حمله گسترده به سازمان‌های چینی در سراسر جهان

به گزارش کارگروه حملات سایبری سایبربان؛ شرکت امنیتی چیهو 360 چین (Qihoo 360) به تازگی اعلام کردند گروه هکری «دارک هتل» (DarkHotel APT) که با نام «APT-C-06» نیز شناخته می‌شود به سازمان‌های دولتی این کشور در هنگ‌کنگ و شانگهای حمله کرده‌اند. این گروه وابسته به یک دولت بوده و با سو استفاده از آسیب‌پذیری روز صفرم سرورهای سانگفور «Sangfor SSL VPN» به شبکه‌های قربانی دست پیدا کرده است.

به علاوه سازمان‌های چینی واقع در افغانستان، ارمنستان، اتیوپی، هند، اندونزی، ایران، اسرائیل، ایتالیا، قرقیزستان، مالزی، کره شمالی، پاکستان، عربستان، تاجیکستان، تایلند، ترکیه، امارات، انگلیس و ویتنام مورد حمله واقع شده‌اند.

اولین کمپین جاسوسی دارک هتل در سال 2014 توسط کسپراسکی شناسایی شده بود. در آن زمان اعلام شد این گروه بیش از یک دهه است که مدیران اجرایی شرکت‌های مختلف را که سفرهای برون‌مرزی می‌روند، هدف قرار می‌دهند. بازیگران مخرب دارک هتل این کار را با هدف سرقت اطلاعات حساس مدیران زمانی که در هتل‌ها اقامت دارند انجام می‌دهند. این افراد در سرقت اطلاعات بدون اینکه ردی از خود بر جای بگذارند، از مهارت بالایی برخوردار هستند.

در گزارش چیهو 360 آمده است از مارس 2020 تاکنون بیش از 200 سرور VPN توسط هکرها مورد نفوذ واقع شده است که 174 عدد از آن‌ها به مؤسسات چینی خارج از کشور تعلق دارند. کارشناسان شروع حملات را از ماه مارس و زمانی که کارمندان دولتی مجبور شدند فعالیت‌های خود را از خانه ادامه بدهند، مشاهده کردند. در این سناریو به طور گسترده از VPN بهره گرفته شده و هکرها نیز از این موقعیت و آسیب‌پذیری‌های موجود سو استفاده کردند.

در گزارش منتشر شده توسط چیهو 360 آمده است:

این شرکت به تازگی فعالیت‌های مخربی را به منظور سرقت سرورهای امنیتی ارائه شده توسط فروشنده VPN سنگفور مشاهده کرده است. این حمله توسط دارک هتل انجام گرفته و در طی آن مؤسسات چینی خارج از کشور و نهادهای دولتی مرتبط با آن هدف قرار داده شده‌اند. تاکنون تعداد بسیار زیادی از کاربران VPN تحت تأثیر قرار گرفته‌اند. زمانی که کاربران سازمان‌های قربانی از VPN Client استفاده می‌کنند، فرآیند بروزرسانی آغاز شده توسط تنظیمات پیش‌فرض توسط هکرها مورد سرقت قرار می‌گیرد. این برنامه بروزرسانی شده سپس با نمونه‌ای دستکاری شده در درب پشتی قرار داده می‌شود.

زمانی که هکرها موفق به نفوذ به سرور VPN سانگفور شدند، فایل مخرب و درب پشتی خود را جایگزین «SangforUD.exe» کردند. این فایل اجرایی یک بروزرسان برای نسخه دسکتاپ برنامه VPN به حساب می‌آید.

در ادامه گزارش نوشته شده است:

آسیب‌پذیری موجود در برنامه بروزرسان VPN قرار دارد که به صورت خودکار در زمان شروع اتصال به سرور اجرا می‌گردد. در این حالت بروزرسانی‌های لازم از فایل پیکربندی شده که در محلی ثابت از سرور قرار دارد دریافت شده و فایل SangforUD.exe را فراخوانی می‌کند. به دلیل عدم آگاهی توسعه‌دهندگان و کاربران از این موضوع یک خطر امنیتی در سراسر فرایند بروزرسانی به وجود می‌آید؛ زیرا مشتریان هیچ‌گونه بررسی روی صحت سلامت فایل انجام نمی‌دهند. همین موضوع فرصت سو استفاده از شرایط را برای هکر فراهم می‌کند.

کارشناسان چیهو 360 شرح دادند حمله یاد شده ساختاری بسیار پیچیده و پنهان‌کار دارد. با وجود این آسیب‌پذیری یاد شده پس از شناسایی، در تاریخ 3 آوریل 2020 به سانگفور اطلاعات داده شد و مقامات آن نیز وجود این نقض را تأیید کردند.

محققان همچنین توضیح دادند، میزان فعالیت دارک هتل به شدت افزایش یافته و آن‌ها مدتی قبل نیز با سو استفاده از دو آسیب‌پذیری موجود در فایرفاکس و اینترنت اکسپلورر چین و ژاپن را هدف قرار داده بودند. البته این دو آسیب‌پذیری هم‌اکنون بر طرف شده‌اند. مرکز هماهنگی گروه واگنش سریع رایانه‌ای ژاپن (JPCERT/CC) هم‌اکنون گزارشی را در این رابطه منتشر کرده است. همچنین در ماه مارس اعلام شد گروه دارک هتل به سازمان بهداشت جهانی حمله سایبری انجام داده است.