گزارش مربوط به کمپین جاسوسی سایبری
به گزارش کارگروه بینالملل سایبربان؛ به گفته شرکت امنیتی «CyberX»، یک کمپین جدید جاسوسی سایبری صدها شرکت تولیدی و صنعتی در کره جنوبی و سپس مناطقی در اروپا و آسیا را هدف قرار داد.
شرکت سایبر-اکس گزارش داد:
هدف اصلی این کمپین، سرقت اسرار تجاری، مالکیت معنوی و اطلاعات است. اکثر اهداف، شرکتهای صنعتی بزرگ از جمله تولید کننده فولاد، یک کارخانه ساخت مواد شیمیایی، تولیدکنندگان لوله و شیر و یک شرکت مهندسی هستند.
بخش 52 – تیم اطلاعات تهدید سایبر-اکس – به این نتیجه رسید که بیش از 200 شرکت هدف گروه تهدید پیشرفته ناشناخته هدف قرار گرفتهاند. در حالیکه اکثر شرکتهای مورد هدف در کره جنوبی هستند، اما این کمپین شرکتهایی در ژاپن، اندونزی، ترکیه، آلمان، اکوادور و ایالات متحده را نیز تحت تأثیر قرار داده است. محققان شرکت معتقدند که یکی از قربانیان یک شرکت جوش سنگ چندین میلیارد دلاری است که تجهیزات مهم زیرساختی تولید میکند.
این حملات جاسوسی سایبری با یک ایمیل فیشینگ حاوی پیوستها و گزارشهایی شامل نامههای سفید، طرحهای شماتیک، اطلاعات شرکتی و سایر جزئیات مربوط به عملیاتهای تجاری شروع میشود. در یک مورد پیام اسپیر فیشینگ ارسال شده به یک کارمند به نظر قانونی و از طرف یکی از شرکتهای تابعه زیمنس بود.
اریچ کران (Erich Kron)، مدافع آگاهی امنیتی، «KnowBe4»، پلتفرم فیشینگ شبیهسازی شده و آموزش آگاهی امنیتی گفت:
این ایمیلهای فیشینگ نسبتاً هدفمند هستند و از مباحث خاص صنعتی برای فریب قربانیان در باز کردن اسناد آلوده استفاده میکنند. به علاوه، مهاجمان احتمالاً از اطلاعات در دسترس عموم موسوم به اطلاعات منبع باز (OSINT) برای مؤثرتر جلوه دادن ایمیلها استفاده میکنند.
کارشناسان شرکت سایبر-اکس براین باورند که اکثر پیوستهای پیدیاف در ایمیلهای فیشینگ، فایلهای زیپ حاوی موارد اجرایی مخرب هستند که در صورت باز شدن و نصب بدافزار اطلاعات اعتباری و رمزهای عبور دزدیده میشوند و مهاجمان میتوانند در شبکه بهصورت ناشناس باقی بمانند. هدف اصلی، سرقت مالکیت معنوی و به خطر انداختن شبکه و سیستمهای کنترل صنعتی است.
این شرکت امنیتی در وبلاگی نوشت:
کمپین اسناد و رمزهای عبور مورد استفاده به شیوههای مختلف از جمله سرقت اسرار تجاری و مالکیت معنوی، شناسایی سایبری برای حملات آینده و به خطر انداختن شبکههای کنترل صنعتی برای حملات باجافزاری را به سرقت میبرد.
بدافزار «Separ»
محققان با بررسی پیوستهای مخرب فهمیدند که آنها حاوی نسخه بهروزشده بدافزار «Separ»، سارق اطلاعات کشف شده در سال 2013 از سوی «SonicWall» است. این بدافزار برای هدف قرار دادن تأسیسات و سیستمهای صنعتی دوباره طراحی شده است. مهاجمان برای گسترش قابلیتهای این بدافزار از ابزارهای آنلاین رایگان در دسترس استفاده کردند.
سپار توانایی سرقت اعتبار وبلاگ و ایمیل و همچنین جستجوی اسنادی در طیف وسیع از جمله اسناد و تصاویر آفیس را دارد. بدافزار فوق سپس از اتصال «FTP» برای ارسال دادههای سرقت شده به دامنه تحت کنترل مهاجمان استفاده میکند.
براساس این وبلاگ، سپار میتواند کارهای دیگری از جمله موارد زیر را انجام دهد:
اجرای پیکربندی شبکه «ipconfig» برای نقشه برداری همه آداپتورهای شبکه در سیستم به خطر افتاده؛
غیر فعال کردن فایروال ویندوز؛
حذف گذرواژههای ایمیل و مرورگر؛
جمعآوری فایلها با پسوندهای خاص از پوشههای کاربر، بیشتر اسناد؛
بارگذاری تمام نتایج روی سرور FTP؛
جاسوسی صنعتی در «Spotlight»
طی چند ماه گذشته، سایر محققان کمپینهای جاسوسی سایبری را با اهدافی در آسیا شناسایی کردند. اوایل همین ماه، هکرها به نظر در ویتنام مستقر بودند و بنا به گزارشها شبکه بیامدبلیو و هیوندا – به ترتیب سازندگان خودرو در آلمان و کره جنوبی – را به خطر انداختند. یک کمپین بدافزاری جدید نیز اوایل ماه جاری شناسایی شد که به نظر با ایران ارتباط داشت و شرکتهایی در بخشهای انرژی و صنعت در خاورمیانه برای جاسوسی احتمالی صنعتی یا ایجاد اختلال در زیرساختهای مهم را هدف قرار داده بود.