مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

انتشار شده در تاریخ 1397/09/10 - 13:00

شناسایی کمپین جاسوسی بر پایه AutoCAD

پژوهشگران، در مورد کمپین های جاسوسی صنعتی که شرکت های بخش انرژی را با بدافزار های مبتنی بر اتوکد هدف قرار می دهند، هشدار دادند

به گزارش کارگروه حملات سایبری سایبربان، به نقل از «ZDNet»؛ محققان امنیتی، یک کمپین توزیع بدافزار تا حدودی منحصر به فرد را کشف کرده اند که شرکت ها را با بدافزار هایی بر پایه اتوکد (AutoCAD)، هدف قرار می دهند.

طبق داده های تله متری بررسی شده توسط شرکت امنیت سایبری فورس پوینت (Forcepoint) به نظر می رسد کمپین نام برده، از سال 2014 فعال است.

شرکت یاد شده توضیح داد که گروه پشت کمپین اخیر، به احتمال زیاد بسیار پیچیده بوده و اصولا به علت تمرکز بر استفاده از یک بردار آلوده خاص مانند اتوکد، به جاسوسی صنعتی علاقه مند است.

کارشناسان فورس پوینت، با انتشار مقاله ای اظهار کرده اند:

مجرمان توسط حداقل یک کمپین که احتمالا بر بخش های انرژی متمرکز بوده، با موفقیت چندین شرکت را در نقاط مختلف جغرافیایی، مورد هدف قرار داده اند.

محققان توضیح دادند که هکرها از ایمیل های فیشینگ هدفدار (Spear-phishing) استفاده کرده اند. این ایمیل ها شامل آرشیوی از فایل های مخرب اتوکد یا لینک هایی به وب سایت هایی بود تا قربانیان خود فایل های زیپ (ZIP) را دانلود کنند؛ زیرا فایل های طعمه، از محدودیت استاندارد فایل های پیوست سرور ایمیل، بزرگتر بوده اند.

شرکت فورس پونت ذکر کرد:

این کمپین فیشینگ هدفدار از اسناد مسروقه ی طراحی شده برای پروژه های بزرگ مانند هتل ها، ساختمان های کارخانه و حتی پل هنگ کنگ ژوهای ماکائو به عنوان طعمه برای انتشار بیشتر، استفاده کرده اند.

استفاده ی هکرها از قابلیت اسکریپت نویسی اتوکد

تحلیل گران شرح دادند، که قربانیان معمولا به این دلیل آلوده می شوند که فایل های زیپ پروژه های اتوکدی (.cad) که دریافت می کردند، شامل ماژول های مخفی اتولیسپ (.fas)، با سرعت بالای بارگذاری بوده اند.

ماژول های «.fas» معادل اجزای اسکریپت نویسی برای نرم افزار طراحی اتوکد هستند؛ همان کاربردی که ماکروها (macros) در فایل های ورد دارند. با این تفاوت که ماژول های «FAS» از زبان برنامه نویسی «Lisp» استفاده می کنند. این زبان، جایگزین «VisualBasic» و «PowerShell» که اجزای ایده آل اسکریپت نویسی برای ماکرو ها هستند.

بر اساس تنظیمات نصب اتوکد قربانی، این نرم افزار به طور خودکار، ماژول های اسکریپت نویسی «.fas» را زمانی که کاربر پروژه ی اصلی یا هر پروژه ی «.cad» دیگر را باز کند، اجرا می کند.

نسخه های منتشر شده پس از سال 2014 نرم افزار اتوکد، هنگام اجرای یک ماژول «.fas» اخطار می دهند؛ اما درست مانند هشدار های ماکرو در‌ برنامه ی آفیس، برخی تمایل دارند از همه ی هشدارهای امنیتی عبور کرده و بدون در نظر گرفتن عواقب، به سرعت فایل اصلی را باز کرده و محتوای آن را به نمایش در بیاورند.

کمپین در حال پیشرفت، هنوز تحت تحلیل و بررسی است

فورس پوینت در ادامه توضیح داد:

در طی چند ماه گذشته، ما تعداد زیادی (بیش از 200 مجموعه داده و 40 ماژول مخرب جداگانه) از نسخه های «acad.fas» را از چیزی که شبیه یک کمپین توسعه یافته بر پایه ی یک مولفه ی دانلود کننده ی کوچک است، ردیابی و تجزیه و تحلیل کرده ایم.

در حال حاضر مشخص نیست که بقیه ی عملیات چگونه صورت می گیرد. محققان شرح دادند که ماژول های مخرب «acad.fas» که مشاهده کرده اند، ممکن است تلاش کنند تا برای دانلود بدافزار های دیگر، به یک سرور از راه دور فرماندهی و کنترل (C&C) متصل شوند؛ اما پژوهشگران قادر به تعیین دیگر بدافزار ها نبوده اند. آن ها ذکر کردند:

معلوم نیست که آیا این نتیجه ی بررسی های اضافی از سوی سرور بوده که هدف گیری قربانیان خاصی را آسان کرده است، یا تنها یک آیتم از کمپین بوده که اکنون غیر فعال است.

گفته شده است که گروه پشت این کمپین، ظاهرا یک کاربر مشتاق بدافزار های مبتنی بر اتوکد است؛ زیرا آدرس ای پی سرور فرمان و کنترل، قبلا در کمپین قدیمی بدافزار اتوکد، استفاده شده بود.

علاوه بر این، محققان اشاره کرده اند که سرور فرماندهی و کنترل، ظاهرا یک نصب با زبان چینی از «IIS 6.0» مایکروسافت را اجرا می کرد و یک آدرس ای پی مجاور، خدمات مشابهی را میزبانی می کرد که به احتمال زیاد بخشی از زیرساخت حمله ی بزرگتر است.

کاربران می توانند از خود محافظت کنند

شرکت فورس پوینت توصیه می کند که همه ی کاربران اتوکد، به صفحه ی توصیه نامه ی آن در سایت شرکت اتودسک (Autodesk) مراجعه کنند. این صفحه شامل نکاتی برای پیکر بندی ایمن برنامه به منظور محافظت در برابر ماژول ها مخرب است.

صفحه ی یاد شده، مراحل محدود کردن توانایی اتوکد دراجرای ماژول های «FAS» و دیگر نمونه های اسکریپت نویسی را در بر دارد. همچنین حاوی توصیه های دیگری مانند نحوه ی بازسازی و پاکسازی نصب یک اتوکد پس از حملات با کد مخرب است.

از این گذشته، فورس پوینت هشدار می دهد که هکرها ممکن است برخی از بدافزار های خود را از طریق بسته های پستی با درایوهای سی دی، دی وی دی یا یو اس بی‌ (USB) که شامل فایل های اتوکد مخرب است، مجددا ارسال کنند.

در حالیکه ممکن است بعضی ها این مسئله را عجیب و غیر واقعی تلقی کنند؛ اما برای تعداد زیادی از شرکت های طراحی و مهندسی، این روش بسیار معمولی به حساب می آید. عمدتا به این دلیل که حجم برخی از فایل های اتوکد که برای ذخیره ی گرافیک رایانه ای بخش ها یا سازه های ساختمانی استفاده می شود، به راحتی به بیش از یک گیگا بایت می رسد، و بسیاری از سازمان ها از افشای طرح های اختصاصی به صورت آنلاین، هراس دارند. در عوض آن ها برای تبادل برخی از فایل های خود، به خدمات پیک اعتماد می کنند.

این اولین باری نیست که مجرمان از بدافزار های مبتنی بر اتوکد برای آلوده کردن شرکت ها استفاده می کنند. کمپین های قبلی در سال 2009 و سال 2012، به ترتیب مستند شده اند.