هجوم هکرهای ایرانی به سازمانهای دولتی خاورمیانه
بنا به ادعای برخی نشریات، گروه هکری ایل ریگ (Oil Rig) که به ایران نسبت داده میشود، بخشی از یک کمپین جاسوسی سایبری است که از درب پشتی جدید برای استخراج دادهها استفاده میکند و سازمانهای دولتی خاورمیانه را هدف قرار میدهد.
به گزارش عصر ارتباط بکدور یا درب پشتی (Backdoor) نوعی نرمافزار مخرب است که قادر است برای دستیابی غیرمجاز به سیستم رایانهای، محدودیتهای امنیتی را دور بزند. درب پشتی یک قطعه کد است که به دیگران اجازه میدهد، بدون اینکه تشخیص داده شوند، از یک سیستم، وارد و خارج شوند.
محمد فهمی، شریف مجدی و محمود زهدی از محققان Trend Micro میگویند: «این کمپین از اکانتهای ایمیل قانونی به خطر افتاده، برای ارسال دادههای سرقتشده به اکانتهای ایمیل خارجی که توسط مهاجمان کنترل میشوند، سوءاستفاده میکند.»
در حالی که این تکنیک بهخودیخود بیسابقه نیست، نشانههایی وجود دارد که OilRig آن را برای اولین بار در playbook خود بهکار میگیرد. این امر، بیانگر تکامل مداوم روشهای خود برای دور زدن حفاظتهای امنیتی است.
گروه تهدید مداوم پیشرفته (APT) که با نامهای APT34، Cobalt Gypsy،Europium و Helix Kitten نیز شناخته میشود، حداقل از سال 2014 برای حملات فیشینگ هدفمند در خاورمیانه ثبت شده است.
این گروه که ادعا میشود با ایران مرتبط است، از مجموعه ابزارهای متنوعی در عملیات خود استفاده میکند. مثلا در حملات اخیر سالهای 2021 و 2022 از درهای پشتی مانند Karkoff، Shark،Marlin و Saitama برای سرقت اطلاعات استفاده کردند.
نقطه شروع آخرین فعالیت یک dropper مبتنی بر داتنت است که وظیفه ارائه چهار فایل مختلف از جمله ایمپلنت اصلی (“DevicesSrv.exe”) را دارد و مسئول استخراج فایلهای خاص مورد علاقه است.
همچنین در مرحله دوم یک فایل کتابخانه پیوند پویا (DLL) مورد استفاده قرار میگیرد که قادر به جمعآوری اعتبار، از کاربران دامنه و اکانتهای محلی است.
قابل توجهترین جنبه درپشتی داتنت، از روال خارج کردن آن است که شامل استفاده از اعتبارنامههای سرقتشده برای ارسال پیامهای الکترونیکی به آدرسهای ایمیل تحت کنترل جیمیل و Proton Mail است.
محققان میگویند: «بازیگران تهدید، این ایمیلها را از طریق اکسچنج سرورهای دولتی با استفاده از اکانتهای معتبر اما با رمزهای عبور سرقتشده ارسال میکنند.»
اتصال کمپین به APT34 ناشی از شباهتهای بین dropper مرحله اول و Saitama، الگوهای شناسایی قربانی و استفاده از سرورهای مبادله اینترنتی به عنوان یک روش ارتباطی است، همانطور که در مورد Karkoff مشاهده شد.
در هر صورت، تعداد فزاینده ابزارهای مخرب مرتبط با OilRig نشاندهنده انعطافپذیری عامل تهدید برای ارائه بدافزار جدید بر اساس محیطهای هدف و امتیازاتی است که در مرحله مشخصی از حمله دارند.
به گفته محققان، علیرغم سادگی روال این فعالیت، تازگی مراحل دوم و آخر نیز نشان میدهد که کل این روال فقط میتواند بخش کوچکی از کمپین بزرگتری باشد که دولتها را هدف قرار میدهد.