رد پای نفوذگران Cicada در عملیات گسترده جاسوسی

به گزارش فاواپرس به نقل از مرکز مدیریت راهبردی افتا، این حملات گسترده که گمان می‌رود در تابستان سال گذشته آغاز شده و تا اواخر سال نیز ادامه داشته باشد، به گروهی به نام Cicada مرتبط است که در زمینه “تهدیدات مستمر و پیشرفته” (Advanced Persistent Threat – به اختصار APT) فعالیت می‌کنند و با نام‌های APT10، Stone Panda، Potassium، Bronze Riverside یا MenuPass Team نیز شناخته می‌شوند.

گروه امنیتی Symantec، اعلام کرده که قربانیان کمپین Cicada، سازمان‌های دولتی، حقوقی، مذهبی و مردم‌نهاد در کشورهای مختلفی از سراسر جهان از جمله در اروپا، آسیا و آمریکای شمالی هستند. مهاجمان بر بخش‌های دولتی، سازمان‌های غیردولتی مردم‌نهاد به خصوص آنهایی که در زمینه‌های مذهبی و آموزشی فعالیت می‌کنند، تمرکز دارند.

اکثر سازمان‌های مورد هدف در ایالات متحده، کانادا، هنگ‌کنگ، ترکیه، سرزمین اشغالی فلسطین، هند، مونته‌نگرو، ایتالیا و یک مورد نیز در ژاپن مستقر بودند و مهاجم در برخی موارد به مدت ۹ ماه در شبکه‌های سازمانی برخی از این قربانیان فعال بوده است. در بخش‌های مخابراتی، حقوقی و دارویی نیز قربانیانی وجود داشته اما به نظر می‌رسد سازمان‌های دولتی و غیرانتفاعی محور اصلی این کارزار بوده‌اند.

سال گذشته، در فروردین ۱۴۰۰، محققان شرکت Kaspersky یک عملیات جاسوسی اطلاعات که نصب ابزارهای جمع‌آوری اطلاعات از تعدادی از بخش‌های صنعتی در ژاپن توسط این گروه در حال انجام بود، را شناسایی کردند. در اوایل بهمن ۱۴۰۰ نیز مهاجمان Cicada در یک Supply Chain سازمان‌یافته با هدف سرقت اطلاعات حساس از سیستم‌های آسیب‌‌پذیر در بخش مالی تایوان مشارکت داشتند.

محققان Symantec با مشاهده و بررسی مجموعه حملات جدید، پی بردند که دسترسی اولیه مهاجمان از طریق یک آسیب‌پذیری شناخته شده در سرورهای Microsoft Exchange آغاز می‌شود و با سوءاستفاده از این ضعف امنیتی، تروجان SodaMaster را بارگذاری می‌کنند.

محققان در ادامه عنوان نمودند که موفق نشدند در این حملات یک آسیب‌پذیری خاص را که مهاجمان از آن بهره‌جویی کرده‌اند، شناسایی کنند، به عنوان مثال نمی‌توان به طور قطعی گفت که آنها از ProxyShell یا ProxyLogon استفاده کرده‌اند.
SodaMaster یک تروجان دسترسی از راه دور و مبتنی بر Windows است که دارای قابلیت‌هایی جهت تسهیل فراخوانی کدهای مخرب و استخراج و تبادل اطلاعات با سرور کنترل و فرمان‌دهی (Command and Control – به اختصار C2) خود است.

سایر ابزارهایی که در عملیات نفوذ از آنها استفاده می‌شود عبارتند از ابزار استخراج رمزهای عبور و اطلاعات credential به نام Mimikatz، یک پویشگر خط فرمان برای شناسایی سیستم‌های آسیب‌پذیر به نام NBTScan، ابزار WMIExec برای اجرای فرامین از راه دور و VLC Media Player برای اجرای یک بارگذاری کننده (Loader) سفارشی بر روی دستگاه آلوده.

با بررسی قربانیان حملات اخیر در بخش‌های مختلف، به نظر می‌رسد که مهاجمان این کمپین اکنون به اهداف متنوع‌تری علاقه‌مند شده‌اند. نوع سازمان‌هایی که مورد هدف قرار گرفته‌ شده‌اند – سازمان‌های غیرانتفاعی و دولتی، از جمله سازمان‌هایی که در فعالیت‌های مذهبی و آموزشی مشارکت دارند – به احتمال زیاد برای جاسوسی مهاجمان Cicada مورد نظر قرار گرفته‌اند.

همچنین فعالیت های مخربی که بر روی دستگاه‌های این قربانیان مشاهده شده نشان می‎دهد که جاسوسی، انگیزه و هدف اصلی این مهاجمان است.