نفوذگران چینی این‌بار به پیمان‌کاران وزارت دفاع آمریکا حمله کرده‌اند

۴محققان یک سری از آلودگی‌های بدافزاری موجود روی سامانه‌های دو شرکت اروپایی را مورد بررسی قرار داده‌اند؛ ظاهراً این دو شرکت در پشت پرده‌ی یک عامل تهدیدکننده‌ی چینی بوده‌اند، همچنین سرنخ‌هایی وجود دارد که نشان می‌دهد حملات انجام‌شده از سوی همان گروهی آب می‌خورند که نفوذهای Anthem و OPM را صورت داده است.
هدف این دو حمله عبارتند از یک شرکت فرانسوی تابعه‌ی آمریکا که سرویس‌های مدیریت انرژی را ارائه می‌کند، و یک شرکت اروپایی که سازنده‌ی هواپیماهای بدون سرنشین است.
این شرکت فرانسوی از اهمیت ویژه‌ای برخوردار است چرا که زیرساخت‌های حیاتی را برای وزرات دفاع آمریکا می‌سازد؛ این‌ها اظهارات ThreatConnect است، ThreatConnect یک شرکت امنیت سایبری است که به آلودگی‌های این تروجان پی برده است.

اهداف آلوده به تروجان‌ HttpBrowser
به گفته‌ی کارشناسان این شرکت امنیتی، این آلودگی‌ها به ماه ژوئن ۲۰۱۶ برمی‌گردند، زمانی که کارشناسان توانستند HttpBrowser را روی شبکه‌های متعلق به دو شرکت فوق‌الذکر کشف کنند.
HttpBrowser یک خانواده‌ی بدافزاری است که قبلاً در اختیار گروه‌های جاسوسی سایبری چینی قرار داشت؛ گروه‌هایی که می‌توانند گزارش کلیدهای مورد استفاده در صفحه‌کلید را تهیه کنند و با رایانه‌های آلوده ارتباط برقرار نمایند، به نفوذگر اجازه دهند تا دستورات تازه‌ای را ارسال نماید، بدافزارهای دیگری را بارگیری کند، و یا داده‌های حساس را به سرقت ببرد.
در سال‌های گذشته HttpBrowser در بساط دو گروه جاسوسی سایبری چینی دیگر هم کشف شده بود؛ این گروه‌ها فرستاده‌ی پاندا (با نام مستعار APT۲۷ و TG-۳۳۹۰) و پاندای دینامیتی (با نام مستعار APT۱۸ و Wekby و TG-۰۴۱۶) بودند. همچنین HttpBrowser گاهی اوقات با اسامی Token Control یا تروجان GTalk نیز شناخته شده است.

ارتباط با رخدادهای Anthem و OPM
محققان ThreatConnect می‌گویند که نمونه‌های HttpBrowser که موفق به کشف آن‌ها شده‌اند شامل یک سری اسامی دامنه‌ی سخت‌رمز (URL) است که تروجان داده‌های سرقتی را برای ذخیره به آن‌ها می‌فرستاده است.
پژوهش‌گران می‌گویند این دامنه‌ها با یک آدرس رایانامه (li۲۳۸۴۸۲۶۴۰۲@yahoo.com) ثبت شده‌اند؛ از این اسامی دامنه برای استخراج اطلاعات در خلال نقض‌های اطلاعاتی Anthem و OPM (اداره‌ی مدیریت کارکنان آمریکا) استفاده شده است.
تنها نکته‌ی باقی‌مانده این است که نفوذ OPM با گروه نفوذگر DEEP PANDA در ارتباط بوده است. با این وجود، باورها بر این است که جاسوسان سایبری چینی تحت حمایت دولت این کشور هستند، به همین خاطر جای تعجبی وجود ندارد که یک ابزار از گروهی به گروه دیگر در این کشور رد و بدل می‌شود.

چین با وجود انعقاد پیمان عدم نفوذ با آمریکا، هنوز مشغول نفوذ است
محققان بر این عقید‌ه‌اند که چین در تلاش است تا راه‌هایی را برای دور زدن پیمان ضد جاسوسی سایبری که با آمریکا به امضاء رسانیده، پیدا کند؛ این پیمان دو کشور مذکور را از جاسوسی در خصوص یک‌دیگر برای رسیدن به منافع اقتصادی منع می‌کند.
سخن‌گوی ThreatConnect گفت این شرکت تصور می‌کند که نفوذگران چینی برای انجام جاسوسی سایبری این شرکت فرانسوی را هدف قرار داده‌اند، اما حمله به شرکت فروشنده‌ی هواپیماهای بدون سرنشین صرفاً برای کسب منافع مادی بوده است.
DJI۱ چین در حال حاضر مشغول بیش از ۷۰درصد از کل بازار هواپیماهای بدون سرنشین تجاری است. در گذشته، نفوذ به شرکت‌های آمریکایی و اروپایی توسط شرکت‌های چینی انجام می‌شد که محصولات مشابه را ارائه می‌کردند؛ این نفوذها در واقع به شرکت‌های چینی نظیر بخش‌های تولید فولاد امکان می‌داد تا موقعیت خود را حفظ کنند و پیشرو باقی بمانند.
ThreatConnect می‌گوید در این مورد خبر خوب این است که با وجود حضور بدافزار در شبکه‌ی متعلق به دو شرکت مورد بحث، هیچ‌گونه شواهدی وجود ندارد که نشان دهد نفوذگران چینی موفق به سرقت اطلاعات شده‌اند.

۱. DaJiang Innovation Technology

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter