سازمان‌های هندی هدف حملات بدافزار Suckfly

شرکت Symantec در مارس ۲۰۱۶ مطلبی در مورد Suckfly، یک گروه جاسوسی سایبری پیشرفته منتشر کرد که می‌گفت این گروه علیه تعدادی شرکت در کره جنوبی حملاتی انجام داده است تا گواهی‎نامه‌های دیجیتالی آن‌ها را به سرقت ببرد. از آن موقع تعدادی حمله در یک دوره‌ی دو ساله از آوریل سال ۲۰۱۴ شناسایی شده که به گروه Suckfly مربوط هستند. این حملات علیه هدف‌های ارزشمندی از جمله دولت و شرکت‌‌های تجاری انجام شده‌اند. این حملات در چندین کشور مختلف صورت گرفته اما تحقیقات نشان می‌دهد که هدف‌های اولیه این گروه شامل افراد و سازمان‌هایی در کشور هند بوده است.
طی چندین عملیات Suckfly مشخص شد که سازمان‌ها با درب پشتی بدافزار این گروه یعنی Nidrian آلوده شده‌اند، اما هدف‌های هندی نشان می‌دهد که تعداد فعالیت‌های آلودگی در این کشور بسیار بیشتر از اهداف در مناطق دیگر است و این نشان می‌دهد که این حملات بخشی از عملیات برنامه‎ریزی شده علیه هدف‌های خاصی در هند است.

عملیاتی در هند
اولین عملیات شناخته شده‌ی Suckfly در آوریل ۲۰۱۴ آغاز شد. طی تحقیقات کارشناسان متوجه تعدادی هدف‌های جهانی از صنایع مختلف شدند که در سال ۲۰۱۵ مورد حمله قرار گرفته‌اند. تعداد بسیاری از این هدف‌ها، شرکت‌‌ها و سازمان‌های تجاری در هند واقع شده‌اند. این سازمان‌ها شامل:
• یکی از بزرگترین شرکت‌های مالی در هند
• یک شرکت بازرگانی اینترنتی بزرگ
• شرکت حمل و نقل اولیه شرکت بازرگانی اینترنتی
• یک واحد تجاری هندی ارائه‎دهنده خدمات سلامتی بهداشتی آمریکایی
• دو سازمان دولتی
گروه Suckfly در مقایسه با بقیه وقت بیشتری را صرف حمله علیه شبکه‌های دولتی کرده است. علاوه بر این یکی از دو سازمان دولتی، میزان آلودگی بیشتری دارد. تصویر زیر میزان آلودگی را برای هر هدف نشان می‌دهد.

۵۱۱

این دو سازمان دولتی هندی مسئول اجرای برنامه شبکه‌ای برای وزارت‎خانه‌ها و دپارتمان‌های مختلف دولت مرکزی هند هستند. میزان بالای آلودگی این هدف احتمالاً به علت دسترسی این سازمان به اطلاعات و فناوری دیگر سازمان‌های دولتی هند بوده است.
حملات Suckfly به سازمان‌های دولتی‌ که خدمات فناوری‎اطلاعات به دیگر سازمان‌های دولتی ارائه می‌دهند، تنها محدود به هند و شرکت‌های هندی نمی‌شود. سازمان‌های مشابهی در عربستان صعودی به علت دسترسی به اطلاعاتی که داشته‌اند، مورد چنین حملاتی نیز قرار گرفته‌اند.
هدف‌های Suckfly به صورت صنایع مورد حمله در تصویر زیر نشان داده شده است که به وضوح عملیات این گروه را نشان می‌دهد. بیشتر حملات این گروه روی دولت یا فناوری‌های مربوط به شرکت‌ها و سازمان‌ها تمرکز کرده است.

۵۱۲

مراحل مختلف حمله Suckfly
کارشناسان امنیتی می‌گویند با تحقیق بر روی یکی از حملات متوجه شده‎اند که چگونه این گروه Suckfly عملیات خود را انجام می‌دهند. در سال ۲۰۱۵، Suckfly یک حمله چند مرحله‌ای از ۲۲ آوریل تا ۴ می علیه یک سازمان بازرگانی اینترنتی در هند صورت داد. همانند دیگر حملات این گروه، Suckfly برای انجام این حمله از درب پشتی Nidiran به همراه تعدادی ابزار رخنه برای آلوده کردن میزبان‌های درونی قربانی استفاده کرده است. ابزارها و بدافزار مورد استفاده در این حمله با اعتبارات دیجیتالی به سرقت رفته مشخص شده‌اند. طی مدت حمله، مراحل زیر اتفاق می‌افتد:

۵۱۳

۱. مرحله اول حمله شامل شناسایی کاربر به عنوان هدف است، بنابراین مهاجمان می‌توانند رخنه اولیه خود را به شبکه داخلی شرکت تجاری اینترنتی آغاز کنند. مدرکی از اینکه Suckfly چگونه اطلاعاتی در مورد کاربر مورد نظر به دست می‌آورد وجود ندارد، اما شواهدی متن‎باز روی هدف اولیه پیدا شده است. عملکرد شغلی هدف، آدرس رایانامه شرکت، اطلاعاتی در مورد پروژه‌های کاری و وبگاه شرکت با دسترسی عمومی، همگی به طور رایگان در اینترنت موجود هستند.

۲. در ۲۲ آوریل ۲۰۱۵، Suckfly از یک آسیب‎پذیری بر روی سیستم‎عامل (ویندوز) کارکنان شرکت مورد نظرش سوءاستفاده کرد. این آسیب‎پذیری به مهاجمان اجازه می‌داد که کنترل حساب کاربر را دور زده و درب‎پشتی Nidiran را برای دسترسی رایانه و انجام حملاتش نصب کند. با اطلاع از اینکه مهاجمان با استفاده از قطره چکان یک درب پشتی را نصب کرده است اما اطلاعاتی از اینکه در کدام بخش این کار را کرده است، وجود ندارد. بر اساس اطلاعات متن‎باز در دسترس بر روی رایانه هدف، ممکن است از یک رایانامه فیشینگ استفاده شده باشد.

۳. پس از اینکه مهاجمان با موفقیت از سامانه کارکنان شرکت سوءاستفاده کردند، به شبکه داخلی شرکت اینترنتی بازرگانی دسترسی می‌یابند. شواهدی پیدا شده که نشان می‌دهد Suckfly از ابزار رخنه برای از کنترل خارج کردن گواهی‎نامه‌ها استفاده می‌کنند. مهاجمان برای انجام این کار از یک ابزار روبرداری از گواهی‎نامه استفاده می‌کنند تا به اعتبارات حساب قربانی دست یابند. با این اعتبارات، مهاجم می‌تواند به حساب قربانی دسترسی پیدا کرده و محل کارمند را پیدا کند.

۴. در روز ۲۷ آوریل، مهاجمان شبکه داخلی شرکت را برای میزبان‌هایی با درگاه‎های ۸۰۸۰، ۵۹۰۰ و ۴۰ باز پویش کردند. درگاه‎های ۸۰۸۰ و ۵۹۰۰، درگاه‎های رایجی هستند که با پروتکل‌های قانونی مورد استفاده قرار می‌گیرند، اما اگر ایمن نباشند توسط مهاجمان مورد سوءاستفاده قرار می‌گیرند. مشخص نیست که چرا مهاجمان برای میزبان‌هایی با درگاه‎های ۴۰ باز پویش انجام دادند زیرا یک پروتکل رایج مشخص شده برای این درگاه وجود مدارد. بر اساس جستجوی گروه Suckfly، واضح است که این گروه در پی گسترش جای پای خود بر روی شبکه داخلی شرکت هستند.
مرحله نهایی این نوع حملات شامل استخراج اطلاعات از شبکه قربانی و فرستادن به زیرساخت Suckfly است. با اینکه دیده شده مهاجمان با استفاده از درب پشتی Nidiran اطلاعات سازمان آلوده شده را به سرقت برده‌اند اما اطلاعی در دست نیست که آیا این گروه در سرقت اطلاعات دیگر هم موفق بوده است یا خیر.
این مراحل طی ۱۳ روز انجام می‌شوند اما تنها در روزهای خاص. با پیگیری روزهایی که این گروه از ابزارهای رخنه خود استفاده می‌کنند، کشف شده که این گروه تنها در روز‌های دوشنبه تا جمعه فعالیت می کنند. هیچ فعالیتی از این گروه در روزهای تعطیل دیده نشده است. ابزارهای رخنه مهاجمان خط دستوری هستند و زمانی که مهاجمان پشت صفحه کلید هستند و فعالیت می‌کنند را مشخص می‌کند و از این طریق می‎توان به زمان فعالیت مهاجمان پی برد. تصویرزیر سطح فعالیت مهاجمان در طول هفته را نشان می‌دهد..

 

زیرساخت C&C Suckfly
Suckfly بدافزار خود را آنقدر پیچیده ساخته است تا از بررسی و تجزیه عملیات آن و در نتیجه شناسایی بدافزار جلوگیری کند. اما محققان توانستند با موفقیت بدافزار Suckfly را بررسی و به برخی روابط بین درب پشتی Nidiran و دامنه‌های C&C این گروه پی ببرند.
کارشناسان می‌گویند ما قطره‎چکان بدافزار که شامل سه پرونده زیر است را بررسی کردیم:
۱. Dihhost.exe: میزبان اصلی برای پرونده .dll
۲. Iviewers.dll: مورد استفاده برای بارگذاری سربارهای رمزنگاری شده و سپس باز کردن رمز آن‌ها.
۳. Msfled: سربار رمزنگاری شده
هر سه پرونده برای راه‎اندازی صحیح بدافزار مورد نیاز است. به محض اینکه بدافزار راه‎اندازی شد بررسی می‌کند که آیا اتصالی به اینترنت وجود دارد یا خیر. اگر جواب این بررسی مثبت باشد، بدافزار راه‎اندازی می‌شود و سعی می‌کند از طریق درگاه‎های ۴۴۳ و ۸۴۴۳ با دامنه C&C ارتباط برقرار کند. در نمونه‌هایی که بررسی شده، مشاهده گردیده که اطلاعات C&C و ورودی درون خود بدافزار Nidiran رمزنگاری شده‌اند. درب پشتی Nidiran درخواست اولیه‌ی ارتباط زیر را به دامنه C&C این گروه می‌فرستد:
اطلاعاتی جالبی که به کارگزار C&C در درخواست اولیه فرستاده می‌شود در کوکی قرار دارد و به ترتیب زیر مورد استفاده قرار می‌گیرد:

۵۱۴۵۱۵

هنگامی که اطلاعات کوکی رمزنگاری شد، Suckfly نام شبکه، نام میزبان، آدرس IP و اطلاعات سامانه‎عامل قربانی را به دست می آورد.
اطلاعات به دست آمده از زیر ساخت C&C مربوط به فعالیت‌های گروه Suckfly در جدول زیر نشان داده شده است.

۵۱۶

نتیجه‎گیری
گروه Suckfly یکی از بزرگترین شرکت‌های تجاری اینترنتی هند، یک شرکت حمل و نقل هندی بزرگ، یکی از بزرگترین سازمان‌های مالی هند و یک شرکت فناوری اطلاعات ارائه‎دهنده خدمات به بزرگترین بورس سهام هند را مورد هدف قرار داده است. همه این هدف‌ها شرکت‌های بزرگری هستند که نقش مهمی در اقتصاد کشور هند ایفا می‌کنند. با حمله به تمامی این شرکت‌ها، Suckfly تأثیر بسیاری بر روی هند و اقتصادش گذاشته‌ است. با اینکه انگیزه پشت این حملات مشخص نیست اما سازمان‌های بازرگانی و دولتی را در این راستا مورد هدف قرار داده است.
گروه Suckfly منابعی برای پیشرفت بدافزار، خرید زیرساخت و انجام حملات هدف‎دار خود طی این چند سال داشته است به گونه‌ای که توانسته‌ از رادار سازمان‌های امنیتی دور بماند. طی این مدت این گروه توانسته است گواهی‎نامه‌های دیجیتالی شرکت‌های کره‎جنوبی را به سرقت برده و حملاتی علیه سازمان‌های دولتی هندی و عربستان صعودی انجام دهد. هیچ مدرکی از اینکه این گروه از این حملات سودی می‌برد وجود ندارد اما ممکن است کسان دیگری از آن‌ها سودی ببرند.
ماهیت این حملات نشان می‌دهد که این گروه مخرب خودش این حملات را سازمان‎دهی می‌کند. محققان بر این باورند که گروه Suckfly حمله به سازمان‌های هند و سازمان‌های مشابه در دیگر کشورها را ادامه دهد تا اطلاعات اقتصادی این شرکت‌ها را به سازمان پشت حملات Suckfly ارائه کند.
محافظت
شرکت Symantec راه‌ها شناسایی زیر را برای محافظت در برابر بدافزار Suckfly پیشنهاد داده است:

Backdoor.Nidiran
Backdoor.Nidiran!g۱
Hacktool
Exp.CVE-۲۰۱۴-۶۳۳۲

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.