انتشار شده در تاریخ 1404/02/24 - 11:34

اختلال در زنجیره تأمین پهپادهای تایوان توسط هکرهای چینی

بر اساس گزارشی جدید، یک گروه جاسوسی سایبری که گمان می‌رود با هکرهای تحت حمایت دولت چین ارتباط داشته باشد، در چندین حمله به زنجیره تأمین، شرکت‌های خدمات نرم‌افزاری و نظامی در تایوان و کره جنوبی را هدف قرار داده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، این گروه که با نام ارث امیت (Earth Ammit) شناخته می‌شود، بین سال‌های ۲۰۲۳ تا ۲۰۲۴ دو موج از حملات خود را اجرا کرده و صنایع مختلفی از جمله نظامی، ماهواره‌ای، صنایع سنگین، رسانه، فناوری، خدمات نرم‌افزاری و بهداشت و درمان را تحت تأثیر قرار داده است.

به گفته‌ی محققان شرکت امنیت سایبری ترند میکرو (Trend Micro) که این کارزارها را تحلیل کرده‌اند، هدف بلندمدت این گروه نفوذ به شبکه‌های مورد اعتماد از طریق حملات زنجیره تأمین برای دستیابی به نهادهای باارزش و گسترش دامنه تأثیرگذاری بوده است.

به گفته‌ی پژوهشگران، سازمان‌هایی که قربانی این حملات می‌شوند، در معرض خطر سرقت اطلاعات، از جمله استخراج نام‌کاربری و گذرواژه‌ها و حتی گرفتن اسکرین‌شات از سیستم‌ها، قرار دارند.

در موج اول کمپین ارث امیت که با نام ونوم (Venom) شناخته می‌شود، هکرها تلاش کردند از طریق نفوذ به فروشندگان مورد اعتماد، به مشتریان آن‌ها دسترسی یابند.

طبق گزارش ترند میکرو، تمرکز اصلی مهاجمان در این مرحله، زنجیره تأمین پهپادها بوده است.

در این حمله، آن‌ها به دلیل دسترسی آسان، هزینه پایین و امکان پنهان‌سازی فعالیت‌هایشان، از ابزارهای متن‌باز استفاده کرده‌اند.

موج دوم کمپین با نام تیدرون (Tidrone)، عمدتاً صنایع ماهواره‌ای و نظامی تایوان را هدف قرار داده است.

در این حمله‌ها، مهاجمان از درهای پشتی (backdoor) سفارشی برای جاسوسی سایبری استفاده کرده‌اند که از جمله می‌توان به ابزارهایی به نام‌های CXCLNT و CLNTEND اشاره کرد.

محققان هر دو کمپین را به یک گروه نسبت داده‌اند، زیرا هر دو از زیرساخت‌های مشترک برای فرماندهی و کنترل استفاده کرده‌اند و اغلب قربانیان مشابهی داشته‌اند؛ موضوعی که نشان‌دهنده‌ی علاقه‌ی مداوم مهاجم به نهادهای خاص در عملیات‌های گوناگون است.

روش‌های حمله و نوع اهداف انتخاب‌شده توسط این گروه، شباهت زیادی به اقدامات گروه مشکوک تحت حمایت دولت چین به نام دالبیت (Dalbit) دارد، هرچند وابستگی قطعی ارث امیت به این گروه هنوز مشخص نشده است.

در گزارشی جداگانه که همین هفته منتشر شد، محققان شرکت اکلکتیک آی کیو (EclecticIQ) اعلام کردند که چندین گروه وابسته به دولت چین، از یک آسیب‌پذیری بحرانی که به‌تازگی در پلتفرم SAP NetWeaver کشف شده بود، برای هدف قرار دادن شبکه‌های زیرساخت حیاتی سوءاستفاده کرده‌اند.

از جمله قربانیان این حملات می‌توان به شبکه‌های توزیع گاز طبیعی، شرکت‌های مدیریت آب و پسماند در بریتانیا، کارخانه‌های تولید تجهیزات پزشکی، شرکت‌های اکتشاف و تولید نفت و گاز در ایالات متحده، و وزارتخانه‌های دولتی عربستان سعودی که مسئولیت تدوین راهبرد سرمایه‌گذاری و نظارت مالی را بر عهده دارند، اشاره کرد.

پژوهشگران می‌گویند تمرکز بر پلتفرم‌های پرکاربردی مانند SAP NetWeaver یک اقدام راهبردی است، چراکه این سامانه‌ها در بستر سازمانی به‌صورت عمیق یکپارچه شده‌اند و اغلب شامل آسیب‌پذیری‌هایی هستند که هنوز وصله (patch) نشده‌اند.