اسرائیل حمله سایبری ایران موسوم به «باتلاق شنی» را خنثی کرد

احمد باطبی

اسرائیل حمله هکرهای تحت فرمان حکومت ایران را که در ماه سپتامبر گذشته علیه این کشور انجام شده بود، خنثی کرد.

شرکت اسرائیلی «کلیرسکای» (Clearsky) که از جمله شرکت‌های مطرح در حوزه امنیت سایبری محسوب می‌شود، با همکاری شرکت «پروفرو» (Profero) گزارشی را در خصوص این حمله منتشر کرده و گفته‌اند که حمله موسوم به «باتلاق شنی» به سازمان‌های درجه اول اسرائیل از سوی یک گروه هکری وابسته به ایران، به نام «مادی‌واتر» (Muddywater) انجام شده و هدف آن، تخریب زیرساخت‌های کشور اسرائیل بوده است.
به گفته‌کارشناسان این دو شرکت، عملیات باتلاق شنی نشان می‌دهد که جمهوری اسلامی دور تازه‌ای از حملات سایبری را با استفاده از شیوه و ابزار جدید علیه اسرائیل آغاز کرده است.

این گزارش تاکید دارد که اگرچه تا‌کنون هویت اعضای گروه هکری مادی‌‌‌واتر (MuddyWater) فاش نشده است اما روش و عملکرد این گروه، مشابه حملات تابستان سال جاری به برخی کشورها در خاورمیانه و آفریقای جنوبی بوده که حمله به تاسیسات سازمان آب اسرائیل نیز از جمله ‌آن‌ها است.
هم‌چنین حمله سال ۲۰۱۲ این گروه به تاسیسات «آرامکو» در عربستان سعودی، موسوم به «شمون»، شباهت فراوانی به عملیات باتلاق شنی دارد.

در بخشی از این گزارش گفته شد که گروه هکری مادی‌واتر (Muddywater) دو روش را در عملیات ناکام باتلاق شنی به کار گرفته است؛ روش اول، حمله فیشینگ و ارسال فایل‌هایی با فرمت «اکسل» و یا «پی‌دی‌اف» از طریق ایمیل است که در صورت فریب‌خوردن قربانی و باز شدن فایل‌ها، به طور خودکار نسخه‌ای از باج‌افزار«تانوس» (Thanos) در رایانه قربانی بارگیری می‌شود.  

این باج‌افزار که از نظر کدنویسی شباهت زیادی به باج‌افزار «هک‌بیت» (Hakbit) دارد، ابتدا در ماه فوریه سال جاری میلادی در فروشگاه‌های ارایه کننده بد‌افزار در وب‌تاریک  معرفی شد. این باج‌افزار، مشابه باج‌افزاری قدیمی‌تر به نام «پتیا» (Petya) عمل می‌کند اما قدرت تخریب آن بسیار بیشتر است. تانوس (Thanos) تنظیمات مهم‌ترین بخش دیسک «master boot record (MBR)» را تغییر می‌دهد و آن را بازنویسی می‌کند. هم‌چنین رمزنگاری این بخش به شیوه «آر‌اس‌ای» (RSA) و با یک کلید عمومی ۲۰۴۸ بیتی، باعث عدم امکان فعالیت کد‌های اجرایی و عملکرد صحیح مربوط به پارتیشن‌ها شده و درنهایت رایانه قفل می‌شود.

در ماه جون و جولای سال جاری میلادی، شرکت‌های مختلفی در خاورمیانه و شمال ‌آفریقا گرفتار این باج‌افزار شده بودند و از قربانیان تا مبلغ ۲۰۰ هزار دلار تقاضای بیت‌کوین یا پول اینترتنی شد. اما در مواردی، رمزنگاری‌های این باج‌افزار با اشکال و ناکامی همراه بود که این خود نشان از ضعف و درحال توسعه بودن این باج‌افزار دارد.

روش دومی که هکرها در حمله باتلاق شنی به کارگرفته‌اند، بارگذاری باج‌افزارتانوس (Thanos) از طریق آسیب‌پذیری «CVE-2020-0688» است. این ضعف امنیتی مربوط به نرم‌افزار اکسل، از مجموعه نرم‌افزار‌های شرکت مایکروسافت، امکان اجرای کد از راه دور را برای مهاجمان فراهم می‌کند.
در گزارش کلیرسکای و پروفو آمده است که در کدهای اجرایی هکرها، کلمه «Covic» مشاهده می‌شود که احتمالا از کلمه «COVID-19» الهام گرفته شده باشد.
درصورت صحت این فرضیه، این امکان وجود دارد که گروه هکری مادی‌واتر (Muddywater) باج‌افزار تانوس(Thanos) را برای اهداف خود توسعه داده باشد.

در این گزارش گفته شده که با وجود استفاده هکرها از باج‌افزار، اما در حمله باتلاق شنی پولی از اهداف مورد حمله درخواست نشده است.

اوایل ماه جاری میلادی نیز شرکت مایکروسافت از بهره‌برداری گروه هکری مادی‌واتر (Muddywater) از آسیب‌پذیری «CVE-2020-1472»، موسوم به «زیرولوگن» (Zerologon) خبر داده بود. این آسیب‌پذیری نیز مانند «CVE-2020-0688»، امکان اجرای کد‌های راه دور را برای مهاجمان فراهم می‌کند و به آن‌ها اجازه می‌دهد که از طریق فرایند «نت‌لوگن» (Netlogon)، از سیستم احراز هویت سرورهای موسوم به «سرور کنترل‌کننده دامنه» (DC) عبور و به شبکه ‌شرکت‌ها دسترسی پیدا کنند.

مرکز اطلاعات تهدید مایکروسافت «MSTIC»، کاشف این حملات گفته گروه هکری مادی‌واتر (Muddywater) دوهفته مشغول بهره‌برداری از این آسیب‌پذیری بوده است و احتمالا یک هفته پس از شناسایی این آسیب‌پذیری و صدور بسته‌های ترمیمی، عملکردشان کندتر و یا متوقف شده باشد.
شرکت مایکروسافت هم‌چنین در گزارش دفاع دیجیتال ماه سپتامبر خود نوشته بود که گروه مادی‌واتر (MuddyWatter) که احتمالا یکی از پیمان‌کاران تحت فرمان سپاه پاسداران انقلاب اسلامی است، ۱۰ درصد از مجموع حملات سال ۲۰۲۰ به سازمان‌ها و هفت درصد از مجموع حملات این سال به شرکت‌های فناوری را انجام داده است.

شرکت امنیتی «سایمانتک» نیز در گزارش سال ۲۰۱۸  گفته بود که ۱۳۱ فرد و ۳۰ شرکت در نقاط مختلف جهان از سوی گروه مادی‌واتر (MuddyWatter) مورد حمله قرار گرفته‌اند.

   شرکت امنیتی «کسپرسکی» و شرکت «فایرآی» هم در گزارش‌های جداگانه نام سازمان‌های دولتی، نظامی و خصوصی را در نقاط مختلفی از آسیا، اروپا و امریکای شمالی لیست کرده‌اند که در سال ۲۰۱۸ قربانی گروه هکری مادی‌واتر (MuddyWatter) شده‌اند.

کلیرسکای در سال ۲۰۱۹ گزارش مفصلی از حملات گروه مادی‌واتر (MuddyWatter  به سازمان‌ها و ادارات دولتی، مخابراتی، نظامی و دانشگاهی در ترکیه، لبنان و عمان و هم‌چنین احزاب سیاسی کُرد با استفاده از آسیب‌پذیری « CVE-2017-0199» منتشر کرده و گفته بود که گروه مادی‌واتر (MuddyWatter) احتمالا به عنوان گروه هکری دوم در مجموعه شرکت پوششی وابسته به وزارت اطلاعات ایران، «رایانش هوشمند رانا» موسوم به «موسسه رانا» فعالیت می‌کند.
به اعتقاد کارشناسان کلیرسکای، موسسه رانا با تفکیک فرایند شناسایی و مهندسی اجتماعی و هم‌چنین هک و نفوذ، به نوعی تقسیم کار کرده و مسوولیت هر کدام از این فرایندها را به دو گروه تحت پوشش خود واگذار کرده است.

۱۷سپتامبر سال جاری، وزارت خزانه‌داری ایالات متحده شرکت رایانش هوشمند رانا و ۴۵ تن از کارکنان آن را به اتهام حملات سایبری، تجاوز به حریم خصوصی، سرکوب شهروندان ایرانی و سرقت اطلاعات و سرمایه‌های معنوی شرکت‌ها و دولت‌های خارجی، در لیست تحریم‌های خود قرار داد.
امریکا هم‌چنین وزارت اطلاعات جمهوری اسلامی را به پشتیبانی از اقدامات مجرمانه گروه هکری تحت پوشش موسسه رانا، موسوم به گروه «تهدید پیشرفته مستمر ۳۹» (APT39) متهم کرد.  

پیش از این، نام مادی‌واتر (MuddyWatter) در دو کانال تلگرامی و دو پورت در وب‌تاریک تحت نام این گروه، به عنوان یکی از سه منبع نشت‌دهنده اطلاعات در خصوص موسسه رانا وهکرهای تحت حمایت آن مطرح شده بود. اطلاعات ارایه شده به نام مادی‌واتر (MuddyWatter) حتی از سوی برخی شرکت‌های مطرح در حوزه امنیت سایبری مورد راستی آزمایی و حتی مورد استناد قرار گرفته بود. اما شواهد موجود در خصوص حمایت جمهوری اسلامی از این گروه هکری درکنار افشاگری‌های منتسب به مادی‌واتر (MuddyWatter) به عنوان تضاد‌های غیرقابل چشم پوشی، بیان‌گر این حقیقت است که شناخت صنعت سایبری از این گروه بسیار اندک است و بازیگران پشت پرده‌ و اعضای آن کماکان در پنهان کردن هویت خود در فضای بی‌کران مجازی موفق عمل کرده‌اند. 

 

مطالب مرتبط:

 

کشف ردپای هکرهای تازه‌کار ایرانی پشت حملات یک باج​‌افزار معروف

از نشت اطلاعات تا قرار گرفتن در لیست تحریم؛ شرکت «رایانش هوشمند رانا»

کشف ردپای هکرهای تازه‌کار ایرانی پشت حملات یک باج​‌افزار معروف

توجه! هکرهای حکومتی ایران مشغول کارند

گزارش حملات سایبری ایران گزاف و غیر واقعی‌ است