ساله‌ی «طوفان گرد و خاک»

یک کمپین پنج‌ساله که روی استخراج اطلاعات از محصولات الکتریکی، گاز و نفت ژاپن تمرکز کرده بود نهایتاً توسط محققان طرح‌ریزی شد.
این کمپین برای پایدار ماندن طی این سال‌ها وبه خصوص این اواخر با استفاده از دامنه‌های DNS پویا و در پشتی‌ها برنامه‌ریزی شده است.
این شرکت ادعا می‌کند در حالی که گروه تحقیقاتی روی ژاپن تمرکز کرده است، حملاتی دیگر علیه صنایع در کره‌ی جنوبی، ایالات متحده‌ی آمریکا و اروپا نیز انجام یافته است.
فعالیت این کمپین در سال ۲۰۱۵ شروع شد، وقتی که یک دست کامل از در پشتی‌ها با آدرس‌های پروکسی کدگذاری شده و اعتبارات روی کار آمدند. محققان آن آدرس‌ها را دنبال کردند و متوجه شدند شرکت‌هایی در زمینه‌ی نفت، گاز طبیعی، بخش ساخت و انتقال در معرض خطر قرار گرفته‌اند.
حملات بسیاری در آن سال انجام شد، از جمله سازنده‌ی خودکار ژاپنی در ماه فوریه، و یک شرکت ژاپنی تابع کره‌ی جنوبی تولیدکننده‌ی محصولات الکتریکی و تجهیزات زیرساختاری دیگر در ماه جولای و اکتبر.
این کمپین هم چنین با استفاده از درهای پشتی اندرویدی در سال ۲۰۱۵ آغاز شد؛ در ابتدا تروجان پیام‌های متنی را می‌فرستاد و پس از آن پرونده‌‌های مخصوص را از دستگاه‌های آلوده به کارگزارهای C&C می‌فرستاد.
همانند گروه‌های بسیاری در اوایل دهه‌ی ۲۰۱۰، تکرار اولیه‌ی فعالیت «طوفان گرد و خاک» یا Dust Storm حول روز صفرم در اینترنت اکسپلورر و فلش می‌چرخد.
برای مثال در سال ۲۰۱۱، نفوذگرها از یک اینترنت اکسپلورر ۸ آسیب‌پذیر استفاده کردند تا به شبکه‌ها نفوذ کند. آن‌ها همچنین رایانامه‌‌های فیشینگ آسیب‌رسان را با اسناد Word تهیه‌شده با روز صفرم فلش، CVE-۲۰۱۱-۰۶۱، می‌فرستادند. بر اساس ادعای Cylance در سال ۲۰۱۲ نفوذگرها از آسیب‌پذیری مشابه فلش به همراه شکاف دیگری در اینترنت اکسپلورر، CVE-۲۰۱۲-۱۸۸۹، استفاده کردند تا به قربانی‌ها آسیب برسانند.
علاوه بر آسیب‌پذیری اینترنت اکسپلورر و فلش، این گروه بیشتر به حملات فیشینگ در اوایل کارشان تکیه می‌کردند. در سال ۲۰۱۲ این گروه سعی کردند اعتبارات یاهو و Windows Live را از طریق دامنه‌هایی که نصب کرده بودند رد کند و اواخر همان سال بحران Libyan را با رایانامه‌هایی درباره‌ی Maummar Gaddaf که به دولت آمریکا فرستاده بود، جمع‌آوری کرد.
تهاجم «طوفان گرد و خاک» درون درهای پشتی جعلی و پروکسی‌هایی بود که منابع ژاپنی را مورد هدف قرار داده بودند و همین موضوع محققان را به بررسی آن در سال گذشته واداشت.
طی گزارشی که توسط رئیس سازمان جاسوسی آمریکا، آقای جان گراس تنظیم شده بود آمده است: «هر چقدر که این گروه روی ژاپن تمرکز می‌کند، روش کارشان و بدافزارها کمتر در گزارشات ذکر می‌شوند. این هدف‌ها افزایشی را هم در اندازه و هم در هدف صنایع مورد تأثیر شناسایی کردند.»
وی گفت: «در حالی که تروجان‌های اندرویدی تنها به قربانیان در ژاپن و کره‌ی جنوبی صدمه می‌زنند، Gross تأیید کرد که این مورد حملات در مقایسه با عملیات قبلی گسترده و عظیم بوده است.»

مقامات رسمیSPEAR، واحد تحقیقاتیCylance، اشاره کرد که آن‌ها به این‌که حملات «طوفان گرد و خاک» مخرب هستند اعتقادی ندارند، اما ممکن است بخشی از یک فریب بزرگ باشند، و با توجه به اهدافشان احتمالاً «جاسوسی اکتشافی و طولانی‌مدت» باشند.
در حالی که حملات در حال انجام هستند، این گروه که با تیم پاسخ‌گویی به رخدادهای رایانه‌ای ژاپن (JP-CERT) برای بررسی گروه کار می‌کند، ادعا کرد که دلیل تحقیقات آن‌ها گروه را از ادامه‌ی کار باز می‌دارد.
Cylance هیچ گروهی را مستقیماً به حملات «طوفان گردو خاک» نسبت نداد اما اشاره کرد که از ماه مارس ۲۰۱۳ تا آگوست ۲۰۱۳ کاهش چشم‌گیری در بدافزارها مشاهده شده است. اگرچه Cylance تأکید کرد که گزارش APT۱ متعلق به Mandiant که در ماه فوریه‌ی همان سال منتشر شده بود کم و بیش از روش مشابهی پیروی کرده است.

در این گزارش Mandiant مجموعه‌ای از کمپین‌های جاسوسی سایبری را طرح‌ریزی کردند که طی چندین سال روی یک مجموعه‌ی گسترده از قربانیان، توسط سازمان جاسوسی چین یعنی APT۱ انجام شده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.