دیپلمات‌ها، هدف مهاجمان سایبری

به گزارش فاواپرس به نقل از مرکز مدیریت راهبردی افتا؛ این گروه که از آن با عنوان BackdoorDiplomacy یاد شده، از بدافزاری سفارشی با نام Turian برای آلوده‌سازی اهداف خود بهره گرفته است.

به نظر می‌رسد اصلی‌ترین روش نفوذ اولیه BackdoorDiplomacy، در هر دو بستر Windows و Linux، سوءاستفاده از آسیب‌پذیری سرویس‌های قابل‌دسترس بر روی اینترنت است. چنانچه سرورهای وب یا واسط‌های مدیریت شبکه قربانی به دلیل وجود ضعف نرم‌افزاری یا عدم مقاوم‌سازی صحیح، آسیب‌پذیر باشند، این مهاجمان به اجرای حمله اقدام می‌کنند.

در یکی از موارد، مهاجمان از آسیب‌پذیری CVE-۲۰۲۰-۵۹۰۲ در F۵ برای توزیع یک درب‌پشتی Linux استفاده کرده بودند. در نمونه‌ای دیگر مهاجمان از حفره‌ امنیتی Exchange برای توزیع China Chopper Webshell بهره برده‌اند.

به‌محض فراهم شدن دسترسی اولیه، مهاجمان اقدام به پویش سایر دستگاه‌ها برای گسترش دامنه آلودگی می‌کنند. در ادامه نیز با نصب Turian و توزیع مجموعه‌ای از ابزارها، فعالیت کاربران سیستم قربانی را تحت رصد قرار داده و در نهایت داده‌ها را سرقت می‌کنند.

در شکل زیر سناریوی فعالیت این بدافزار، از اکسپلویت آسیب‌پذیری و باگذاری WebShell گرفته تا ارتباط با C&C و پویش شبکه ارایه شده است.

فهرست ابزارهای مورداستفاده در جریان انتشار BackdoorDiplomacy به این شرح گزارش شده است:

• EarthWorm که یک تونل شبکه‌ای ساده مبتنی بر SOCKS v۵ است
• Mimikatz و نسخ مختلف ابزارهای مبتنی بر آن از جمله SafetyKatz
• Nbtscan که یک پویشگر خط فرمان NetBIOS برای Windows است
• NetCat که یک ابزار شبکه‌ای برای خواندن و نوشتن داده‌ها در بستر ارتباطات شبکه‌ای است
• PortQry که برای شناسایی دستگاه‌های آسیب‌پذیر به EternalBlue استفاده می‌شود

ضمن آنکه از ابزارهای مختلف ShadowBrokers شامل موارد زیر نیز بهره گرفته شده است:

• DoublePulsar
• EternalBlue
• EternalRocks
• EternalSynergy

همچنین مهاجمان از VMProtect برای مبهم‌سازی (Obfuscation) کدها و ابزارها استفاده کرده‌اند.

از دیگر فعالیت‌های مخرب BackdoorDiplomacy می‌توان به پویش حافظه‌های USB Flash متصل به دستگاه و در ادامه ارسال تمامی فایل‌های آن‌ها به سرور فرماندهی (C۲) در قالب یک فایل فشرده حاوی رمز عبور (Password-protected Archive) اشاره کرد.

اصلی‌ترین قابلیت Turian استخراج داده‌ها از روی دستگاه، تصویربرداری از فعالیت‌های کاربر و رونویسی، حذف/انتقال و سرقت فایل‌هاست.

بررسی‌ها نشان می‌دهد Turian بر پایه Quarian توسعه داده شده است. از Quarian در سال ۲۰۱۳ برای اجرای حمله سایبری بر ضد دیپلمات‌های سوری و آمریکایی استفاده شده بود.

روش رمزگذاری بکار گرفته شده توسط BackdoorDiplomacy بسیار مشابه با درب پشتی Whitebird است که گروه Calypso در سال‌های ۲۰۱۷ تا ۲۰۲۰ از آن برای حمله به دیپلمات‌های قزاقستان و قرقیزستان استفاده کرده بود. ضمن آن که شباهت‌هایی نیز با گروه CloudComputating/Platinum که حمله به دیپلماتها، دولت‌ها و سازمان‌های نظامی در آسیا را در کارنامه دارد مشاهده می‌شود. تشابهاتی نیز در سازوکار و کدنویسی گروه‌های Rehashed Rat و MirageFox/APT۱۵گزارش شده است.

به گفته ای‌ست، BackdoorDiplomacy، موفق به حمله به وزارت خارجه کشورهایی در آفریقا، آسیا و اروپا، چند شرکت فعال در حوزه مخابرات در آفریقا، خاورمیانه و یک نهاد خیریه در عربستان سعودی شده است.