بررسی تخصصی و جزئیات گروه هکری APT33

به گزارش کارگروه امنیت سایبربان؛ پس از فعالیت برخی گروه‌های هکری فعال در خاورمیانه با توانایی‌های مخرب، بسیاری از فعالیت گروه هکری SHAMOON در این ناحیه جغرافیایی صحبت می‌کنند و سعی در مربوط جلوه دادن ماهیت فعالیت این گروه با ایران را دارند. در بررسی‌های اخیر کارشناسان در مورد فعالیت بدافزارهای فعال در زیرساخت‌های حیاتی، موفق به شناسایی و بررسی فعالیت‌های گروه هکری APT33 شدند که پس از بررسی‌ها و تحلیل‌های صورت گرفته روی این بدافزار، مشخص شد که بدافزار نام‌برده فعالیت خود را از سال 2013 شروع کرده است.
تحقیقات اخیر کارشناسان موسسه فایر آی در مورد بدافزار مذکور به بررسی جزییات کامل بدافزار می‌پردازد که در زیر به آن اشاره‌شده است.

اهداف بدافزار
گروه هکریAPT33  سازمان‌های مختلفی را هدف حملات خود قرار داده است که از جمله آن می‌توان صنایع کشورهای آمریکا، عربستان سعودی و کره جنوبی را نام برد. این در حالی است که بدافزار مذکور تمرکز خود را در کشورهای آمریکا، عربستان سعودی و کره جنوبی روی زیرساخت‌های هوایی و انرژی قرار داده است.
فعالیت‌های بدافزار به این صورت است که از اواسط 2016 تا اوایل 2017 زیرساخت‌های هوایی آمریکا و یک شرکت تجاری در عربستان را هدف حملات خود قرار داد. در همین تاریخ گروه هکری APT33 با هدف قرار دادن یک شرکت فعال در زمینه پالایش و پتروشیمی فعالیت‌های خود را دنبال کرده است. این در حالی است که فعالیت‌های بدافزار نام‌برده به صورت پیوسته تا چندی پیش ادامه داشته و برخی از زیرساخت‌های انرژی و تجاری کشورهای عربستان سعودی و کره جنوبی را تهدید کرده است.
بررسی‌ها نشان می‌دهد هدف قرار دادن سازمان‌های عربستان سعودی می‌تواند توسط رقبای منطقه‌ای طرح ریزی شده باشد، همچنین هدف قرار دادن شرکت‌های کره جنوبی ممکن است به دلیل مشارکت اخیر کره جنوبی با صنعت پتروشیمی ایران و همچنین روابط کره جنوبی با شرکت‌های پتروشیمی سعودی باشد. در این میان ایران علاقه‌مند به رشد صنایع پتروشیمی خود بوده و اغلب این گسترش را در رقابت با شرکت‌های پتروشیمی عربستان سعودی نشان می‌دهد.

کارشناسان معتقدند که هدف قرار دادن زیرساخت‌های نام‌برده در کشورهای آمریکا، عربستان سعودی و کره جنوبی بیشتر نزدیک به فعالیت گروه‌های هکری نزدیک به کشور ایران است.

بدافزار مربوطه فعالیت خود را در قالب ارسال فایل‌های مخرب به کارکنان این شرکت‌ها ایمیل کرده است. در بررسی‌های صورت گرفته فایل‌های مذکور با استفاده از فرمت (.hta)HTML قربانیان خود را شکار می‌کند. این در حالی است که فرمت.hta بیشتر در قالب‌های پست‌های ارائه‌دهنده مشاغل موجود است و مهاجمان با استفاده از این قابلیت و مخفی سازی اطلاعات در این فرمت قربانیان را به دام انداخته‌اند.
در شکل زیر نمونه‌ای فرمت فایل مخرب ارائه‌شده است که پس از قرار گرفتن روی سیستم کاربر به‌عنوان یک درب پشتی فعالیت خود را برای ورود بدافزارها نشان می‌دهد.
در ادامه ارسال فایل‌های مخرب، مهاجمان با ارسال فایل مخرب به کاربران، در قالب ادارات کاریابی با تعیین حقوق و مزایا فعالیت خود را پیش برده‌اند و فایل مذکور که ALFA Shell نام دارد را در سیستم قربانی بارگذاری نموده‌اند.

استفاده از دامنه‌های مختلف
APT33 دامنه‌های متعددی را ثبت کرده است که به‌عنوان شرکت‌های هواپیمایی عربستان سعودی و سازمان‌های غربی شناخته‌شده است که همکاری‌های خود را برای ارائه آموزش، نگهداری و حمایت از ناوگان نظامی و تجاری عربستان دارند. بر اساس الگوهای هدف مشاهده‌شده، APT33 احتمالاً از این حوزه‌ها در ایمیل‌های فیشینگ استفاده می‌کند تا سازمان‌های قربانی را هدف قرار دهند. جدول زیر نشان‌دهنده دامنه‌های مورداستفاده توسط این بدافزار است.
boeing.servehttp[.]com

alsalam.ddns[.]net

ngaaksa.ddns[.]net

ngaaksa.sytes[.]net

vinnellarabia.myftp[.]org

    
به طور مثال شرکت هواپیمایی Alsalam سال 2015 هدف حملات گروه هکری APT33 قرار گرفته است و در ادامه بررسی‌ها مشخص شد که شرکت السلام در زمینه خدمات تعمیر و نگهداری تجهیزات هواپیمایی نظامی، تجاری، پشتیبانی فنی و خدمات طراحی داخلی فعالیت داشته است.

ارتباطات بالقوه و شباهت‌های بین بدافزار مذکور با بدافزار SHAMOON
بررسی‌های صورت گرفته روی بدافزار نشان می‌دهد که بدافزار نام‌برده پس از ایجاد درب پشتی مورد نظر روی سیستم هدف شروع به انتشار نرم‌افزارهای مخرب DROPSHOT و SHAPESHIFT در سامانه هدف می‌کند. این در حالی است که به نظر می‌رسد SHAPESHIFT برای زیرساخت‌های عربستان تدارک دیده‌شده است.
بدافزار SHAPESHIFT قادر به پاک کردن دیسک‌ها، پاک کردن حجم و حذف فایل‌ها، بسته به پیکربندی آن است. در بررسی‌های صورت گرفته روی دو بدافزار نام‌برده مشخص شد که هر دو زبان فارسی را پشتیبانی می‌کنند و این ممکن است که توسط یک کاربر فارسی زبان توسعه داده‌شده باشند.
در مارس 2017، کسپرکی یک گزارش منتشر کرد که DROPSHOT (Stonedrill) را با آخرین نسخه شامون (Shamoon 2.0) مقایسه می‌کند. کارشناسان اظهار کردند که هر دو بدافزار از تکنیک‌های ضد شبیه‌سازی استفاده می‌کنند و برای سازمان‌دهی در عربستان سعودی مورداستفاده قرار می‌گیرند، اما چندین تفاوت را نیز موردبررسی قرار داده‌اند که شامل DROPSHOT بوده و از تکنیک‌های پیشرفته ضد شبیه‌سازی و از اسکریپت‌های خارجی برای حذف خودکار نیز استفاده می‌کند.

چشم‌اندازها و پیامدها
با توجه به هدف قرار دادن زیرساخت‌ها در صنایع مختلف و همچنین به‌طور خاص با هدف قرار دادن سازمان‌ها در بخش‌های هوافضا و انرژی مشخص شد که گروه APT33 در جستجوی اطلاعات استراتژیک است که از اطلاعات به دست آمده به نفع یکی از دولت‌ها استفاده کند.