حمله هکرهای وابسته به چین به سازمان‌های آسیایی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، تیم پاسخ به رخداد شرکت امنیت سایبری هانترس (Huntress) اعلام کرد که در جریان بررسی یک برنامه وب آسیب‌پذیر و در معرض عموم که منبع نفوذی در اوایل ماه اوت بود، با این کمپین مواجه شده‌اند.

مهاجم ابتدا کنترل یک وب‌شل را در دست گرفته و سپس نژا (Nezha) را که ابزاری برای عملیات و نظارت است و امکان اجرای فرمان بر روی سرور وب را فراهم می‌کند، مستقر کرده است.

به گفته هانترس، نژا به‌عنوان یک ابزار سبک، متن‌باز و عمومی برای نظارت بر سرور و مدیریت وظایف معرفی می‌شود.

این شرکت افزود:

اگرچه این ابزار کاربردهای مشروعی دارد، اما در این مورد شاهد استفاده از آن برای پیشبرد فعالیت‌های بعدی پس از نفوذ به وب‌سایت‌ها بوده‌ایم.

هانترس اشاره کرد که هکرها از نژا برای نصب بدافزار استفاده کرده‌اند.

جای مین‌تون، تحلیلگر ارشد عملیات امنیتی در هانترس، نژا را به کنترل از راه دور تلویزیون تشبیه و بیان کرد:

نژا به شما اجازه می‌دهد هر رایانه‌ای را که به اینترنت متصل است از راه دور کنترل کنید. داشبورد نژا همان کنترل از راه دور است و عامل (Agent) نژا که در هر رایانه‌ای قابل نصب است، در واقع نقش تلویزیون را دارد.

به گفته هانترس، مهاجمان از نژا همراه با خانواده‌های دیگری از بدافزارها و ابزارهای مدیریت وب‌شل مانند گوست رت (Ghost RAT) و انت سورد (AntSword) استفاده کرده‌اند.

یکی از نشانه‌های اولیه که سبب شد این حمله به عاملان چینی نسبت داده شود، این بود که پس از دسترسی هکر به رابط مدیریتی سیستم نفوذشده، زبان آن را به چینی ساده‌شده تغییر داد.

مین‌تون افزود:

هرچند هانترس رسماً این عملیات را به یک گروه خاص از تهدیدکنندگان چینی نسبت نداده است، اما استفاده از گوست رت و انت سورد نشانه‌ای مهم است، زیرا این ابزارها پیش‌تر در فعالیت‌هایی مورد استفاده قرار گرفته‌اند که به گروه‌های پیشرفته تهدیدکننده (APT) با منشأ چینی نسبت داده شده است. نمونه‌ای از گوست رت که مشاهده کردیم، با نمونه‌ای که پیش‌تر به یک گروه پیشرفته تهدیدکننده وابسته به چین و فعال علیه جامعه تبت نسبت داده شده بود، شباهت زیادی دارد.

مین‌تون همچنین اظهار داشت که تحلیل موقعیت جغرافیایی قربانیان نشان می‌دهد تایوان، ژاپن و کره جنوبی بیشترین هدف‌ها بوده‌اند؛ سه منطقه‌ای که با جمهوری خلق چین در خصوص محدوده مناطق انحصاری اقتصادی خود در دریای چین شرقی اختلاف سیاسی دارند.

به گفته او، سرعت بالای نفوذ و نبود نشانه‌های معمول از الگوهای مجرمانه مالی، حاکی از آن است که این حملات احتمالاً با انگیزه سیاسی انجام شده‌اند.

مین‌تون تصریح کرد که هانترس هنوز نتوانسته مشخص کند تمرکز این حملات بر جاسوسی بوده یا سرقت داده‌ها.

در گزارش هانترس آمده است که اگرچه تاکنون بیش از ۱۰۰ قربانی احتمالی برای این کارزار شناسایی شده، اما تعداد آنها در حال افزایش است.

بررسی‌ها نشان داده‌اند برخی از سازمان‌ها احتمالاً به‌سرعت به حمله‌ای که نژا را به کار گرفته بود واکنش نشان داده‌اند، زیرا زمان مشاهده نخستین و آخرین فعالیت عامل نژا در برخی سیستم‌ها تنها چند ساعت فاصله داشته است.

هانترس در پایان هشدار داد:

اگرچه مهاجمان در عملیات امنیتی خود اشتباهاتی مرتکب شدند، اما نباید توانایی آنها در نفوذ سریع به سیستم‌ها و حفظ دسترسی طولانی‌مدت با استفاده از ابزاری کمتر گزارش‌شده را دست‌کم گرفت. ابزارها، بدافزارها، آدرس‌های آی پی (IP)، دامنه‌ها و ویژگی‌های قربانیان همگی به وجود یک عامل تهدید قدرتمند با پیوندهای چینی اشاره دارند که تاکنون کمتر درباره آن گزارش شده است.