مطالب پربازدید

1403/12/06 - 20:15- تروریسم سایبری

ادعای مؤسسه صهیونیستی آلما درباره واحد ۳۰۰ سازمان جنگ الکترونیک؛ پروپاگاندایی برای توجیه تجاوزات سایبری رژیم

مؤسسه تحقیقاتی اسرائیلی آلما در مقاله‌ای ادعا کرد که برخی یگان‌های ایران از جمله واحد 300 درگیر کمک‌های نظامی برای احیای حزب‌الله هستند.

1403/12/23 - 15:23- ایران

مقاله اندیشکده هندی درباره گروه هکری سایبر اونجرز

سایت هندی متخصص در زمینه سایبر به نام «TheSecMaster» مقاله‌ای جدید درمورد گروه هکری انتقام‌جویان سایبری منتشر کرد.

1403/11/17 - 09:27- تروریسم سایبری

یک اندیشکده آمریکایی حملات سایبری منتسب به ایران را اغراق‌آمیز توصیف کرد

اندیشکده FDD ادعا کرد که ایران اغلب یک بازیگر سایبری درجه دوم است که هکرهای آن به طور مرتب از عملیات‌های نفوذ فقط برای تحریک و ایجاد وحشت استفاده می‌کنند.

انتشار شده در تاریخ 1398/02/03 - 11:07

متهم کردن ایران، به جاسوسی سایبری، علیه جهان

کارشناسان پالو آلتو نتورک ادعا می‌کنند که هکرهای ایرانی، به منظور اجرای جاسوسی سایبری، از DNS Tunneling بهره می‌گیرند.

به گزارش کارگروه حملات سایبری سایبربان؛ محققان امنیتی پالو آلتو نتورک (Palo Alto Network) به تازگی ادعا کرده‌اند که یک گروه هکری به نام اویل ریگ (OilRig) به منظور انجام دادن جاسوسی‌های سایبری، به صورت گسترده، از دی‌ ان ‌اس تانلینگ (DNS Tunneling) بهره می‌گیرد.

پالو آلتو ادعا می‌کند که اویل ریگ، از سال 2014، فعالیت خود را آغاز کرده و وابسته به دولت ایران است. از اهداف اصلی این گروه می‌توان به حوزه‌های مالی، دولتی، انرژی، ارتباطات و شیمی آمریکا و کشورهای آسیای غربی اشاره کرد.

بر اساس گزارش منتشرشده ازسوی شرکت مذکور، بسیاری از بدافزارهای مورد استفاده توسط اویل ریگ، در سال‌های گذشته از «DNS Tunneling» بهره می‌بردند. هدف از این کار، حفظ ارتباط با زیرساخت‌های فرماندهی و کنترل (C&C) بوده است.

کارشناسان ذکر کردند که اولین بار در سال 2016، به بهره گیری اویل ریگ از شیوه‌ی حمله نام برده، اشاره شده است. از این روش، در توسعه تروجان‌های «Helminth»، «ISMAgent»، «QUADAGENT»، «BONDUPDATER» و «BONDUPDATER» -که ادعا می‌شود متعلق به اویل ریگ هستند- بهره گرفته شده است.

با تحلیل پروتکل‌های تانلینگ مورد استفاده ازسوی اویل ریگ، موارد زیر به دست می‌آیند:

•   همه‌ی زیردامنه‌ها، حاوی یک ارزش تولیدشده تصادفی هستند. این کار، به منظور جلوگیری از پرس‌و‌جوی DNS در نتیجه‌ی یک واکشی کش (cached response) است.
•   به منظور جمع‌آوری شناسه، سامانه منحصربه‌فرد، از تبادل سیگنال اولیه بهره می‌گیرد.
•   به منظور شروع، یا توقف ارسال داده در داخل «DNS»، از آدرس‌های آی پی هاردکد شده، بهره گرفته می‌شود.
•   داده‌ی بارگذاری شده، شامل دنباله‌ای از اعداد است که به سرورهای فرماندهی و کنترل اجازه می‌دهند، اطلاعات را به صورت صحیح بازسازی کنند.
•   با توجه به نام ابزار، اویل ریگ، از انواع جست‌وجوی «A»، «AAA» و «TXT» برای تانلینگ بهره می‌گیرد.
•   همه‌ی پروتکل‌های DNS Tunneling، کوئری‌های DNS منحصر به فردی به وجود می‌آورند.

در بخشی از گزارش پالو آلتو آمده است:

صرف‌نظر از ابزار به کار رفته، همه‌ی پروتکل‌های DNS Tunneling، به منظور دریافت داده‌ها و انتقال آن‌ها به سرورهای فرماندهی و کنترل، از کوئری‌های DNS استفاده می‌کنند. بنابراین پروتکل‌های بالا، باید با پروتکل‌های DNS همخوانی داشته باشند. از همین رو، زیردامنه‌های طراحی شده، باید با حروف، یا ارقام شروع و پایان یافته، کمتر از 64 کاراکتر باشند. همچنین کل کوئری دامنه، شامل دامنه فرماندهی و کنترل و زیردامنه طراحی شده، نباید بیشتر از 253 کاراکتر داشته باشد.

برای نمونه، متخصصان شرح دادند؛ در طول چند سال گذشته، انواع مختلفی از درب پشتی «Helminth» را شناسایی کردند که همه‌ی آن‌ها، از یک «DNA Type A» مشابه بهره می‌بردند؛ اما هکرها می‌توانستند با تغییر زیر دامنه‌های تولیدشده، از شناسایی شدن جلوگیری کنند.

کارشناسان اظهار کردند که به نظر می‌رسد هکرهای یادشده، مزایای کاربرد DNS Tunneling را درک کرده‌اند؛ زیرا به کمک آن، می‌توان تقریباً به همه‌ی ابزارهای سراسر جهان نفوذ کرد.