ادعای حضور 4 ساله هکرهای چینی در شبکه‌های مخابراتی آسیا

به گزارش کارگروه بین‌الملل سایبربان؛ سیگنیا (Sygnia)، شرکت پاسخگویی به حوادث، ادعا کرد که یک شرکت مخابراتی آسیایی توسط هکرهای چینی، که 4 سال در سیستم‌های آن سپری کرده‌اند، هک شده است.

این شرکت گفت که هکرهای موسوم به مورچه بافنده (Weaver Ant) روترهای خانگی ساخته شده توسط زیکسل (Zyxel) را به خطر انداختند تا بتوانند به محیط شرکت مخابراتی مهم وارد شوند.

سیگنیا این کمپین را به دلیل نوع شرکت هدف، اهداف خوب تعریف شده، ساعات کاری هکرها و استفاده از پوسته وب «China Chopper»، ابزاری که بسیاری از گروه‌های چینی از آن برای دسترسی از راه دور به سرورهای در معرض خطر و استخراج داده‌ها استفاده می‌کنند، به عوامل چینی نسبت داد. محققان شرکت نقض شده یا محل استقرار آن را شناسایی نکردند.

علاوه بر China Chopper، هکرها از مجموعه‌ای از ابزارها و درهای پشتی دیگر، از جمله پوسته‌های وب دیگر استفاده کردند که به آنها اجازه می‌دهد در شبکه شرکت پنهان بمانند و به صورت جانبی حرکت کنند تا به سیستم‌های مختلف دسترسی یابند.

اورِن بیدرمن (Oren Biderman)، رهبر واکنش حوادث در سیگنیا، گفت:

«عوامل تهدید دولتی مانند Weaver Ant با هدف اصلی نفوذ به زیرساخت‌های حیاتی و جمع‌آوری اطلاعات تا جایی که می‌توانند قبل از کشف، فوق‌العاده خطرناک و پایدار هستند. Weaver Ant علیرغم تلاش‌های مکرر برای حذف شدنشان از سیستم‌های در معرض خطر، بیش از 4 سال فعالیت خود را در شبکه‌های در معرض خطر حفظ کرد. این عامل تهدید [تاکتیک‌های] خود را با محیط شبکه در حال تکامل تطبیق داد و امکان دسترسی مداوم به سیستم‌های در معرض خطر و جمع‌آوری اطلاعات حساس را فراهم کرد.»

هکرها همچنین از ابزارهایی به نام «شبکه‌های ORB» یا شبکه‌های جعبه رله عملیاتی استفاده کردند. کارشناسان مدت‌ها است در مورد گروه‌های تهدید چینی که از شبکه‌های ORB استفاده می‌کنند، هشدار داده‌اند که شبیه بات‌نت‌ها هستند و از سرورهای خصوصی مجازی (VPS)، اینترنت اشیا و دستگاه‌های هوشمند به خطر افتاده و همچنین روترهایی که اغلب پایان عمرشان هستند یا توسط سازنده‌هایشان پشتیبانی نمی‌شوند، تشکیل شده‌اند.

سیگنیا اظهار داشت که این گروه هکری از یک شبکه ORB که عمدتاً از روترهای آسیب‌دیده Zyxel تشکیل شده استفاده می‌کند که توسط ارائه‌دهندگان مخابرات آسیای جنوب شرقی اداره می‌شود تا زیرساخت‌هایی را که در حملات استفاده می‌کنند، پنهان کند.

آنها نوشتند:

«با استفاده از شبکه ORB، عامل تهدید یک دستگاه در معرض خطر را از یک مخابرات برای محور قرار دادن و هدف قرار دادن یک دستگاه در مخابرات دیگر استفاده کرد.»

به گفته سیگنیا، هدف این کمپین دسترسی طولانی‌مدت به شرکت است که تلاش‌های جاسوسی گسترده‌تر و توانایی جمع‌آوری اطلاعات حساس را ممکن می‌کند.

کشف اولیه

پاسخ دهندگان حادثه سیگنیا در ابتدا زمانی که در مراحل نهایی تحقیقات پزشکی قانونی جداگانه بودند، این کمپین را کشف کردند.

آنها چندین هشدار دریافت کردند که بر اثر فعالیت مشکوک ایجاد شده بود و متوجه شدند که حسابی که به عنوان بخشی از تلاش‌های اصلاحی غیرفعال شده بود، بازیابی شده است. محققان نوعی از پوسته وب China Chopper را پیدا کردند که روی سروری مستقر شده بود که چند سال در معرض خطر قرار گرفته بود.

سیگنیا مدعی شد که اصلاح یک حادثه جداگانه احتمالاً باعث اختلال در عملیات Weaver Ant شده است. آنها به سرعت تعداد زیادی پوسته وب را پیدا کردند که به هکرها امکان دسترسی دائمی و حرکت جانبی در سراسر شبکه شرکت را می‌داد. تحقیقات بیشتر ده‌ها سرور را کشف کرد که با پوسته‌های وب از جمله سرورهایی که قبلاً شناسایی نشده بودند، در معرض خطر قرار گرفتند.

بیدرمن اظهار داشت:

«لایه‌های متعدد پوسته‌های وب، محموله‌های مخرب را پنهان می‌کردند و به عامل تهدید اجازه می‌داد تا به صورت جانبی در شبکه حرکت کند و تا بار نهایی فرار کند. این محموله‌ها و توانایی آن‌ها در استفاده از پوسته‌های وب که قبلاً دیده نشده‌اند برای فرار از تشخیص، نشان‌دهنده پیچیدگی و مخفی بودن Weaver Ant است.»

سال گذشته، سیگنیا عملیات دیگری را کشف کرد که خط محبوبی از دستگاه‌های سیسکو را هدف قرار داده بود که توسط هکرهای گروه تهدید «Velvet Ant» انجام شد.