به گزارش تِرندمیکرو، یک سلسله حملات جاسوسی جدید سایبری کشف شده است که به وسیله گروهی که به خوبی حمایت مالی و سازماندهی میشوند انجام میشوند. این گروه به شرکتهایی که به دولتها نزدیک هستند وهمچنین صنایع حساس و کلیدی حمله میکند. این اهداف عبارتند از آژانسهای دولتی که به بخش خصوصی واگذار شدهاند و پیمانکاران دولت و همینطور شرکتهایی که در زمینه لوازم الکترونیک، کامپیوتر، بهداشت و درمان و مؤسسات اقتصادی و مالی فعالیت میکنند.
این گروه دستکم از سال ۲۰۱۰ فعال است. ترندمیکرو نام عملیات این گروه را کمان مخفی یا Shrouded Crossbow نامیده است. تحقیقات ترندمیکرو نشان میدهد که این گروه از حمایت مالی گستردهای بهره میبرد که توانسته کدهای منبع بدافزارهای بسیار مخربی را که در دسترس قرار دارند خریداری کند و منابع انسانی وسیعی را فراهم کند که با آنها بتواند نسخه بهبودیافتهی خود را از این در پشتی بر اساس این کدهای منبع تهیه کند.
بدافزارهای قدیمی در اختیار عملیات کمان مخفی
کد منبع بدافزار BIFROSE که با نام Bifrost نیز شناخته میشود در گذشته به بهایی نزدیک به ۱۰ هزار دلار فروخته میشد. ترندمیکرو گزارش میدهد که این بدافزار در حملاتی به ادارات دولتی و هرزنامههای «اینجا شما رایانامهای دریافت کردهاید» به کار گرفته شده بود. با وجود ترافیک و رفتار شناخته شده شبکه BIFROSE، باز هم این گروه میتوانست به طور کامل در عملیات خود از آن استفاده کند.
در پشتی دیگری که در این عملیات از سال ۲۰۱۰ به کار گرفته شده است KIVARS نام دارد. با وجودی که این بدافزار شبیه به PLUGX است زیرا هر دو دارای دو مؤلفه هستند (یک بارگذار loader و یک درِ پشتی اصلی) اما بدافزار KIVARS ارتباط بسیار قویتری با BIFROSE دارد زیرا هر دو اینها از یک نوع شکل پیام تلفنی استفاده میکنند.
اگر چه عملکرد KIVARS به شدت و سنگینی عملکرد BIFROSE نیست ولی هنوز هم یک تروجان بسیار مفید برای حمله به شمار میرود. در واقع در سال ۲۰۱۳ تروجان KIVARS با یک نسخه ارتقاء داده شده ۶۴ بیتی ظاهر شد، همان هنگامی که سامانههای ۶۴ بیتی به طور گستردهای با استقبال عمومی مواجه شدند.
چیزی که ما تصور میکنیم این است که این گروه کدهای منبع BIFROSE را خریده است و آنگاه عملکرد آنها را ارتقاء داده است، سپس یک روند نصب جدید برای آن طراحی و یک سازندهی جدید برای آن ایجاد کرده که بتواند یک جفت راه انداز -درِ پشتی منحصر به فرد برای آن بسازد و قابلیتهای ساده و مختصرتری ایجاد کند که منجر به ایجاد KIVARS شده است. این بدان معناست که این عملیات دارای حامیان مالی قوی است و یا این گروه دارای منابع و درآمدهایی است که با استفاده از آن به توسعه و بهبود درهای پشتی کنونی پرداخته است.
علاوه بر این، این عملیات از در پشتی دیگری به نام XBOW استفاده میکند. توسعه این در پشتی در میانههای سال ۲۰۱۰ آغاز شده است و در طراحی بدافزارهای BIFROSE و KIVARS از آن الهام گرفته شده است.
در نهایت در میانه سال برخی از انواع XBOW به ارائه گزینه «شناسایی گذرواژه» پرداختند که این گزینه در BIFROSE نیز در دسترس است. این شواهد اثبات میکنند که نظریه خرید BIFROSE صحت دارد.
نقشهای روشن عملیاتی
پژوهشگران ترندمیکرو معتقد هستند که گروه گردانندهی کارگزارهای فرماندهی و کنترل یا C&C کسانی هستند که گروه سوم را تشکیل میدهند. بیش از صد کارگزار فرماندهی در این عملیات استفاده شده است، بعضی از این کارگزارهای توسط مراکز ثبت نام دامنه یایگان ثبت شدهاند و یا اینکه به وسیله عوامل این حملات ایجاد شدهاند در حالیکه برخی از آنها از نوع آیپی واقعی هستند.
این کارگزارهای فرماندهی و کنترل بسته به نوع استفاده طبقهبندی شدهاند.
رفتار شرکتها و سازمانها
شرکتها هنگامی که مورد این حملات با سازماندهی قوی قرار میگیرند، شانسی برای مقابله ندارند مگر اینکه توجه و تمرکز خود را بر شناسایی نفوذ و مشکلات شبکه قرار داده تا بتوانند به شکل مناسبی واکنش نشان دهند. بسترهای دفاعی شبکه همچون کشف عمیق مدیران شبکه را قادر میسازد تا چنین تهدیدهایی را شناسایی و تحلیل کرده و واکنش لازم را در برابر آنها از خود نشان دهند.
منبع: asis
درباره نماد امنیت وب
“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.