نفوذگران چینی رسانه‌های هنگ‌کنگ را از طریق دراپ‌باکس هدف قرار می‌دهند

گفته می‌شود که یک گروه APT که با چین در ارتباطند و تاکنون مسئول حملات متعددی علیه دولت‌ها و وزارتخانه‌های خارجی بوده‌اند، اکنون حملات خود را معطوف به منطقه زیر نظر چین یعنی هنگ‌کنگ کرده‌اند.
کمی بعد از جنجالی وسیع درباره یک قرار ملاقات در دانشگاه معتبر هنگ‌کنگ، حملاتی در ماه آگوست علیه چندین شرکت رسانه‌ای در هنگ‌کنگ، انجام شد.
این اولین باری نیست که چین رسانه‌های خارجی را به خصوص در هنگ‌کنگ هدف قرار داده است، به ویژه که برای یافتن اطلاعات روزنامه‌نگاران و برای داشتن دست بالا در چرخه گردش اخبار، تلاش می‌کند.
در ژانویه ۲۰۱۳ نیز نفوذگرانی که متهم به همکاری و ارتباط با دولت چین هستند توسط مؤسسه Mandiant برای حمله به روزنامه نیویورک تایمز مقصر شناخته شدند.
این گروه به حساب‌های رایانامه‌ی روزنامه‌نگارانی که در مورد اتهام فساد نخست‌وزیر چین «ون جیاباو» تحقیق می‌کردند، حمله کردند.
آنها به نام مستعار [email protected]۳۳۸ به رسانه‌های خارجی در هنگ‌کنگ حمله کردند. این گروه برای محققان امنیتی از آن جهت شناخته ‌شده‌اند که از دسترسی راه دور جهت حمله به دولت‌ها و مؤسسات اقتصادی به ویژه در سیاست اقتصاد جهانی و از تروجان‌هایی نظیر Poison Ivy استفاده می‌کنند.
در این مورد، محققان مؤسسه امنیتی FireEye گفتند که این مورد از اولین نمونه‌هایی است که این گروه از طعمه‌های فیشینگ نوشته شده به زبان چینی علیه اهداف خود استفاده کرده‌اند.
به همراه هر رایانامه‌ی فیشینگ سه ضمیمه فرستاده شده است که همه آنها از یکی از نقاط آسیب‌پذیری مایکروسافت آفیس با شناسه‌ی CVE-۲۰۱۲-۰۱۵۸ استفاده کرده‌اند، که جریان بافر را به سمت کتابخانه‌ عمومی کنترل ویندوز سرریز می‌کرد )در اوایل سال ۲۰۱۲ وصله اصلاحی این نقطه آسیب¬پذیری عرضه شد.)
این پرونده‌ها به محض اجرا، یک Backdoor (دربِ پشتی) به نام Lowball در سامانه‌ی هدف اجرا می‌کردند که به حساب قانونی دراپ‌باکس متصل می‌شد.
نارت ویلنویو تحلیلگر تهدیدات پایه‌ای مؤسسه FireEye می‌گوید که در اولین مرحله حمله، دستوراتی در رایانه‌ی آلوده اجرا می‌شد و خروجی این حملات به حساب دراپ‌باکس ارسال گردیده است.
مجرمان سایبری پس از این‌که اطلاعات را دریافت می‌کردند، آنها را تحلیل می‌نمودند و اگر هدف ارزشمند بود، دومین Backdoor (در پشتی) به نام Bubblewrap را ارسال می‌کردند، که یک Backdoor معمول‌تر است و برای کنترل از راه دور و سرقت اطلاعات به کار می‌رود.
ویلنویو می‌گوید که گروه‌های APT احتمالاً به سرویس‌های حساب ابری همانند آن‌چه برای دراپ‌باکس اتفاق افتاده‌ است به عنوان بخشی از حمله خود گرایش پیدا کنند.
ویلنویو می‌گوید: «این مهاجمان از دراپ‌باکس به این دلیل استفاده می‌کردند که برای آنها راهی برای فعالیت‌های پنهان مهیا می‌کرده‌ است. هر کسی که به ترافیک شبکه نگاه کند به جای مشاهده بدافزارهای اینترنتی تنها می‌تواند ارتباطات رمزگذاری شده را به سمت دراپ‌باکس ببیند.»
رایانامه‌های فیشینگ ابتدا در آدرس‌های رایانامه‌ی روزنامه‌های هنگ‌کنگ، تلویزیون‌ها و ایستگاه‌های رادیویی هنگ‌کنگ با محتویاتی نظیر رویدادهای روز دیده شده‌اند. از جمله این رایانامه‌ها، موردی بود که یکی از فارغ‌التحصیلان دانشگاه هنگ‌کنگ طی آن نگرانی خود را در مورد رأی دادن برای تعیین معاون دانشگاه که تحت تأثیر پکن قرار داشت ابراز کرده ‌است.
ویلنویو می‌گوید که اولین مرحله حمله اساساً شناسایی قربانی است. هنگامی که هدف با موفقیت مورد حمله قرار گرفت، سامانه به وسیله APIهای سرویس (امکاناتی که دراپ‌باکس برای توسعه‌دهندگان مهیا کرده است) به دراپ‌باکس متصل می‌شود و در آنجا پرونده‌ای را با نام میزبان قربانی ایجاد می‌کند.
این پرونده حاوی تنظیمات آی‌پی (IPconfig)، اطلاعات کاربر و دامنه او و فهرستی از برنامه‌های نصب شده و اسناد اخیراً ایجاد شده در سامانه‌ی قربانی است.
مهاجم به اطلاعات دریافتی نگاه می‌کند و بررسی می‌کند آیا این مورد خاص مورد علاقه آن‌ها هست یا خیر.
اگر به هدف علاقمند باشند، آنگاه یک پرونده‌ی اجرایی را درون حساب کاربری دراپ‌باکس قرار می‌دهد به طوری¬که بار دیگر که میزبان قربانی شده آن را بررسی می‌کند، آن پرونده اجرایی را برداشته و در پشتی معرفی‌شده، دسترسی فوری به سامانه‌ی میزبان را فراهم می‌کند.»
مؤسسه FireEye می‌گوید که یافته‌های خود را با دراپ‌باکس در میان گذاشته است، و آنها در بررسی‌های بیشتر دریافته‌اند که احتمالاً یک حمله جداگانه و بزرگ‌تر نیز از سوی همان گروه صورت گرفته است.
ویلنویو می‌گوید : «(دراپ باکس) مجموعه دیگری از فعالیت بدافزارهای مخرب را پیدا کرده است که تقریباً شبیه به همان قبلی عمل می‌کنند اما در این مورد، حمله بزرگ‌تر و در حدود ۵۰ قربانی دارد. ما تقریباً مطمئن هستیم که این مجموعه دوم حملات‌ نیز به آن‌ها مربوط است. این حملات از بسیاری موارد شبیه مورد ذکر شده است، فقط با حساب‌های کاربری دراپ‌باکس متعدد و تعداد اهداف بیش‌تر.»