شباهتِ حملات سایبری علیه دولت‌های ناتو به عروسک‌های روسیِ ماتروشکا

محققان امنیتی سیسکو تالوس گزارش دادند مهاجمان در حملات خود علیه دولت‌های ناتو، از اسناد سطح بالا و پیچیده‌ی ورد بهره می‌برند. هدف از استفاده‌ی این اسناد، بهره‌برداری از آسیب‌پذیری‌های ادوبی فلش‌ بر روی سامانه‌های قربانیان است.

به گزارش محققان، مهاجمان در حملات خود از اسناد پیچیده‌ای استفاده می‌کنند تا بر روی ماشین‌های آلوده به اکتشاف پرداخته و جعبه‌های شنی را دور بزنند. این چارچوب شناسایی به‌قدری پیچیده است که محققان تالوس آن را با عروسکای تودرتوی ماتروشکا که در کشور روسیه وجود دارد، مقایسه کرده‌اند.

حملاتی که سیسکو مشاهده کرده در بازه‌ی تعطیلات کریسمس و سال نو اتفاق افتاده است. از این سند ورد به‌عنوان طعمه استفاده شده و عنوان آن «بیانیه‌ی دبیرکل ناتو پس از نشت ناتو-روسیه» است. با این مشاهدات، کارشناسان امنیتی معتقدند این حملات، کشورهای عضو ناتو را هدف قرار داده است.

متنی که داخل این پرونده وجود دارد از وب‌گاه رسمی ناتو رونویسی شده و محتوای سند حاوی هیچ بهره‌برداری نیست و این فرآیند تشخیص و شناسایی را سخت می‌کند. یک پرونده‌ی RTF نیز وجود دارد که حاوی چند شیء جاسازی‌شده است. از جمله‌ی این اشیاء می‌توان OLE و اشیای ادوبی فلش را نام برد که از این پرونده استخراج می‌شود.

محققان تالوس در یک پست وبلاگی توضیح دادند: «شیء OLE حاوی یک شی ادوبی فلش است. هدف این شیء ادوبی فلش استخراج یک تکه‌ی باینری است که توسط ActionScript در آن تعبیه شده است. این تکه در دو مرحله کدگذاری و در قالب شیء ادوبی فلش فشرده شده است. الگوریتم کدگذاری مبتنی بر XOR و فشرده‌سازی zlib است.»

در مرحله‌ی اول، از ActionScript برای ارسال یک درخواست HTTP به کارگزار دستور و کنترل استفاده می‌شود. این درخواست حاوی اطلاعاتی مربوط به سامانه‌ی آلوده است. این اطلاعات به مهاجم اجازه می‌دهد تا اجرا شدن بر روی ماشین مجازی یا جعبه شنی را تشخیص دهد.
با استفاده از پاسخی که برای درخواست اول دریافت می‌شود، دو درخواست دیگر نیز ساخته خواهد شد. در مرحله‌ی نهایی نیز بهره‌برداری فلش واکشی و اجرا می‌شود.

داده‌های DNS شرکت سیسکو نشان می‌دهد که از تاریخ ۲۷ دی ماه درخواست‌های متعددی به سمت دامنه‌های دستور و کنترل ارسال شده است. این درخواست‌ها از طرف یک انجمن امنیتی ارسال شده و منجر به ارسال پاسخ از طرف مهاجمان می‌شود.

آن‌ها بار داده‌ی مخرب این پاسخ‌های دریافتی را با داده‌های بدردنخور عوض می‌کنند تا برای محصولات امنیتی مشکلاتی در زمینه‌ی منابع بوجود آورند. کارشناسان می‌گویند: «مهاجمان متوجه شده‌اند که محققان امنیتی از زیرساخت‌های آن‌ها استفاده کرده و مشکلات مربوط به منبع را برای برخی دستگاه‌های امنیتی بوجود آورده‌اند. این ویژگی مهاجمان حرفه‌ای است که زیرساختی طراحی کرده‌اند که قادر است با اهداف مختلفی سازگار شود.»

هرچند سیسکو اطلاعاتی در خصوص عاملان این حملات اعلام نکرده ولی دولت‌های ناتو معتقدند چنین حملات سایبری از طرف دولت روسیه انجام می‌شود. همچنین همان‌طور که در ابتدای گزارش اشاره کردیم، سیسکو این حملات را به عروسک‌های روسی ِ ماتروشکا تشبیه کرده و می‌توان حدس زد روسیه در این حملات دخیل بوده است.

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.