حمله هکرهای چینی به سازمان‌های بهداشتی اروپا

به گزارش کارگروه حملات سایبری سایبربان؛ به گفته محققان، یک گروه هکری ناشناخته سازمان‌های بهداشتی اروپایی را با استفاده از جاسوس‌افزار مرتبط با هکرهای تحت حمایت دولت چین و یک نوع باج‌افزار جدید شناسایی کرده‌اند.

محققان شرکت «Orange Cyberdefense» اعلام کردند که این کمپین که در نیمه دوم سال 2024 انجام شد، احتمالاً از یک آسیب‌پذیری در محصولات امنیتی یک شرکت امنیت سایبری مستقر در سرزمین‌های اشغالی استفاده کرده است.

این نقص که به عنوان «CVE-2024-24919» ردیابی می‌شود، به مهاجمان اجازه می‌دهد به داده‌های حساس در دروازه امنیتی چک پوینت (Check Point) دسترسی داشته باشند؛ این آسیب‌پذیری احتمالاً هکرها را قادر می‌سازد تا اطلاعات کاربری کاربر را بدزدند و با استفاده از حساب‌های قانونی به شبکه‌های خصوصی مجازی (VPN) دسترسی پیدا کنند.

چک پوینت در ماه می گذشته این نقص را اصلاح کرد، اما کارشناسان گفتند که دستگاه‌های مورد هدف هکرها احتمالاً در زمان به خطر افتادن هنوز آسیب‌پذیر بودند.

Orange Cyberdefense گفت که نمی‌تواند این کمپین را به یک عامل خاص نسبت دهد و هکرها احتمالاً با چین مرتبط هستند.

اتصال به گروه‌های سایبری چینی

هکرها که «Green Nailao» نام دارند، بدافزار «ShadowPad» و «PlugX» را که هر 2 معمولاً با گروه‌های جاسوسی سایبری چینی مرتبط هستند و همچنین یک نوع باج‌افزاری که قبلاً مستند نشده بود به نام «NailaoLocker»، مستقر کردند.

ShadowPad و PlugX به طور گسترده توسط گروه‌های هکری چینی استفاده می‌شوند. ShadowPad، یک درب پشتی است که گمان می‌رود حداقل از سال 2015 بین اپراتورهای سایبری چینی به طور خصوصی به اشتراک گذاشته شده یا فروخته شده و در کمپین‌های جاسوسی سایبری علیه دولت‌ها، شرکت‌های انرژی، اتاق‌های فکر و شرکت‌های فناوری به کار گرفته شده است.

محققان نسخه جدیدی از ShadowPad را در آخرین کمپین خود شناسایی کردند که به گفته آنها از تکنیک‌های پیشرفته برای فرار از تشخیص و تجزیه و تحلیل استفاده می‌کند.

PlugX، بدافزار دیگری که اغلب توسط هکرهای دولتی چین استفاده می‌شود، برای اولین بار در سال 2008 در حملات به ژاپن مشاهده شد و از آن زمان بر علیه اهداف در سراسر آسیا مستقر شده است. در ژانویه سال جاری، مقامات ایالات متحده ادعا کردند که PlugX را از بیش از 4200 رایانه آمریکایی حذف کرده‌اند.

باج‌افزار برای سود یا جاسوسی

NailaoLocker، سویه جدید باج‌افزار کشف شده در این کمپین، توسط محققان به عنوان «نسبتاً پیچیده و ضعیف طراحی شده» توصیف شد. این بدافزار فایل‌ها را رمزگذاری می‌کند و یک یادداشت باج می‌گذارد که در آن از طریق یک آدرس «ProtonMail» به بیت‌کوین پرداخت می‌شود.

محققان توضیح دادند که غیرعادی است که ShadowPad با استقرار باج‌افزار مرتبط باشد و این موضوع باعث ایجاد سؤالاتی در مورد انگیزه هکرها شد. به گفته کارشناسان، درحالی‌که گروه‌های سایبری تحت حمایت دولت معمولاً بر جاسوسی تمرکز می‌کنند، برخی ممکن است از باج‌افزار به عنوان منبع درآمد اضافی استفاده کنند.

از طرف دیگر، باج‌افزار ممکن است عملیاتی با پرچم کاذب باشد که هدف آن منحرف کردن توجه از هدف واقعی و سرقت داده‌های حساس است.

به گفته محققان، هکرهای تحت حمایت دولت، از جمله هکرهای مرتبط با چین، قبلاً سازمان‌های مراقبت‌های بهداشتی را هدف قرار داده‌اند.

Orange Cyberdefense گفت:

«درحالی‌که چنین کمپین‌هایی گاهی اوقات می‌توانند به صورت فرصت‌طلبانه انجام شوند، اغلب به گروه‌های تهدید اجازه می‌دهند به سیستم‌های اطلاعاتی دسترسی یابند که می‌توانند بعداً برای انجام سایر عملیات‌های تهاجمی مورد استفاده قرار گیرند.»