اسفند ۰۹
دبیر خبر | ۱۷ مهر ۱۳۹۸

حمله سایبری به دستگاه های اندرویدی مصر/ تکمیلی

هکرهای مصری به حمله سایبری روی دستگاه‌های اندرویدی متهم شدند.

به گزارش کارگروه حملات سایبری سایبربان؛ طبق گزارش منتشر شده توسط شرکت امنیت سایبری چک پوینت (Check Point) در ماه اکتبر 2019، دولت قاهره یک حمله سایبری را به روزنامه‌نگاران و فعالان حقوق مدنی مصری انجام داد. مهاجمان با نصب برنامه‌هایی روی تلفن‌های هوشمند قربانیان، به ایمیل‌ها، مخاطبان، سوابق تلفن و اطلاعات موقعیت مکانی آنها دسترسی یافتند. تمام نشانه‌ها به سرویس اطلاعات عمومی (GIS ) مصر – آژانس جاسوسی آن اشاره دارند.

به نظر می‌رسد که در این حمله پیچیده مصر مقصر نیست و مهاجمان در عملیات به اصطلاح «پرچم دروغین» از مصر به عنوان طعمه استفاده کرده‌اند. تخصیص یک حمله به یک گروه، در حوزه سایبری به مراتب سخت‌تر از فیزیکی است. هیچ سخت‌افزاری برای ردیابی وجود ندارد؛ تنها مسائلی که به شناسایی قربانی کمک می‌کنند عواملی مانند دلیل حمله، سلاح‌های سایبری، برنامه‌ها یا کدهای مورد استفاده هستند. از طرفی دستکاری خطوط کد بسیار ساده‌تر از قطعات موشکی است.

ماهیت این حمله براساس درگیری دولت قاهره با فعالان حقوق مدنی و به دنبال گزارش مارس 2019 سازمان عفو بین‌الملل ،مبنی بر حملات فیشینگ با استفاده از برنامه‌های شخص ثالث علیه سازمان‌های جامعه مدنی مصر بود. گوگل درمورد سرقت اعتبارنامه‌های قربانیان به آنها هشدار داده بود. برنامه‌های شخص ثالث به جای استفاده از ایمیل‌های مستقیم برای اجرای کمپین فیشینگ، دسترسی به پلتفرم‌های پستی را جایگزین کردند.

گزارش عفو عمومی باعث تشویق شرکت اسرائیلی به تحقیق شد؛ به گزارش شرکت  مذکور، هیچ شکی نیست که سرویس اطلاعات عمومی ناامن مصر مسئول حمله بوده است. سرور اصلی حمله برای جمع‌آوری اطلاعات در وزارت ارتباطات و فناوری اطلاعات مصر، یکی از پلتفرم‌های نرم‌افزاری مورد استفاده در حمله با موقعیت جغرافیایی ردیابی شده در یک مجتمع نظامی و دولتی در قاهره – یک گروه تلگرام کاملاً مصری – ثبت شده بود.

کارشناسان معتقدند که شاید این موضوع هنوز تمام نشده باشد؛ هرگونه حمله سایبری به‌ویژه عملیات دولتی در اطراف سرور نصب شده در یک سازمان منوط به اجرای کمپین ایمیل فیشینگ از آدرس ایمیل قانونی است.

لوتِم فینکنشتاین (Lotem Finkelstein)، یکی از محققان شرکت امنیت سایبری اسرائیلی گفت:

ما شواهد زیادی در این عملیات از جمله ساختار، سرورها و برنامه‌های اجرا کننده حمله را بررسی کردیم که ما را به سمت دولت مصر – سرور نصب شده در وزارتخانه هماهنگ با قاهره – سوق داد. نکته اصلی نصب سرویس برای شخصی دیگر یا پنهان کردن هویت او است.

وی اظهار داشت :

داده‌های مکان موجود در اکوسیستم حمله شاید نادیده گرفته و در زمان انتقال گروه بدافزاری به تیم عملیاتی گم شده باشد؛ اما سرور نمی‌تواند ناپدید شود. این اولین کاری است که شما انجام می‎دهید؛ حتی افراد تازه‌کار نیز در حوزه جرایم سایبری این موضوع را می‌دانند.

به گفته فینکنشتاین، از سال 2016، مهاجمان سلاح‌های خود را برای حمله به اهداف و انواع بهره‌برداری‌های مخرب مانند برنامه‌های تلفن همراه و افزودن برنامه‌های پستی مانند : «Gmail» یا «Outlook » شناسایی کردند. با توجه به ماهیت و مقیاس اطلاعات جمع‌آوری شده، عملیات سایبری باید یک واحد اطلاعاتی تحت پشتیبانی دولت با توانمندی جمع‌آوری داده در فرمت‌های مختلف از جمله ایمیل‌ها، مکان‌ها و سوابق مکالمه و تبدیل به هوش عملیاتی مورد استفاده باشد.

محقق یاد شده شرکت چک‌پوینت، به ردپای کره شمالی در حمله مخرب المپیک، یک بدافزار تخریب گر اطلاعات حافظه با اشاره کرد که بازی‌های المپیک زمستانی کره جنوبی را هدف گرفته بود. وی گفت :

با تجزیه و تحلیل عملیات به این نتیجه رسیدیم که پرچم‌های کره شمالی غلط بوده‌اند و در واقع این عملیات روسی بوده است. درنتیجه گاهی شما شواهد آشکار و ردپاهای بزرگ و گمراه‌کننده از یک مهاجم را می‌بینید اما درواقع عامل فرد دیگری است – درست مانند همین حمله مصری. شاید فردی ناظر از سازمان عفو عمومی یا سایر گروه‌های فعال در کشور خودش باشد که سعی می‌کند توجه همگان به سمت مصر جلب شود.

این حمله تمرکز خاصی روی اطلاعات خارج از مصر داشت؛ ساختار پایگاه داده سوابق، به سمت تماس‌های خارجی، زمان‌ها، تاریخ‌ها و مدت‌ها معطوف بود. چک‌پوینت به داده‌ها دسترسی ندارد و بنابراین کشورها ناشناخته مانده‌اند؛ اما پوسته بانک اطلاعاتی آنها را می‌بیند.

فینکنشتاین توضیح داد که این حمله علائم مشخصی از بازیگران شناخته شده تهدید یا شاخص جدید را به همراه ندارد؛ اما آنقدر پیچیده است که برنامه‌هایش را در «Google Play» وارد کرده است. حملات معرف افزونه‌هایی در مایکروسافت و گوگل بودند که تا زمان اطلاع‌رسانی به آنها بدون توجه باقی مانده بودند. هیچ‌کس نمی‌دانست پلاگین‌های مخرب بارها و بارها معرفی می‌شوند و این عنصر پیچیدگی با موارد ناشی‌گری استثنایی همراه شد.

وی افزود :

ما می‌دانیم که ایرانی‌ها طرفداران بزرگ برنامه‌های تلفن همراه، به‌ویژه اندروید هستند اگرچه در Google Play چیزهای زیادی ندیده‌ایم. آنها از فروشگاه‌های غیررسمی استفاده می‌کنند. این مسئله با گروه‌های تهدید چینی متمرکز روی رایانه، روترها و زنجیره‌های تأمین تناقض دارد.

شرکت اسرائیلی فوق نمی‌داند عامل این حملات کدام کشور است، اما ادعا می‌کند که احتمالاً از سوی ایران یا مصر باشد. قبلاً حملات سایبری مشابه اینچنینی در مصر رخ نداده بود. تنها موضوعات قابل مشاهده، فعال شدن بخش‌های خصوصی، حملات کلی به اسرائیل و گزارش‌های کمپین‌های رسانه اجتماعی دولتی هستند.
فینکنشتاین خاطرنشان کرد:

ما عملیات‌‎های سایبری مصری زیاد ندیده‌ایم. شاید این اولین باشد. شواهد نشان می‌دهند که مصر مقصر است، اما این شواهد خیلی واضح هستند.

نظرات

8 + 12 =