دیپلمات ها زیر تیغ هکرها - وبلاگ تپلینک

به گزارش وبلاگ تپلینک، تازه ترین گزارش کارشناسان امنیتی کمپانی ESET از کشف گروه جاسوسی سایبری (APT) جدیدی با نام BackdoorDiplomacy خبر داده که در 4 سال گذشته، دیپلمات ها و بویژه وزرای امور خارجه را در بسیاری از کشورهای آفریقایی و بعضی کشورهای خاورمیانه، آسیا و اروپا مورد هدف قرار داده است؛ خبری که خواب بسیاری از دیپلمات ها را دردنیا آشفته نموده و حالا همگی منتظر خبرهای تازه این کمپانی هستند تا بدانند اطلاعات حساس کدام یک از دیپلمات های دنیا به سرقت رفته یا احتمالاً دستکاری شده است.

یک گروه هکری و هزار راه حمله سایبری

ESET یک کمپانی امنیت اینترنت مستقر در اسلواکی است که محصولات آنتی ویروس و فایروال ارائه می دهد و تا به امروز در زمینه کشف حملات سایبری در دنیا بسیار پیروز عمل نموده است.

محققان این کمپانی معتقدند گروه سایبری جدید که شرکت امنیتی ESET آن را با نام رمز BackdoorDiplomacy نامگذاری نموده است حداقل از سال 2017 تا به امروز فعالیت داشته و قطعاً با پشتیبانی یک دولت خاص در حال فعالیت در دنیا و گردآوری اطلاعات و ایجاد اختلال در کار دیپلمات هاست. در این گزارش هنوز به کشورهایی که مورد حمله قرار گرفته اند اشاره ای نشده است اما این احتمال می رود که به قربانیان اطلاع داده شده باشد و آنها نیز به دلیل مسائل امنیتی علاقه ای به فاش کردن این تهدیدات ندارند.

آدام بورگر، تحلیلگر ارشد تهدید اطلاعات در شرکت امنیت سایبری اسلواکی ESET، در تازه ترین گزارش این کمپانی گفت: تحقیقات ما نشان می دهد که این گروه هکری، قربانیان خود را از دیپلمات هایی در وزارت امور خارجه بسیاری از کشورهای آفریقایی و همچنین چند کشور اروپایی، خاورمیانه و آسیا انتخاب می نموده که البته بیشتر در سطح وزرای امورخارجه بوده است.

بورگر اضافه نمود: البته این بدان معنا نیست که این گروه مجرم سایبری تنها به دیپلمات ها بسنده می نمایند و اطلاعات و شواهدی که در دست داریم نشان می دهد شرکت های مخابراتی و ارتباطی در آفریقا و حداقل یک سازمان خیریه در خاورمیانه از دیگر اهداف این گروه سایبری بوده است.

این محقق کمپانی ESET گفت: گروه هکری BackdoorDiplomacy در گام نخست نقاط ضعف وسایل، سیستم ها و دستگاه های متصل به اینترنت ازجمله سرورهای وب و رابط های مدیریتی برای تجهیز شبکه را مورد توجه قرار می دهد و درواقع همین ضعف هاست که راه را برای حمله پیروز این گروه هکری هموار می نماید. شواهد نشان می دهد که این گروه هکری حمله هایی پیروز به سرورهای ایمیل Microsoft Exchange، پنل های مدیریت میزبانی وب Plesk و دستگاه های F5 BIG-IP داشته اند.

بورگر یادآور شد: هکرها به محض آلوده کردن سیستم های هدف و معمولاً قبل از گسترش بدافزار مخرب مورد نظر خود، یک در پشتی را نصب می نمایند و طیف وسیعی از ابزارها را برای انجام نظارت و سرقت اطلاعات به کار می گیرند. لازم به ذکر است کمپانی ESET از این در پشتی با نام Turian یاد می نماید. به دنبال ایجاد این در پشتی، یک ابزار اسکن اپن سورس(منبع باز) را بارگیری نموده و مورد استفاده قرار می دهند تا بتوانند در شبکه براحتی حرکت نموده و میزان آلودگی را تا حدامکان بالا ببرند.

لازم به ذکر است این تروجان مخرب می تواند هم به نسخه های ویندوز وهم لینوکس حمله کند که خبر بسیار بدی برای قربانیان است چراکه تعداد دستگاه های درمعرض خطر را بالاتر می برد. به این ترتیب پس از حمله به سیستم ها، هکرها می توانند با اهداف حساس ارتباط برقرار نموده، سیستم های آنها را جست و جو نمایند و اطلاعات مهم را پاک نموده و از بین ببرند. دریافت عکس از صفحه و همچنین رونویسی، انتقال، حذف یا سرقت پرونده ها از دیگر کوشش های این هکرها برای ایجاد اختلال در عملکرد دستگاه های دیپلماتیک در آفریقا، خاورمیانه و بعضی کشورهای اروپایی بوده است.

این محقق کمپانی ESET همچنین گفت که مشاهده شده است BackdoorDiplomacy برای وسعت بخشیدن به فعالیت های جاسوسی سایبری خود، نه تنها کامپیوترها و سرورها که حتی وسایل جانبی قابل جابه جایی ازجمله درایوهای USB را نیز آلوده می نمایند تا به محض اتصال این یو اس بی ها به سیستم های مختلف بلافاصله بدافزار مخرب در شبکه گسترش یابد و به پیروزیت عملیات هک و حمله سایبری یاری شایان توجهی کند. در واقع این بدافزار درایوهای فلش را اسکن نموده و سعی می نماید همه پرونده هایی که از آنها در بایگانی های محافظت شده با رمزعبور نگهداری می شود را کپی نموده و سپس اطلاعات را ازطریق در پشتی به مرکز کنترل (C2) منتقل کند.

انگشت اتهام به سوی چین

هرچند کمپانی ESET این گروه هکری جدید را به طور رسمی به یک کشور خاص مربوط ندانست و آن را تشکیل یافته از چندین گروه آسیایی توصیف کرد ولی بعضی محققان، BackdoorDiplomacy را مرتبط با چین می دانند. اما چرا نگاه ها به سمت چین رفته است؟ بعضی این حملات را به چندین عامل تهدید مستقر در چین متصل می نمایند و احتمال می دهند که این گروه ممکن است حداقل با یکی از آنها یکسان یا در ارتباط باشد. تصور می شود درپشتی Turian، براساس Backdoor Quarian یعنی بدافزار مرتبط با حملات سال 2013علیه اهداف دیپلماتیک در سوریه و ایالات متحده، به وجود آمده است.

این حمله هکری جدید شباهت هایی نیز با هک فورتنایت در سال 2017 و Intezer در 2018 و همچنین یک عملیات هک چینی علیه وزارت امور خارجه ایالات متحده دارد و بعضی محققان نیز معتقدند که این گروه هکری از روش رمزگذاری مشابه درب پشتی Dr.Web استفاده می نمایند که مؤسسات دولتی در قزاقستان و قرقیزستان را از سال 2017 تا 2020 مورد حمله قرار داد. البته لازم به ذکر است که چین هنوز واکنشی نسبت به این موضوع نشان نداده و طبعاً مسئولیت این حملات را به عهده نگرفته است.

بیشترین قربانی در آفریقا

طبق گزارش کمپانی ESET، در حمله سایبری BackdoorDiplomacy بیشترین تعداد قربانی ها به آفریقا بازمی شود و دقیقاً این کشورهای آفریقایی هستند که بیش از همه، بر دست داشتن چین در این حملات سایبری تأکید دارند. در اوایل سال جاری میلادی مرکز مطالعات استراتژیک آفریقا در گزارشی عنوان نموده بود که بیشترین نگرانی ها در خصوص جاسوسی سایبری در آفریقا با چین مرتبط است چراکه حدود 80 درصد همه زیرساخت های شبکه های ارتباطی این قاره و همچنین شبکه های دولتی بیش از 20 کشور آفریقایی توسط چین راه اندازی شده است و همین موضوع نشان می دهد که چقدر دست این کشور برای نفوذ در زیرساخت های آفریقا باز است.

این نخستین بار نیست که کشورهای آفریقایی به طور گسترده مورد حمله سایبری قرار می گیرند و در سال 2018 نیز در گزارشی عنوان شد که همه محتوای سرورها در مقرهای اتحادیه آفریقا(AU) به طور مداوم به شانگهای انتقال می یابد و وقتی مهندسان آفریقایی برای جایگزینی سرورها اقدام کردند این بار جاسوسی چین ازطریق دوربین های نظارتی صورت گرفت.

پیش از این نیز بدافزار خطرناک Pegasus به طور همزمان 11 کشور آفریقایی را مورد حمله قرار داده بود که درنهایت معین شد هکرها هم از داخل وهم خارج از آفریقا در این کار دخیل هستند و با انتقال اطلاعات در ساعات عادی کاری به چین، مسیرهای خود را پنهان می نمایند. در آفریقا حمله به زیرساخت های حیاتی به امری متداول تبدیل شده و بانک ها تا به امروز میلیاردها دلار درنتیجه خرابکاری در سیستم ها از دست داده اند. حال باید منتظر ماند و دید در گزارش های بعدی کمپانیESET نام چه کشورهایی در میان قربانیان قرار می گیرد.