گفته میشود که یک گروه APT که با چین در ارتباطند و تاکنون مسئول حملات متعددی علیه دولتها و وزارتخانههای خارجی بودهاند، اکنون حملات خود را معطوف به منطقه زیر نظر چین یعنی هنگکنگ کردهاند.
کمی بعد از جنجالی وسیع درباره یک قرار ملاقات در دانشگاه معتبر هنگکنگ، حملاتی در ماه آگوست علیه چندین شرکت رسانهای در هنگکنگ، انجام شد.
این اولین باری نیست که چین رسانههای خارجی را به خصوص در هنگکنگ هدف قرار داده است، به ویژه که برای یافتن اطلاعات روزنامهنگاران و برای داشتن دست بالا در چرخه گردش اخبار، تلاش میکند.
در ژانویه ۲۰۱۳ نیز نفوذگرانی که متهم به همکاری و ارتباط با دولت چین هستند توسط مؤسسه Mandiant برای حمله به روزنامه نیویورک تایمز مقصر شناخته شدند.
این گروه به حسابهای رایانامهی روزنامهنگارانی که در مورد اتهام فساد نخستوزیر چین «ون جیاباو» تحقیق میکردند، حمله کردند.
آنها به نام مستعار [email protected]۳۳۸ به رسانههای خارجی در هنگکنگ حمله کردند. این گروه برای محققان امنیتی از آن جهت شناخته شدهاند که از دسترسی راه دور جهت حمله به دولتها و مؤسسات اقتصادی به ویژه در سیاست اقتصاد جهانی و از تروجانهایی نظیر Poison Ivy استفاده میکنند.
در این مورد، محققان مؤسسه امنیتی FireEye گفتند که این مورد از اولین نمونههایی است که این گروه از طعمههای فیشینگ نوشته شده به زبان چینی علیه اهداف خود استفاده کردهاند.
به همراه هر رایانامهی فیشینگ سه ضمیمه فرستاده شده است که همه آنها از یکی از نقاط آسیبپذیری مایکروسافت آفیس با شناسهی CVE-۲۰۱۲-۰۱۵۸ استفاده کردهاند، که جریان بافر را به سمت کتابخانه عمومی کنترل ویندوز سرریز میکرد )در اوایل سال ۲۰۱۲ وصله اصلاحی این نقطه آسیب¬پذیری عرضه شد.)
این پروندهها به محض اجرا، یک Backdoor (دربِ پشتی) به نام Lowball در سامانهی هدف اجرا میکردند که به حساب قانونی دراپباکس متصل میشد.
نارت ویلنویو تحلیلگر تهدیدات پایهای مؤسسه FireEye میگوید که در اولین مرحله حمله، دستوراتی در رایانهی آلوده اجرا میشد و خروجی این حملات به حساب دراپباکس ارسال گردیده است.
مجرمان سایبری پس از اینکه اطلاعات را دریافت میکردند، آنها را تحلیل مینمودند و اگر هدف ارزشمند بود، دومین Backdoor (در پشتی) به نام Bubblewrap را ارسال میکردند، که یک Backdoor معمولتر است و برای کنترل از راه دور و سرقت اطلاعات به کار میرود.
ویلنویو میگوید که گروههای APT احتمالاً به سرویسهای حساب ابری همانند آنچه برای دراپباکس اتفاق افتاده است به عنوان بخشی از حمله خود گرایش پیدا کنند.
ویلنویو میگوید: «این مهاجمان از دراپباکس به این دلیل استفاده میکردند که برای آنها راهی برای فعالیتهای پنهان مهیا میکرده است. هر کسی که به ترافیک شبکه نگاه کند به جای مشاهده بدافزارهای اینترنتی تنها میتواند ارتباطات رمزگذاری شده را به سمت دراپباکس ببیند.»
رایانامههای فیشینگ ابتدا در آدرسهای رایانامهی روزنامههای هنگکنگ، تلویزیونها و ایستگاههای رادیویی هنگکنگ با محتویاتی نظیر رویدادهای روز دیده شدهاند. از جمله این رایانامهها، موردی بود که یکی از فارغالتحصیلان دانشگاه هنگکنگ طی آن نگرانی خود را در مورد رأی دادن برای تعیین معاون دانشگاه که تحت تأثیر پکن قرار داشت ابراز کرده است.
ویلنویو میگوید که اولین مرحله حمله اساساً شناسایی قربانی است. هنگامی که هدف با موفقیت مورد حمله قرار گرفت، سامانه به وسیله APIهای سرویس (امکاناتی که دراپباکس برای توسعهدهندگان مهیا کرده است) به دراپباکس متصل میشود و در آنجا پروندهای را با نام میزبان قربانی ایجاد میکند.
این پرونده حاوی تنظیمات آیپی (IPconfig)، اطلاعات کاربر و دامنه او و فهرستی از برنامههای نصب شده و اسناد اخیراً ایجاد شده در سامانهی قربانی است.
مهاجم به اطلاعات دریافتی نگاه میکند و بررسی میکند آیا این مورد خاص مورد علاقه آنها هست یا خیر.
اگر به هدف علاقمند باشند، آنگاه یک پروندهی اجرایی را درون حساب کاربری دراپباکس قرار میدهد به طوری¬که بار دیگر که میزبان قربانی شده آن را بررسی میکند، آن پرونده اجرایی را برداشته و در پشتی معرفیشده، دسترسی فوری به سامانهی میزبان را فراهم میکند.»
مؤسسه FireEye میگوید که یافتههای خود را با دراپباکس در میان گذاشته است، و آنها در بررسیهای بیشتر دریافتهاند که احتمالاً یک حمله جداگانه و بزرگتر نیز از سوی همان گروه صورت گرفته است.
ویلنویو میگوید : «(دراپ باکس) مجموعه دیگری از فعالیت بدافزارهای مخرب را پیدا کرده است که تقریباً شبیه به همان قبلی عمل میکنند اما در این مورد، حمله بزرگتر و در حدود ۵۰ قربانی دارد. ما تقریباً مطمئن هستیم که این مجموعه دوم حملات نیز به آنها مربوط است. این حملات از بسیاری موارد شبیه مورد ذکر شده است، فقط با حسابهای کاربری دراپباکس متعدد و تعداد اهداف بیشتر.»
