به گزارش کارگروه بینالملل سایبربان؛ سیگنیا (Sygnia)، شرکت پاسخگویی به حوادث، ادعا کرد که یک شرکت مخابراتی آسیایی توسط هکرهای چینی، که 4 سال در سیستمهای آن سپری کردهاند، هک شده است.
این شرکت گفت که هکرهای موسوم به مورچه بافنده (Weaver Ant) روترهای خانگی ساخته شده توسط زیکسل (Zyxel) را به خطر انداختند تا بتوانند به محیط شرکت مخابراتی مهم وارد شوند.
سیگنیا این کمپین را به دلیل نوع شرکت هدف، اهداف خوب تعریف شده، ساعات کاری هکرها و استفاده از پوسته وب «China Chopper»، ابزاری که بسیاری از گروههای چینی از آن برای دسترسی از راه دور به سرورهای در معرض خطر و استخراج دادهها استفاده میکنند، به عوامل چینی نسبت داد. محققان شرکت نقض شده یا محل استقرار آن را شناسایی نکردند.
علاوه بر China Chopper، هکرها از مجموعهای از ابزارها و درهای پشتی دیگر، از جمله پوستههای وب دیگر استفاده کردند که به آنها اجازه میدهد در شبکه شرکت پنهان بمانند و به صورت جانبی حرکت کنند تا به سیستمهای مختلف دسترسی یابند.
اورِن بیدرمن (Oren Biderman)، رهبر واکنش حوادث در سیگنیا، گفت:
«عوامل تهدید دولتی مانند Weaver Ant با هدف اصلی نفوذ به زیرساختهای حیاتی و جمعآوری اطلاعات تا جایی که میتوانند قبل از کشف، فوقالعاده خطرناک و پایدار هستند. Weaver Ant علیرغم تلاشهای مکرر برای حذف شدنشان از سیستمهای در معرض خطر، بیش از 4 سال فعالیت خود را در شبکههای در معرض خطر حفظ کرد. این عامل تهدید [تاکتیکهای] خود را با محیط شبکه در حال تکامل تطبیق داد و امکان دسترسی مداوم به سیستمهای در معرض خطر و جمعآوری اطلاعات حساس را فراهم کرد.»
هکرها همچنین از ابزارهایی به نام «شبکههای ORB» یا شبکههای جعبه رله عملیاتی استفاده کردند. کارشناسان مدتها است در مورد گروههای تهدید چینی که از شبکههای ORB استفاده میکنند، هشدار دادهاند که شبیه باتنتها هستند و از سرورهای خصوصی مجازی (VPS)، اینترنت اشیا و دستگاههای هوشمند به خطر افتاده و همچنین روترهایی که اغلب پایان عمرشان هستند یا توسط سازندههایشان پشتیبانی نمیشوند، تشکیل شدهاند.
سیگنیا اظهار داشت که این گروه هکری از یک شبکه ORB که عمدتاً از روترهای آسیبدیده Zyxel تشکیل شده استفاده میکند که توسط ارائهدهندگان مخابرات آسیای جنوب شرقی اداره میشود تا زیرساختهایی را که در حملات استفاده میکنند، پنهان کند.
آنها نوشتند:
«با استفاده از شبکه ORB، عامل تهدید یک دستگاه در معرض خطر را از یک مخابرات برای محور قرار دادن و هدف قرار دادن یک دستگاه در مخابرات دیگر استفاده کرد.»
به گفته سیگنیا، هدف این کمپین دسترسی طولانیمدت به شرکت است که تلاشهای جاسوسی گستردهتر و توانایی جمعآوری اطلاعات حساس را ممکن میکند.
کشف اولیه
پاسخ دهندگان حادثه سیگنیا در ابتدا زمانی که در مراحل نهایی تحقیقات پزشکی قانونی جداگانه بودند، این کمپین را کشف کردند.
آنها چندین هشدار دریافت کردند که بر اثر فعالیت مشکوک ایجاد شده بود و متوجه شدند که حسابی که به عنوان بخشی از تلاشهای اصلاحی غیرفعال شده بود، بازیابی شده است. محققان نوعی از پوسته وب China Chopper را پیدا کردند که روی سروری مستقر شده بود که چند سال در معرض خطر قرار گرفته بود.
سیگنیا مدعی شد که اصلاح یک حادثه جداگانه احتمالاً باعث اختلال در عملیات Weaver Ant شده است. آنها به سرعت تعداد زیادی پوسته وب را پیدا کردند که به هکرها امکان دسترسی دائمی و حرکت جانبی در سراسر شبکه شرکت را میداد. تحقیقات بیشتر دهها سرور را کشف کرد که با پوستههای وب از جمله سرورهایی که قبلاً شناسایی نشده بودند، در معرض خطر قرار گرفتند.
بیدرمن اظهار داشت:
«لایههای متعدد پوستههای وب، محمولههای مخرب را پنهان میکردند و به عامل تهدید اجازه میداد تا به صورت جانبی در شبکه حرکت کند و تا بار نهایی فرار کند. این محمولهها و توانایی آنها در استفاده از پوستههای وب که قبلاً دیده نشدهاند برای فرار از تشخیص، نشاندهنده پیچیدگی و مخفی بودن Weaver Ant است.»
سال گذشته، سیگنیا عملیات دیگری را کشف کرد که خط محبوبی از دستگاههای سیسکو را هدف قرار داده بود که توسط هکرهای گروه تهدید «Velvet Ant» انجام شد.
