انتشار شده در تاریخ 1404/01/07 - 09:13

حمله هکرهای چینی گنجشک معروف به آمریکای شمالی

یک گروه هکری وابسته به دولت چین که تصور می‌شد از سال ۲۰۲۲ غیرفعال شده است، ظاهراً سازمان‌هایی را در ایالات متحده، مکزیک و هندوراس هدف قرار داده است.

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، محققان شرکت امنیت سایبری ایست (ESET) روز چهارشنبه اعلام کردند که در حال بررسی فعالیت‌های مشکوک در شبکه یک گروه تجاری آمریکایی بودند که به ابزارهای هک مرتبط با گروهی به نام گنجشک معروف (FamousSparrow) برخورد کردند.

بررسی‌های بیشتر نشان داد که این گروه، ابزار نفوذ معروف خود به نام اسپارو دور (SparrowDoor) را ارتقا داده است.

ایست دو نسخه جدید از این ابزار را که پیش از این مستند نشده بودند، در شبکه قربانیان کشف کرد.

الکساندر کوت سیار، محقق ایست، بیان کرد:

در حالی که این نسخه‌های جدید بهبودهای قابل توجهی دارند، همچنان می‌توان آن‌ها را به نسخه‌های قبلی و مستند این ابزار مرتبط کرد.

او همچنین اشاره کرد که در کدهای این نسخه‌ها همپوشانی‌های زیادی با نمونه‌هایی دیده می‌شود که قبلاً به گروه گنجشک معروف نسبت داده شده بودند.

طبق گزارش ایست، گنجشک معروف گروهی در حوزه جاسوسی سایبری است که حداقل از سال ۲۰۱۹ فعال بوده و تاکنون در ده‌ها حمله از اسپارو دور استفاده کرده است، اما از سال ۲۰۲۲ تاکنون هیچ فعالیت عمومی و مستندی از این گروه گزارش نشده بود.

این گروه بیشتر به دلیل حمله به هتل‌ها شناخته شده و در گذشته در حملاتی به هتل‌هایی در فرانسه، لیتوانی، بریتانیا، رژیم صهیونیستی، عربستان سعودی، برزیل، کانادا، گواتمالا، تایوان و بورکینافاسو نقش داشته است.

بررسی‌های اخیر ایست نشان داده که گنجشک معروف بین سال‌های ۲۰۲۲ تا ۲۰۲۴ نیز فعال بوده و از جمله یک سازمان دولتی در هندوراس و یک مؤسسه تحقیقاتی در مکزیک را هدف قرار داده است.

در گزارش مربوط به این حملات آمده که مشخص نیست هکرها از چه آسیب‌پذیری برای نفوذ به شبکه قربانیان استفاده کرده‌اند، اما برخی از سیستم‌ها نسخه‌های قدیمی ویندوز سرور (Windows Server) و مایکروسافت اکسچنج (Microsoft Exchange) را اجرا می‌کردند که دارای آسیب‌پذیری‌های شناخته‌شده‌ای بودند.

این گروه از ابزارهای سفارشی و بدافزارهای مختلفی استفاده کرده که برخی از آن‌ها پیش‌تر در حملات گروه‌های تحت حمایت دولت چین دیده شده بود.

از جمله این ابزارها، بدافزار شناخته‌شده شادوپد (ShadowPad) بود که به هکرها امکان انتقال فایل، نظارت بر تغییرات سیستم، گرفتن اسکرین‌شات، اجرای دستورات و ثبت کلیدهای فشرده‌شده را می‌داد.

محققان ایست اشاره کردند که در سال گذشته چندین شرکت امنیت سایبری، گنجشک معروف را با سایر گروه‌های هکری چینی مانند گوست امپرور (GhostEmperor) مرتبط دانسته‌اند.

کوت سیار در این باره اظهار کرد:

بر اساس داده‌ها و تحلیل گزارش‌های عمومی، به نظر می‌رسد که گنجشک معروف یک گروه مستقل است که ارتباط محدودی با سایر گروه‌ها دارد.

گنجشک معروف یکی از اولین گروه‌های تهدیدات پایدار پیشرفته (APT) بود که از آسیب‌پذیری پروکسی لوگون (ProxyLogon) در سرورهای ایمیل مایکروسافت اکسچنج برای حمله استفاده کرد.

ایست اعلام کرد که این گروه، تنها یک روز پس از افشای این آسیب‌پذیری توسط مایکروسافت، از آن بهره‌برداری کرده و اولین حملات در ۳ مارس ۲۰۲۱ ثبت شده است.

ایست همچنین تأکید کرد که این گروه علاوه بر هتل‌ها، دولت‌ها، سازمان‌های بین‌المللی، شرکت‌های مهندسی و مؤسسات حقوقی را نیز هدف قرار داده است.