تیم تحقیقات حملات امنیتی سیمانتک چندی پیش گزارشی را ارائه کرده بود که گروه ایرانی به نام چافر جاه طلبی های خود را افزایش داده و هم اکنون در سطح منطقه اقدام به جاسوسی میکند.
سیمانتک گزارش می دهد:
گروه ایرانی چافر همچنان شدیداً فعال باقی مانده است و در حال پیشروی به سمت ارتباطات تلفنی و زنجیره تامین حمل و نقل برای تسهیل توسعه ی نظارت بر اهداف خود می باشد.
چافر ، گروه هکری ایرانی است که حداقل از جولای 2014 (تیر 93) تاکنون فعال است و برای اولین بار توسط سیمانتک در دسامبر 2015 (آذر 94) شناسایی شد.
در آن زمان در حال نظارت و جاسوسی اهداف داخلی و بین المللی بود که اکثر اهداف آن نیز اشخاصی بودند که در ایران مستقر بودند و این گروه نیز اقداماتی نظیر نفوذ به اپراتورهای ارتباطی و همچنین شرکت های هوایی در منطقه خاورمیانه را انجام داده است.
تشریح عملیات ها :
چافر که بعد از شناسایی در سال 2015 ناامید از ادامه فعالیت به نظر میرسید در سال 2017 با هفت ابزار جدید، راه اندازی زیرساخت جدید و حمله به 9 هدف سازمانی جدید در منطقه به ادامه کار پرداخت. این گروه به سازمان هایی در اسرائیل، اردن، امارات متحده عربی، عربستان سعودی و ترکیه حمله کرده است.
بخش هایی که به آنها حمله شده است بدین شرح میباشند: خطوط هوایی، خدمات هواپیما، شرکت های خدمات IT و نرم افزار که به بخش های حمل و نقل هوایی خدمات میداده اند، خدمات ارتباطی تلکام، خدمات پرداخت حقوق، مشاورین مهندسی و نیز نرم افزار مدیریت اسناد و مدارک.
در بیرون از خاورمیانه، سیمانتک شواهدی نیز مبنی بر حمله به یک شرکت هوایی آفریقایی و تلاشها برای نفوذ به یک شرکت رزرو بلیط بین المللی دست یافته است.
اهداف جدید فراگیر:
یکی از شرکت هایی که توسط چافر در سال 2017 مورد حمله قرار گرفت یک شرکت تلکام در خاورمیانه بود که راهکارها و خدمات خود را به چندین اپراتور تلفن همراه میفروشد. هدف نهایی حمله ممکن است تسهیل نظارت و جاسوسی کاربران نهایی اپراتورهای تلفن های همراه در سطح خاورمیانه باشد. با دو قدم فراتر از زنجیره تأمین، هکرها می توانند بطور بالقوه نظارت بسیار وسیعی بر کاربران اپراتورهای همراه در سطح منطقه داشته باشند.
در کنار شواهد حمله به خود سازمان، سیمانتک یک کپی از فایل خود شرکت را بدست آورد. این فایل مربوط به نرم افزار پیام رسانی آن شرکت بود که بر روی سروری قرار داشت که توسط چافر از آن استفاده میشد. فایل در پوشه ای بوده است که تعدادی از ابزارهای مورد استفاده هکرها در آن قرار داشته است. (این می تواند بدین معنا باشد که یکی از این سازمانها با درصد احتمال بالایی مورد نفوذ چافر قرار گرفته و یا اینکه تحت مالکیت چافر به فعالیت خود میپردازد)
یک هدف یا بهتر بگوییم قربانی دیگر در خارج از خاورمیانه نشان میدهد که چافر تا چه حد بطور جاه طلبانه ای اهداف خود را گسترش داده است. سیمانتک شواهدی را یافته است که نشان میدهد این گروه قصد نفوذ به یک شرکت بزرگ رزرو بلیط بین المللی را داشته است. هنوز نشانه ای از موفقیت آمیز بودن حمله در دست نیست لکن چافر توانسته است با موفقیت به یک شرکت هوایی آفریقایی که یکی از مشتریان این شرکت بزرگ رزرو بلیط هست نفوذ کند.
چگونه چافر قربانیهایش را آلوده میکند؟
در حمله های اولیه از سال 2015، سیمانتک شواهدی را بدست آورد که چافر با حمله به وب سرور سازمان های مورد هدف خود به آنها نفوذ میکرده است. احتمالاً از باگ امنیتی SQL Injection برای نفوذ و تزریق بدافزار خود به داخل سرور قربانی استفاده می کرده است. در سال 2017، این گروه یک روش جدید را به تولکیت خود اضافه نمود و آن استفاده از فایل های مخربی بود که از طریق ایمیل به کارکنان سازمان مورد هدف ارسال می کردند.
این فایل ها مربوط به نرم افزار مایکروسافت اکسل بودند. زمانی که فایل باز شود، اقدام به دانلود یک فایل VBS (ویژوال بیسیک اسکریپت) مخرب می کند که عملاً به معنای اجرای یک دستور در PowerShell می باشد. چندین ساعت بعد ، یک بدافزار به درون کامپیوتر قربانی دانلود خواهد شد. این بدافزار سه فایل را بر روی کامپیوتر قربانی نصب خواهد کرد. یک سارق اطلاعات، یک ابزار مشاهده تصویر از راه دور و یک نرم افزار اجرایی خالی .
ابزار مشاهده تصویر فقط یک بار در آغاز هر حمله برای کسب اطلاعات اولیه از آن استفاده می شد و دیگر از آن استفاده نمیشد. سارق اطلاعات قادر به سرقت محتوای کلیپبورد، عکسبرداری از صفحه، ثبت دکمه های زده شده توسط کیبورد و سرقت فایل ها و اطلاعات محرمانه کاربر نظیر نام کاربری ها و رمز عبور ها بود. بعد از این عملکرد اولیه که تبدیل به محل ورود هکر ها به درون شبکه آن سازمان بود، معمولاً از سیستم قربانی بمنظور دانلود مابقی ابزار خود بوسیله دانلودر Powershell استفاده می کردند و از آنجا نیز اقدام به نفوذ و حرکت در کل شبکه ی سازمان مورد هدف می کردند.
ابزار جدید استفاده شده جهت نفوذ :
سیمانتک هفت ابزاری که چافر از آن در حملات اخیر خود از آن استفاده میکرده است را در گزارش خود آورده است. گرچه این ابزارها غالباً بصورت رایگان در دسترس قرار دارند:
یک - Remcom : یک جایگزین منبع باز برای نرم افزاز PsExec. نرم افزار PsExec یک ابزار ارائه شده توسط خود مایکروسافت برای اجرای پردازش ها و نرم افزارها بر روی دیگر سیستم ها می باشد.
دو - Non-sucking Service Manager یا NSSM : یک جایگزین منبع باز برای Windows Service Manager که برای نصب و حذف Serviceها استفاده می شود و در صورتی که Serviceها با مشکل مواجه شوند آنها را Restart میکند.
سه - یک نرم افزار سفارشی و دلخواه عکسبرداری و ثبت محتوای کلیپبورد (محتوای کپی شده)
چهار - SMB Hacking Tools : همراه با دیگر ابزارها برای عبور از شبکه های قربانی مورد استفاده قرار می گیرد. این ابزارها شامل EternalBlue exploit ( که قبلاً توسط باج افزار WannaCry و Petya مورد استفاده قرار گرفته بود) نیز می باشد.
پنج - GNU HTTPTunnel : یک ابزار منبع باز که میتواند یک تونل HTTP دوطرفه بر روی کامپیوترهای لینوکسی ایجاد کند که امکان ایجاد ارتباط از ماورای محدودیت های یک فایروال را میسر می سازد.
شش - UltraVNC : یک ابزار مدیریت از راه دور منبع باز برای سیستم عامل ویندوز
هفت - NBTScan : یک ابزار رایگان برای اسکن شبکه های IP جهت کسب اطلاعات مربوط به نام NetBIOS
چافر همچنین به استفاده از ابزاری که قبلا مفید بودند نیز ادامه داده است. مانند: بکدور خود تیم به نام Backdoor.Remexi ، ابزار PsExec فوق الذکر ، Mimikatz یک ابزار رایگان است که قادر به تغییر مجوزهای دسترسی، صدور گواهینامه های امنیتی و بازگرداندن پسوردهای سیستم در یک فایل text می باشد، ابزار pwdump که برای جمع آوری و کسب هش های پسورد ویندوز یک کامپیوتر از راه دور مورد استفاده قرار می گیرد، و ابزار Plink ( همانند PuTTY ) که یک ابزار خط فرمانی برای ایجاد reverse SSH session از آن استفاده می شود.
چافر از این ابزار بمنظور عبور از شبکه های مورد هدف خود استفاده می کرده است. این گروه اخیرا از NSSM برای حفظ استحکام و نصب Serviceی که Plink را روی کامپیوتر قربانی اجرا می کند استفاده کرده است. سپس از Plink برای باز کردن نشست معکوس SSH از سرور هکر به پورت RDP (پورت کنترل از راه دور ) روی سیستم قربانی استفاده می شود. این کار عملاً از طریق RDP دسترسی کامل به هکر برای کنترل کامپیوتر قربانی را میدهد.
هکر ها به محض اینکه جای پایشان در سیستم قربانی محکم شود، از PsExec و Remcom و SMB Hacking Tools برای تحرک در لابلای شبکه ی قربانی استفاده می کنند.
زیرساخت جدید در حال استفاده:
چافر حتی از یک زیرساخت جدید و تقریباً جالب نیز استفاده کرده است. دامنه ی win7-updates[.]com توسط این گروه بعنوان یک آدرس فرمان دهی و آدرس دهی استفاده می شود. این دامنه چندین بار در خط فرمان ها بدان اشاره شده است:
s224.win7-update[.]com
s5060.win7-update[.]com
s21.win7-update[.]com
همچنین حاوی فایل مخرب نیز می باشد:
hxxp://wsus65432.win7-update[.]com
سیمانتک حتی چندین آدرس IP مختلف که توسط هکرها مورد استفاده قرار گرفته است نیز شناسایی کرده است. هنوز معلوم نیست که این IPها اجاره شده اند و یا دزدیده شده اند اما واقعیت ماجرا این است که تمامی آنها ظاهراً از یک الگو تبعیت می کنند. اگر به سه رقم آخر آنها توجه شود چنین به نظر می آید که غالباً به طور ترتیبی و پشت سر هم از این آی پی ها استفاده می شده است.
107.191.62[.]45
94.100.21[.]213
89.38.97[.]112
148.251.197[.]113
83.142.230[.]113
87.117.204[.]113
89.38.97[.]115
87.117.204[.]115
185.22.172[.]40
92.243.95[.]203
91.218.114[.]204
86.105.227[.]224
91.218.114[.]225
134.119.217[.]8
در یک مورد، سیمانتک متوجه شدند که هکر ها از چه سروری استفاده می کند. سپس مشخص شد که آن سرور متعلق به یکی از سازمان های قربانی می باشد. کپی های بسیاری از ابزارهای استفاده شده توسط این گروه بر روی سرور کشف شدند. هکرها در اینجا حتی زحمت پنهان کردن فعالیت خود، پاک کردن ردپا و یا تغییر نام فایل های ذخیره شده در دسکتاپ را به خود نداده اند.
ارتباط با تیم Crambus؟
فعالیت های چافر ارتباط هایی با گروه دیگری به نام Crambus دارد. هر دو گروه در زمان استفاده از یک IP یکسان برای اهداف فرمان دهی و کنترل مشاهده شده اند؛ علاوه بر این، هر دو تیم در حال استفاده از یک روش آلوده سازی یکسان دیده شده اند،معمولاً یک فایل اکسل که یه فایل مخرب VBS را وارد سیستم قربانی میکند. هر دو فایل VBS اشاره به یک مسیر یکسان را دارند و هر دو نیز شامل یک غلط املایی یکسان می باشد (کلمه Update حرف "e" ندارد):
“schtasks.exe /create/ F /sc minute /mo 2 /tn "UpdatMachine" /tr %LOCALAPPDATA%\microsoft\Feed\Y658123.vbs”
آیا این دو تیم متحد هستند؟ یا یک تیم با دو نام مختلف است؟ گرچه احتمال هر کدام از سوالات وجود دارد اما هنوز وشاهد کافی برای اثبات فرضیه ها وجود ندارد. چیزی که مشهود است این است که هر دو گروه یکدیگر را می شناسند و از دسترسی مشترک به حجم عظیمی از منابع لذت می برند.
در پایان می توان نتیجه گرفت که شرکت های بزرگ در منطقه خاورمیانه در هر بخشی که مشغول به فعالیت می باشند می بایست نسبت به آموزش پرسنل خود، اعطای اهمیت والا به مباحث امنیتی و امنیت سایبری، هزینه کرد برای استخدام نیروی متخصص، نرم افزار و سخت افزار بمنظور حفظ امنیت و اسناد و اسرار اقدام کنند.
ترجمه از : Chafer: Latest Attacks Reveal Heightened Ambitions
جهت بحث و تبادل نظر در خصوص خبر و آموزش نفوذ و ضدنفوذ به انجمن تیم گاردایران مراجعه فرمائید.
