آلوده سازی صنایع آمریکا با جعل توافق‌نامه‌های محرمانگی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، برخلاف کمپین‌های فیشینگ سنتی که از طریق ایمیل انجام می‌شود، مهاجمان ابتدا از طریق فرم‌های رسمی وب‌سایت با شرکت‌ها ارتباط برقرار می‌کنند تا ارتباط معتبر به نظر برسد.

طبق گزارش شرکت امنیتی چک پوینت (Check Point)، هکرها تا دو هفته در نقش شریک تجاری احتمالی با قربانی مکاتبه کرده و در نهایت یک قرارداد در قالب فایل زیپ (ZIP) ارسال می‌کنند که روی پلتفرم معتبر هروکو (Heroku) میزبانی شده و حاوی بدافزار سفارشی موسوم به میکس شل (MixShell) است.

به گفته محققان، این نوع تعامل طولانی نشان می‌دهد مهاجمان برای هدف‌گذاری قربانیان زمان صرف می‌کنند و احتمالاً بر اساس ارزش یا سهولت نفوذ، حمله را شخصی‌سازی می‌کنند.

بیشتر قربانیان شرکت‌های آمریکایی فعال در حوزه تولیدات صنعتی مانند ماشین‌آلات، فلزکاری و قطعات هستند.

این کمپین همچنین شرکت‌های فعال در حوزه سخت‌افزار، نیمه‌رسانا، بیوتکنولوژی، داروسازی، هوافضا، انرژی و کالاهای مصرفی را هدف گرفته است.

افزون بر آن، برخی شرکت‌ها در سنگاپور، ژاپن و سوئیس نیز مورد حمله قرار گرفته‌اند.

شرکت چک پوینت توضیح داد که همه فایل‌های زیپ مخرب نبوده‌اند و برخی تنها شامل اسناد بی‌ضرر بوده‌اند.

این موضوع نشان می‌دهد که بدافزار اصلی احتمالاً بر اساس آدرس آی پی (IP)، مرورگر یا جزئیات دیگر قربانی، به‌صورت انتخابی بارگذاری می‌شده است.

برای افزایش اعتبار حملات، هکرها از دامنه‌هایی استفاده کردند که به نام شرکت‌های ثبت‌شده واقعی در آمریکا بودند؛ برخی از این دامنه‌ها از سال ۲۰۱۵ فعال بوده‌اند.

اما وب‌سایت‌های ساخته‌شده جعلی بودند و همگی از یک قالب یکسان کپی شده بودند؛ حتی بخش «درباره ما» حاوی عکس آرشیوی پیشخدمت‌های کاخ سفید بود که به‌عنوان مؤسسان شرکت معرفی شده بودند.

استفاده از دامنه‌های قدیمی به مهاجمان کمک کرده است تا از فیلترهای امنیتی عبور کنند.

چک پوینت این کمپین را به یک گروه خاص نسبت نداده، اما یکی از سرورها با زیرساخت خوشه‌ای ناشناخته به نام یو ان کی گرین سک (UNK_GreenSec) همپوشانی داشته که پیش‌تر ارتباطاتی با مجرمان سایبری همسو با روسیه نشان داده بود.

این شرکت احتمال می‌دهد هدف اصلی این عملیات، انگیزه مالی باشد.