حمله هکرهای ایرانی به شرکت های فناوری اطلاعات و ارتباطات در اسراییل

احمد باطبی

مجموعه‌ای از شرکت‌های فناوری اطلاعات و ارتباطات در اسراییل، هدف حملات سایبری، از نوع «زنجیره تامین» قرار گرفته‌اند که از سوی یک گروه هکری مستقر در ایران سازماندهی و اجرا شده است.

حملات موسوم به «زنجیره تامین» (Supply-Chain Attacks) به نوعی از حمله‌های سایبری گفته می‌شود که در آن، مهاجمان با استفاده از ضعف‌های امنیتی و آسیب‌پذیری‌های موجود در سطوح و لایه‌های ابتدایی یک شبکه، به زنجیره آن شبکه نفوذ کرده و کارکرد معمول مجموعه عناصر موجود در آن را مختل و یا با اشکال مواجه می‌کنند.

شرکت امنیت سایبری «کلیراسکای» (ClearSky) کاشف این حمله‌ها، در گزارش ماه آگوست خود، به شکل مفصل به واکاوی این حملات پرداخته و گروه هکری «بچه گربه سیامی» (Siamesekitten) از ایران را عامل این حمله‌ها معرفی کرده است. این گروه پیش‌تر با نام‌های (Lyceum) و یا (Hexane) نیز شناخته می‌شد و به عنوان یکی از گروه‌های زیر‌مجموعه «تهدید پیشرفته مدام» (APT) دسته‌بندی می‌شد. گروه‌های موسوم به تهدید پیشرفته مدام و یا «ای‌پی‌تی» (Advanced Persistent Threat)، به تهدیدهای مداوم و هدفمند سایبری علیه دولت‌های دشمن و یا رقیب، مخالفان حکومت، سازمان‌ها و نهاد‌های تاثیرگذار، شرکت‌های تجاری و مراکز علمی گفته می‌شوند که معمولا از حمایت دولت‌ها بهره‌مند هستند.

کلیراسکای گفته، دور اول حمله‌های این گروه در سال ۲۰۱۸، به بخش‌هایی از صنعت نفت، گاز و مخابرات خاورمیانه و آفریقا صورت گرفت. در سال ۲۰۱۹ دو کشور خاورمیانه‌ای هدف قرار گرفتند و در سه ماهه اول سال ۲۰۲۱، نیز تمرکز این گروه بر اهدافی در کشور تونس قرار داشت.

در ماه می‌ و ژوئیه سال جاری ( حدود خرداد و تیر ۱۴۰۰) جهت حملات این گروه به سمت شرکت‌های اسراییلی تغییر کرد. پیش از این، چند شرکت‌های امنیتی دیگر که فعالیت‌های این گروه را رصد می‌کردند، در خصوص نحوه عملکرد و ابزار این گروه گزارش‌هایی را منتشر کرده بودند. گروه تحقیقات سایبری «دراگوس» (Dragos) که حملات سال ۲۰۱۸ این گروه را بررسی کرده، (Hexane) یا همان بچه‌گربه‌های سیامی را زیرمجموعه گروه‌های (APT33) و (APT34) می‌داند که تحت حمایت جمهوری اسلامی قرار دارند. دارگوس گفته، این گروه در حملاتشان از تروجانی (تروجان به برنامه‌های نفوذی از نوع بدافزار می‌گویند که به سیستم عامل دسترسی سطح بالا پیدا می‌کند) از نوع (RAT) به نام (DanBot) استفاده کرده‌اند که با استفاده از سرورهای فرمان و کنترل (C&C) کامپیوتر و یا شبکه قربانی را در اختیار مهاجمان قرار می‌داد.

در حمله‌های ماه‌های می و ژوئیه، شیوه‌هایی مانند ایجاد «درب پشتی» (Back Door) یا ایجاد مسیر نفوذ در کامپیوتر هدف، نصب تروجان کنترل از راه دور (DanBot)، نصب بدافزاری اختصاصی این گروه، استفاده از (DNS) برای برقراری ارتباط سرورهای فرمان و کنترل (C&C) و (DNS Tunneling) ازجمله شاخص‌های عملکرد بچه‌گربه‌های سیامی بود.

هکرها در حملات خود از دو بدافزار توسعه یافته اختصاصی، به نام (Shark) و (Milan) بهره می‌بردند. حمله‌های آنها ابتدا با شناسایی افراد، خصوصا کارمندان شرکت‌های اسراییلی آغاز می‌شد. سپس یک پروفایل جعلی به نام افراد شناسایی شده، در شبکه‌های اجتماعی و عمدتا «لینک‌دین» ایجاد و هویت آنها جعل می‌شد. هکرها با این هویت جعلی و با پیشنهاد‌های وسوسه برانگیز، مانند پیشنهاد‌های شغلی، با درآمد بالا به سراغ قربانیان رفته و تلاش می‌کردند که با مهندسی اجتماعی، آنها را فریب دهند. هکرها دو فایل آلوده به بدافزار خود را در چند وبسایت جعلی، مشابه وبسایت‌های شرکت‌های بزرگ بارگذاری کرده و قربانیان را تشویق به دریافت آن می‌کردند. تصویر زیر، نمونه یکی از پروفایل‌های جعلی، به نام فردی است که در سال ۲۰۰۷، به عنوان کارمند بخش تامین نیروی انسانی شرکت اسراییلی (ChipPc) استخدام شده بود.

افراد مراجعه‌کننده به این پروفایل، به یک وبسایت جعلی، حاوی فایل‌های آلوده راهنمایی می‌شدند. یکی از این فایل‌های آلوده، با نام (XLS lure) و تحت عنوان فایل راهنمای تنظیم رزومه، در یک وبسایت جعلی، مشابه وبسایت شرکت آلمانی (Software AG)، به آدرس (softwareagjob [.] com) بارگذاری شده بود.

در مورد دیگر، در ششم ماه می، وب‌سایتی جعلی به آدرس (Jobschippc [.] com) ایجاد شد که بخشی از وب‌سایت شرکت فناوری (ChipPc) در اسراییل است، که برای پاسخ‌گویی به متقاضیان کار و تامین نیروی انسانی این شرکت راه‌اندازی شده است. این وب‌سایت یازدهم ماه می در دسترس عموم قرار گرفت و هجدهم می نیز فایل‌های آلوده هکرها، با فرمت اکسل در آن بارگذاری شد.

یکی از این فایل‌های آلوده، با پسوند (XLS) و به نام (Capilities.xls) در هفدهم ماه می، یعنی شش روز بعد از فعالیت عمومی وبسایت‌های جعلی ایجاد شده است. خالق این فایل، با نام مستعار «جاناتان»، کدهای مخرب «ماکرو» را در این فایل مخفی و آن را با یک رمز عبور، غیر قابل دسترسی کرده است. این کدها پس از اجرا، کار ایجاد یک «درب پشتی» به نام (MsNpENg) را آغاز و  چند پوشه با همین نام در کامپیوتر قربانی ایجاد می‌کنند. بررسی‌ محققان شرکت کلیراسکای نشان می‌دهد که هکرهای گروه بچه‌گربه‌های سیامی، کماکان از همان سرور فرمان و کنترلی استفاده می‌کنند که در حملات سال ۲۰۱۸ به صنایع نفت، گاز و مخابرات کشورهای خاورمیانه‌ای و آفریقایی استفاده کرده‌اند.

مورد تازه‌ای که در عملکرد این گروه مشاهده شده، وجود یک فایل فشرده (ZIP) در درون فایل‌های مخرب است که با یک رمز عبور محافظت می‌شود. این فایل، سه فایل دیگر را در خود جای داده است. یک فایل اجرایی به نام (companycatalog)، یک فایل پیکربندی به نام (companycatalog.exe.config)  و یک فایل، حاوی یک کتابخانه پویا، برای بهینه سازی عملکرد بدافزار.

بد افزار‌های هکرها به زبان (NET.) و (C++) نوشته شده است. هنگام اجرا، بدافزار خود را با پوشش ارائه اطلاعات در خصوص فناوری‌های (Microsoft)، (Citrix) و (VMware) و محصولات شرکت (ChipPc)  مقابل چشمان قربانی ظاهر می‌کند. ظاهر شدن این پیام برابر است با اجرای یک فایل به نام (ChipPc.exe) که در نسخه جدید بدافزار، با عنوان (Milan.exe) ظاهر می‌شود. این فایل موظف است که با اجرای دستوراتی در (CMD) ویندوز، مراحل ایجاد درب پشتی در سیستم قربانی را تکمیل کند.

در این مرحله، یک یک فایل متنی با عنوان (current) و با پسوند (MDF) در پوشه‌ای به نام (log) فعال می‌شود که در درون خود یک رشته کوتاه (config: 1251) است. کار این فایل ذخیره‌سازی اطلاعاتی همچون نام دستگاه، مشخصات و تعداد کاربران و ... در یک فایل فرمت (MDF) است که رمزنگاری شده و قرار است از طریق درخواست (HTTP) و (C&C) برای هکرها ارسال شود. این فایل متنی پس از انجام این وظیفه، خودبه‌خود از کامپوتر قربانی حذف شده و بدافزار به شکل خودکار، ارسال درخواست های (DNS) را آغاز می‌کند تا درصورت دریافت پاسخ مثبت، زمینه برای ارتباط هکرها از طریق سرورهای (C&C) را که عموما در روسیه ، اوکراین یا نیجریه قرار دارند، فراهم کند.

بدافزار(Shark Backdoor) یکی از بدافزارهای اختصاصی گروه بچه‌گربه های سیامی است. این بدافزار در دل تروجان (DanBot) به کامپیوتر قربانی نفوذ کرده و در یکی از مسیرهای (PDB) ایجاد شده قرار می‌گیرد. هکرها به تازگی تغییراتی را در نام و ساختار این بدافزار ایجاد کرده‌اند تا شناسایی آن توسط محققان سخت‌تر شود. برخلاف (Milan) که به زبان (C++) شده، محتوی (Shark) به زبان (NET.) نوشته شده و اجرای آن نیازمند برخی پارامترها است. (Shark) قادر است با ایجاد یک (Mutex)، اجرای خود در کامپوتر قربانی را به تنها یک نوبت محدود می‌کند.

مرحله (redus) مرحله پایانی آلوده‌سازی است. بدافزار در این مرحله با ایجاد یک فایل رمزنگاری شده، به نام (G-ZIP) بخش‌های تکمیلی تنظیمات را برای عملکرد صحیح بدافزار و ارتباط آن را به سرورهای (C&C) انجام دهد.

هکرها در تروجان (DanBot) دو فایل (UltraVNC.exe) و (WINVNC.exe) به کار گرفته اند که هردو آنها ازجمله نرم‌افزارهای مشروع پرکاربرد برای برقراری ارتباط از راه دور است. توسعه‌دهندگان این دو نرم‌افزار شناخته شده را به عنوان ابزارهای تکاملی بدافزار خود به کار گرفته و از آن برای کنترل سیستم قربانی توسط هکرها بهره می‌گیرند.

به گفته محققان کلیراسکای، تمامی عناصر بدافزار و شیوه‌های مورد استفاده هکرها، با سوابق سال‌های قبل این گروه هم‌پوشانی دارد. در حملات تازه، تنها برخی از ویژگی‌های تازه به بدافزارافزوده شده و برخی اطلاعات مربوط به سرورها به‌روزرسانی شده است.

شرکت امنیت سایبری کلیراسکای  که مرکز آن در اسراییل قرار دارد، این دوره از حملات بچه‌گربه‌های سیامی را با حملات موسوم  به «جویندگان کار» (Job Seekers) مقایسه کرده که پیش‌تر از سوی هکرهای وابسته به کره شمالی انجام شد. و در آن، از طریق جعل هویت، فریب قربانی و آلوده‌سازی کامپیوترها از قربانیان جاسوسی و اطلاعات آنها گردآوری می‌شد.