شناسایی حملات جاسوسی-سایبریِ جدیدِ Shrouded Crossbow توسط ترندمیکرو

نوشته شده در تاریخ توسط published

به گزارش تِرندمیکرو، یک سلسله حملات جاسوسی جدید سایبری کشف شده است که به وسیله گروهی که به خوبی حمایت مالی و سازماندهی می‌شوند انجام می‌شوند. این گروه به شرکت‌هایی که به دولت‌ها نزدیک هستند وهم‌چنین صنایع حساس و کلیدی حمله می‌کند. این اهداف عبارتند از آژانس‌های دولتی که به بخش خصوصی واگذار شده‌اند و پیمانکاران دولت و همین‌طور شرکت‌هایی که در زمینه لوازم الکترونیک، کامپیوتر، بهداشت و درمان و مؤسسات اقتصادی و مالی فعالیت می‌کنند.
این گروه دست‌کم از سال ۲۰۱۰ فعال است. ترندمیکرو نام عملیات این گروه را کمان مخفی یا Shrouded Crossbow نامیده است. تحقیقات ترندمیکرو نشان می‌دهد که این گروه از حمایت مالی گسترده‌ای بهره می‌برد که توانسته کدهای منبع بدافزارهای بسیار مخربی را که در دسترس قرار دارند خریداری کند و منابع انسانی وسیعی را فراهم کند که با آنها بتواند نسخه بهبودیافته‌ی خود را از این در پشتی بر اساس این کدهای منبع تهیه کند.
بدافزار‌های قدیمی در اختیار عملیات کمان مخفی
کد منبع بدافزار BIFROSE که با نام Bifrost نیز شناخته می‌شود در گذشته به بهایی نزدیک به ۱۰ هزار دلار فروخته می‌شد. ترندمیکرو گزارش می‌دهد که این بدافزار در حملاتی به ادارات دولتی و هرزنامه‌های «اینجا شما رایانامه‌ای دریافت کرده‌اید» به کار گرفته شده بود. با وجود ترافیک و رفتار شناخته شده شبکه BIFROSE، باز هم این گروه می‌توانست به طور کامل در عملیات خود از آن استفاده کند.
در پشتی دیگری که در این عملیات از سال ۲۰۱۰ به کار گرفته شده است KIVARS نام دارد. با وجودی که این بدافزار شبیه به PLUGX است زیرا هر دو دارای دو مؤلفه هستند (یک بارگذار loader و یک درِ پشتی اصلی) اما بدافزار KIVARS ارتباط بسیار قوی‌تری با BIFROSE دارد زیرا هر دو اینها از یک نوع شکل پیام تلفنی استفاده می‌کنند.
اگر چه عملکرد KIVARS به شدت و سنگینی عملکرد BIFROSE نیست ولی هنوز هم یک تروجان بسیار مفید برای حمله به شمار می‌رود. در واقع در سال ۲۰۱۳ تروجان KIVARS با یک نسخه ارتقاء داده شده ۶۴ بیتی ظاهر شد، همان هنگامی که سامانه‌های ۶۴ بیتی به طور گسترده‌ای با استقبال عمومی مواجه شدند.
چیزی که ما تصور می‌کنیم این است که این گروه کدهای منبع BIFROSE را خریده است و آنگاه عملکرد آنها را ارتقاء داده است، سپس یک روند نصب جدید برای آن طراحی و یک سازنده‌ی جدید برای آن ایجاد کرده که بتواند یک جفت راه انداز -درِ پشتی منحصر به فرد برای آن بسازد و قابلیت‌های ساده‌ و مختصرتری ایجاد کند که منجر به ایجاد KIVARS شده است. این بدان معناست که این عملیات دارای حامیان مالی قوی است و یا این گروه دارای منابع و درآمدهایی است که با استفاده از آن به توسعه و بهبود درهای پشتی کنونی پرداخته است.
علاوه بر این، این عملیات از در پشتی دیگری به نام XBOW استفاده می‌کند. توسعه این در پشتی در میانه‌های سال ۲۰۱۰ آغاز شده است و در طراحی بدافزارهای BIFROSE و KIVARS از آن الهام گرفته شده است.
در نهایت در میانه سال برخی از انواع XBOW به ارائه گزینه «شناسایی گذرواژه» پرداختند که این گزینه در BIFROSE نیز در دسترس است. این شواهد اثبات می‌کنند که نظریه خرید BIFROSE صحت دارد.
نقش‌های روشن عملیاتی
پژوهش‌گران ترندمیکرو معتقد هستند که گروه گرداننده‌ی کارگزارهای فرماندهی و کنترل یا C&C کسانی هستند که گروه سوم را تشکیل می‌دهند. بیش از صد کارگزار فرماندهی در این عملیات استفاده شده است، بعضی از این کارگزارهای توسط مراکز ثبت نام دامنه‌ یایگان ثبت شده‌اند و یا اینکه به وسیله عوامل این حملات ایجاد شده‌اند در حالی‌که برخی از آنها از نوع آی‌پی واقعی هستند.
این کارگزارهای فرماندهی و کنترل بسته به نوع استفاده طبقه‌بندی شده‌اند.
رفتار شرکت‌ها و سازمان‌ها
شرکت‌ها هنگامی که مورد این حملات با سازماندهی قوی قرار می‌گیرند، شانسی برای مقابله ندارند مگر اینکه توجه و تمرکز خود را بر شناسایی نفوذ و مشکلات شبکه قرار داده تا بتوانند به شکل مناسبی واکنش نشان دهند. بسترهای دفاعی شبکه همچون کشف عمیق مدیران شبکه را قادر می‌سازد تا چنین تهدید‌هایی را شناسایی و تحلیل کرده و واکنش لازم را در برابر آنها از خود نشان دهند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.