متهم شدن گروه چینی «برنز باتلر» به دزدی IP از ژاپن

به گزارش کارگروه بین‌الملل سایبربان؛ یک گروه جاسوسی سایبری موسوم به «برنز باتلر» یا «تیک» ممکن است از داخل چین در حال دزدی اطلاعات و اموال فکری سازمان‌ها و نهادها در ژاپن باشد. محققان گروه سکیورورکز  (SecureWorks)، از سال 2012 در حال بررسی فعالیت‌های این گروه هستند. آن‌ها دریافته‌اند که عملیات‌ برنز باتلر شامل تلاش‌های طولانی مدت برای دزدی اطلاعات از نهادهای ژاپنی، بخصوص زیرساخت‌های حیاتی، صنایع سنگین، کارخانه‌ها و شبکه‌های بین‌المللی است. این گروه تلاش کرده است تا ترکیبی از فیشینگ، تکنیک‌های استراتژیک وب و به کارگیری آسیب‌های صفر روزه را برای دستیابی به اهداف خود به کار بگیرد. شبکه سرور فرماندهی و اجرای این گروه کدگذاری شده است لذا مدافعان شبکه‌ها تا کنون از متوقف نمودن آن‌ها ناامید مانده‌اند.

آن‌ها همچنین از آسیب‌پذیری CVE-2016-7836 برای سوءاستفاده از سامانه SKYSEA، استفاده می‌کنند. این سامانه، یکی از محصولات محبوب مدیریت دارایی‌ها در ژاپن است. برنز باتلر، حداقل از ماه ژوئن 2016، در حال استفاده از این آسیب‌پذیری است.

هنگامی‌که این گروه موفق به نفوذ می‌شود، ردپای خود را پاک می‌کند، اما دسترسی خود را برای استفاده‌های آتی همچنان باز نگه می‌دارد.

محققان سکیورورکز می‌گویند این گروه موفق شده است در گروه‌های مختلفی از انواع داده نفوذ کند که از آن جمله می‌توان به اموال فکری در رابطه با فناوری، مشخصات محصولات، اطلاعات تجاری و فروش، شبکه‌ها و فایل‌های طبقه‌بندی سامانه‌ها، ایمیل‌ها و متن مذاکرات اشاره کرد. آن‌ها همچنین معتقدند که این گروه در جمهوری خلق چین واقع شده است و شواهدی نیز بر این ادعا دارند. از دلایل آن‌ها برای طرح این اتهام می‌توان به استفاده از ابزارهای اسکن T-SMB ارائه‌شده در یک سایت چینی، استفاده از کاراکترهای چینی در نصب یک درب پشتی xxmm، افت فعالیت این گروه در طول روزهای تعطیل ملی چین، و همچنین شباهت ابزارهای مورداستفاده این گروه و گروه چینی NCPH اشاره کرد. آن‌ها میگویند، همیشه گروه‌های جاسوسی سایبری چینی در پی اطلاعات مالکیت فکری و اطلاعات اقتصادی رقبای اقتصادی خود بوده‌اند تا بتوانند برتری کسب کنند. تقاضا برای این سبک از جاسوسی اطلاعات می‌تواند نشأت گرفته از اهداف دور از دسترس اقتصادی حکومت چین باشد.