گزارش مربوط به کمپین جاسوسی سایبری

به گزارش کارگروه بین‌الملل سایبربان؛ به گفته شرکت امنیتی «CyberX»، یک کمپین جدید جاسوسی سایبری صدها شرکت تولیدی و صنعتی در کره جنوبی و سپس مناطقی در اروپا و آسیا را هدف قرار داد.

شرکت سایبر-اکس گزارش داد:

هدف  اصلی این کمپین، سرقت اسرار تجاری، مالکیت معنوی و اطلاعات است. اکثر اهداف، شرکت‌های صنعتی بزرگ از جمله تولید کننده فولاد، یک کارخانه ساخت مواد شیمیایی، تولیدکنندگان لوله و شیر و یک شرکت مهندسی هستند.

بخش 52 – تیم اطلاعات تهدید سایبر-اکس – به این نتیجه رسید که بیش از 200 شرکت هدف گروه تهدید پیشرفته ناشناخته هدف قرار گرفته‌اند. در حالیکه اکثر شرکت‌های مورد هدف در کره جنوبی هستند، اما این کمپین شرکت‌هایی در ژاپن، اندونزی، ترکیه، آلمان، اکوادور و ایالات متحده را نیز تحت تأثیر قرار داده است. محققان شرکت معتقدند که یکی از قربانیان یک شرکت جوش سنگ چندین میلیارد دلاری است که تجهیزات مهم زیرساختی تولید می‌کند.

این حملات جاسوسی سایبری با یک ایمیل فیشینگ حاوی پیوست‌ها و گزارش‌هایی شامل نامه‌های سفید، طرح‌های شماتیک، اطلاعات شرکتی و سایر جزئیات مربوط به عملیات‌های تجاری شروع می‌شود. در یک مورد پیام اسپیر فیشینگ ارسال شده به یک کارمند به نظر قانونی و از طرف یکی از شرکت‌‎های تابعه زیمنس بود.

اریچ کران (Erich Kron)، مدافع آگاهی امنیتی، «KnowBe4»، پلتفرم فیشینگ شبیه‌سازی شده و آموزش آگاهی امنیتی گفت:

این ایمیل‌های فیشینگ نسبتاً هدفمند هستند و از مباحث خاص صنعتی برای فریب قربانیان در باز کردن اسناد آلوده استفاده می‌کنند. به علاوه، مهاجمان احتمالاً از اطلاعات در دسترس عموم موسوم به اطلاعات منبع باز (OSINT) برای مؤثرتر جلوه دادن ایمیل‌ها استفاده می‌کنند.

کارشناسان شرکت سایبر-اکس براین باورند که اکثر پیوست‌های پی‌دی‌اف در ایمیل‌های فیشینگ، فایل‌های زیپ حاوی موارد اجرایی مخرب هستند که در صورت باز شدن و نصب بدافزار اطلاعات اعتباری و رمزهای عبور دزدیده می‌شوند و مهاجمان می‌توانند در شبکه به‌صورت ناشناس باقی بمانند. هدف اصلی، سرقت مالکیت معنوی و به خطر انداختن شبکه و سیستم‌های کنترل صنعتی است.

این شرکت امنیتی در وبلاگی نوشت:

کمپین اسناد و رمزهای عبور مورد استفاده به شیوه‌های مختلف از جمله سرقت اسرار تجاری و مالکیت معنوی، شناسایی سایبری برای حملات آینده و به خطر انداختن شبکه‌های کنترل صنعتی برای حملات باج‌افزاری را به سرقت می‌برد.

بدافزار «Separ»

محققان با بررسی پیوست‌های مخرب فهمیدند که آنها حاوی نسخه به‌روزشده بدافزار «Separ»، سارق اطلاعات کشف شده در سال 2013 از سوی «SonicWall» است. این بدافزار برای هدف قرار دادن تأسیسات و سیستم‌های صنعتی دوباره طراحی شده است. مهاجمان برای گسترش قابلیت‌های این بدافزار از ابزارهای آنلاین رایگان در دسترس استفاده کردند.

سپار توانایی سرقت اعتبار وبلاگ و ایمیل و همچنین جستجوی اسنادی در طیف وسیع از جمله اسناد و تصاویر آفیس را دارد. بدافزار فوق سپس از اتصال «FTP» برای ارسال داده‌های سرقت شده به دامنه تحت کنترل مهاجمان استفاده می‌کند.

براساس این وبلاگ، سپار می‎‌تواند کارهای دیگری از جمله موارد زیر را انجام دهد:

اجرای پیکربندی شبکه «ipconfig»  برای نقشه برداری همه آداپتورهای شبکه در سیستم به خطر افتاده؛
غیر فعال کردن فایروال ویندوز؛
حذف گذرواژه‌های ایمیل و مرورگر؛
جمع‌آوری فایل‌ها با پسوندهای خاص از پوشه‌های کاربر، بیشتر اسناد؛
بارگذاری تمام نتایج روی سرور FTP؛
جاسوسی صنعتی در «Spotlight»

طی چند ماه گذشته، سایر محققان کمپین‌های جاسوسی سایبری را با اهدافی در آسیا شناسایی کردند. اوایل همین ماه، هکرها به نظر در ویتنام مستقر بودند و بنا به گزارش‌ها شبکه بی‌ام‌دبلیو و هیوندا – به ترتیب سازندگان خودرو در آلمان و کره جنوبی – را به خطر انداختند. یک کمپین بدافزاری جدید نیز اوایل ماه جاری شناسایی شد که به نظر با ایران ارتباط داشت و شرکت‌هایی در بخش‌های انرژی و صنعت در خاورمیانه برای جاسوسی احتمالی صنعتی یا ایجاد اختلال در زیرساخت‌های مهم را هدف قرار داده بود.