ITanalyze

نگار قیصری – شرکت اپن‌اِی‌آی (OpenAI) اعلام کرد هکرهای ایرانی با استفاده از چت‌جی‌پی‌تی (ChatGPT)، حملاتی به سیستم‌های کنترل صنعتی (ICS) را برنامه‌ریزی کرده‌اند.

سایت سکیورتی ویک‌ نوشت: در گزارش اخیرِ این شرکت هوش مصنوعی ادعا شده OpenAI از ابتدای سال تا کنون بیش از ۲۰ عملیات سایبری و مخفی، از جمله فعالیت‌های هکرهای دولتی ایران و چین را مختل کرده است.

این گزارش، فعالیت‌های سه گروه تهدید را که از چت‌جی‌پی‌تی برای انجام حملات سایبری سوءاستفاده کرده‌اند، بررسی کرده است. یکی از این گروه‌ها CyberAv3ngers نام دارد که ادعا می‌شود با نهادهای نظامی ایران مرتبط است و امسال به دلیل حملاتش به حوزه منابع آبی خبرساز شده است.

این گروه، سیستم‌های کنترل صنعتی یک شرکت آب در ایرلند را هدف قرار داده است. این حمله، باعث شد که مردم دو روز بدون آب بمانند.

همچنین این گروه به یک شرکت آب در پنسیلوانیا و دیگر تاسیسات آب در ایالات متحده حمله کرده است.

این حملات، شامل هک پیشرفته‌ نبودند اما به این دلیل موفق بوده‌اند که بسیاری از سازمان‌ها، سیستم‌های صنعتی خود را به اینترنت متصل کرده و با رمزهای پیش‌فرض که به‌راحتی قابل دسترسی هستند، از آن محافظت می‌کنند.

طبق ادعای OpenAI، حساب‌های مرتبط با گروه CyberAv3ngers از چت‌جی‌پی‌تی برای انجام عملیات شناسایی، بهره‌برداری از آسیب‌پذیری‌ها، فرار از تشخیص و فعالیت‌های پس از نفوذ استفاده کرده‌اند. بسیاری از فعالیت‌های شناسایی این گروه، حمله به کنترل‌کننده‌های منطقی برنامه‌پذیر (PLC) و دیگر سیستم‌های کنترل صنعتی، مرتبط بوده است.

به‌ طور خاص، این هکرها از ChatGPT درباره پورت‌ها و پروتکل‌های صنعتی که به اینترنت متصل می‌شوند، روترها و PLCهای صنعتی که معمولا در اردن استفاده می‌شوند، شرکت‌های برق و پیمانکاران این کشور و رمزهای پیش‌فرض برای دستگاه‌های Tridium Niagara  و روترهای صنعتی Hirschmann RS سوال کرده‌اند.

علاوه بر اطلاعات مرتبط با سیستم‌های کنترل صنعتی، این هکرها به دنبال اطلاعاتی درباره اسکن شبکه‌ها برای آسیب‌پذیری‌های قابل‌ بهره‌برداری، مبهم‌سازی کدهای مخرب و دسترسی به رمزهای عبور کاربران در macOS بوده‌اند.

با این حال، تحقیقات OpenAI درباره فعالیت‌های هکرها روی چت‌جی‌پی‌تی نشان داد «این تعاملات، قابلیت منبع یا اطلاعات جدید به گروه CyberAv3ngers  ارائه نکرده و تنها قابلیت‌های محدودی را که قبلا با ابزارهای موجود و غیرهوش مصنوعی قابل دستیابی بود، به آنها افزوده است.»

گفتنی است دولت ایالات متحده، هویت چندین نفر از اعضای مظنون گروه CyberAv3ngers را عمومی کرده و برای اطلاعاتی درباره این هکرها پاداشی تا 10 میلیون دلار تعیین کرده است.

ادعا می‌شود گروه مذکور، یک شخصیت مورد استفاده دولت ایران برای انجام فعالیت‌های مخرب سایبری است و اعضای این گروه، احتمالا برای ارتش ایران کار می‌کنند.

گزارش جدید OpenAI همچنین به فعالیت‌های گروه هکری ایرانی دیگر به نام Storm-0817 اشاره دارد.

این گروه تلاش کرده از ChatGPT برای دریافت اطلاعاتی که می‌تواند در توسعه یک بدافزار به منظور سرقت اطلاعات از دستگاه‌های اندروید مورد استفاده قرار گیرد، بهره‌مند شود.

این عامل تهدید از چت‌بات برای ساختن یک اسکراپر (scraper) اینستاگرام و ترجمه پروفایل‌های لینکدین به فارسی، استفاده کرده است.

شرکتOpenAI  همچنین به فعالیت‌های عامل تهدید مرتبط با چین به نام SweetSpectre اشاره کرده که نه تنها از  چت‌جی‌پی‌تی برای شناسایی، تحقیق آسیب‌پذیری، توسعه بدافزار و مهندسی اجتماعی استفاده کرده، بلکه سعی کرده ایمیل‌های حاوی بدافزار را به کارمندان اپن‌اِی‌آی ارسال کند. به گفته این شرکت هوش مصنوعی، ایمیل‌های مخرب قبل از رسیدن به صندوق‌های ورودی هدف، مسدود شده‌اند.
 

• حمله هکرهای ایرانی از طریق آسیب‌پذیری ویندوز

در خبری دیگر شرکت امنیت سایبری ترند میکرو (Trend Micro) مدعی شد گروه سایبری وابسته به ایران با نام OilRig، فعالیت‌های سایبری خود را علیه امارات متحده عربی و منطقه خلیج فارس تشدید کرده است.

سایت سکیوریتی ویک‌ نوشت: بر اساس گزارش مذکور، این گروه جاسوسی سایبری که با نام‌های APT34، Cobalt Gypsy، Earth Simnavaz و Helix Kitten  نیز شناخته می‌شود، از سال ۲۰۱۴ فعال است. این گروه به اهدافی در بخش‌های انرژی و دیگر زیرساخت‌های حیاتی حمله کرده و به طور کلی، اهدافی را دنبال می‌کند که با منافع دولت ایران همسو هستند.

طبق اعلام ترند میکرو «در ماه‌های اخیر، حملات سایبری این گروه APT که به نهادهای دولتی در امارات متحده عربی و منطقه خلیج فارس حمله می‌کند، به طور قابل‌توجهی افزایش یافته است.»

برای انجام عملیات جدید، این گروه، یک درب‌پشتی (بکدور) پیشرفته برای استخراج اعتبارنامه‌ها از طریق سرورهای مایکروسافت Exchange در محل نصب کرده است. علاوه بر این مشاهده شده گروهOilRig  از سیاست فیلتر رمز عبور برای استخراج پسوردهای متنی ساده سوءاستفاده می‌کند. این گروه همچنین از ابزار مانیتورینگ و مدیریت از راه دور Ngrok برای تونل‌سازی ترافیک و حفظ دسترسی و نیز از آسیب‌پذیری CVE-2024-30088، به عنوان یک باگ ارتقای سطح دسترسی در هسته ویندوز، بهره‌برداری می‌کند.

مایکروسافت، آسیب‌پذیری CVE-2024-30088 را در ماه ژوئن برطرف کرد. به نظر می‌رسد این، اولین گزارشی است که به سوءاستفاده از این نقص اشاره می‌کند. در زمان نگارش این گزارش، راهنمای این شرکت، به سوءاستفاده‌ واقعی از این آسیب‌پذیری اشاره نکرده اما ذکر کرده: «احتمال سوءاستفاده وجود دارد.»

شرکت امنیت سایبری Trend Micro توضیح داد: «نقطه ورود اولیه برای این حملات به وب‌شل (web shell) آپلودشده روی یک سرور وب آسیب‌پذیر باز می‌گردد. این وب‌شل نه تنها اجازه اجرای کدهای PowerShell را می‌دهد، بلکه به مهاجمان اجازه می‌دهد فایل‌هایی را به سرور، آپلود یا از آن دانلود کنند.»

پس از دسترسی به شبکه، این گروه، Ngrok را برای جابجایی جانبی به کار گرفته، کنترل‌کننده دامنه را به خطر انداخته و از CVE-2024-30088  برای ارتقای سطح دسترسی استفاده کرده است. همچنین یک DLL فیلتر رمز عبور را ثبت کرده و بکدور (درب‌پشتی) را برای استخراج اعتبارنامه‌ها مستقر کرده است.

گروه تهدید، همچنین با استفاده از اعتبارنامه‌های دامنه‌ای که به خطر افتاده‌اند، به سرور Exchange دسترسی پیدا کرده و داده‌ها را استخراج کرده است.

در این رابطه، شرکت امنیت سایبری Trend Micro اعلام کرد: «هدف اصلی این مرحله، دریافت رمزهای عبور سرقت‌شده و ارسال آنها به مهاجمان به ‌عنوان پیوست‌های ایمیل است. علاوه بر این، مشاهده کردیم مهاجمان از حساب‌های قانونی با رمزهای عبور سرقت‌شده استفاده می‌کنند تا این ایمیل‌ها را از طریق سرورهای Exchange دولتی ارسال کنند.»

همچنین درب‌پشتی مورد استفاده در این حملات که با بدافزارهای دیگر این گروه APT شباهت‌هایی دارد، نام‌‌های کاربری و رمزهای عبور را از یک فایل خاص دریافت، اطلاعات پیکربندی را از سرور ایمیل Exchange بازیابی و ایمیل‌ها را به یک آدرس هدف مشخص، ارسال می‌کند.

شرکت امنیت سایبری ترند میکرو اضافه کرد: «گروه Earth Simnavaz به استفاده از سازمان‌های به‌خطرافتاده برای انجام حملات زنجیره تامین علیه نهادهای دولتی دیگر معروف است. انتظار داشتیم این گروه با استفاده از حساب‌های سرقت‌شده، حملات فیشینگ جدید، علیه اهداف اضافی را آغاز کند.»

گفتنی است Trend Micro از شرکت‌های پیشگام امنیت سایبری است که در سال 1988، توسط یوگنی کسپرسکی، همسرش و استیو چنگ تاسیس شد. (منبع:عصرارتباط)