ITanalyze

محققان دریافته اند یک گروه هکری ناشناس، یک برنامه دولتی پاکستان را به خطر انداخته تا قربانیان را با بدافزار شدوپد (Shadowpad) مرتبط با چین آلوده کند.
به گزارش سایبربان، شرکت امنیت سایبری ترند میکرو (Trend Micro) سال گذشته سه نهاد مورد هدف شدوپد را در پاکستان شناسایی کرده است:

یک آژانس دولتی ناشناس، یک بانک دولتی و یک ارائه دهنده مخابرات.

محققان بر این باورند که ممکن است این یک حمله زنجیره تامین بوده باشد، جایی که هکرها برای دسترسی به اهداف مورد نظر خود، نرم افزار شخص ثالث را به خطر می اندازند.

در این حادثه، هکرها یک نصب کننده مایکروسافت را که توسط یک نهاد دولتی پاکستان برای برنامه ای-آفیس (E-Office) ساخته شده بود تا به سازمان های دولتی این کشور کمک کند تا بدون کاغذ کار کنند، تغییر داده اند.

این برنامه فقط برای ارگان های دولتی در نظر گرفته شده است و در دسترس عموم نیست.

محققان می گویند: این موضوع باور ما را تقویت می کند که این حادثه می تواند یک حمله زنجیره تامین باشد.

هکرها سه فایل را به نصب کننده قانونی مایکروسافت اضافه می کنند تا یک بار مخرب را بارگذاری کنند.

شدوپد یک خانواده بدافزار پیشرفته است که برای اولین بار در سال 2017 پس از حمله زنجیره تامین به یک ابزار پاکسازی رایانه محبوب به نام سی کلینر (CCleaner) کشف شد.

اعتقاد بر این است که این بدافزار توسط یک عامل تهدید جاسوسی چینی معروف به ای پی تی 41 (APT41) یا باریوم (Barium) ساخته شده است.

به گفته ترند میکرو، محققان می گویند که شواهد کافی برای نسبت دادن این حمله به یک عامل تهدید شناخته شده پیدا نکرده اند، اما این واقعیت که هکرها به نسخه اخیر شدوپد دسترسی داشته اند، به طور بالقوه آن را به پیوند گروه های تهدید چینی مرتبط می کند.

شدوپد یک خانواده بدافزار مشترک است و از سال 2019 بین چندین عامل تهدید جاسوسی چینی، از جمله ارث آخلوت (Earth Akhlut) یا ارث لوسکا (Earth Lusca) توزیع شده است، که باعث پیچیده شدن اسناد می شود.

در یکی از محیط‌های قربانی، محققان چندین خانواده بدافزار را پیدا کرده اند که می‌توانند «با اطمینان بالا» به گروه هکر چینی کالیپسو نسبت دهند.

در ماه ژوئن، یک عامل تهدید ناشناخته چینی زبان از یک آسیب پذیری در سرور مایکروسافت اکسچنج (Microsoft Exchange Server) برای هدف قرار دادن بخش های مخابراتی، تولیدی و حمل و نقل در افغانستان، مالزی و پاکستان با بدافزار شدوپد، سوء استفاده می کرده است.

در طی این حملات، درب پشتی شدوپد تحت پوشش نرم افزاری قانونی بر روی رایانه های مورد حمله دانلود می شده است.

محققان می گویند: نویسندگان شدوپد به به روز رسانی بدافزار خود ادامه خواهند داد و مهندسی معکوس آن را دشوارتر خواهند کرد. ما انتظار داریم در آینده شاهد استفاده از عوامل تهدید کننده بیشتری از این نسخه شدوپد به روز شده باشیم.