روش جدید هکرها برای حمله به زیرساخت‌های بین‌المللی

به گزارش اقتصاد نیوز به نقل از دیجیاتو، بر اساس گزارش کسپرسکی و به نقل از ars TECHNICA مهاجمان در روش جدید ابتدا با ایمیل قربانی را هدف قرار می‌دهند. هر ایمیل برای هر هدف متفاوت است و به طور ویژه شخصی سازی شده است؛ به گونه ای که زبان ایمیل با زبان سیستم عامل مورد استفاده قربانی، یکسان در نظر گرفته می‌شود. به عنوان مثال کاربری که در ژاپن قرار دارد ایمیلی با محتوای نوشتار ژاپنی را دریافت می‌کند.

هکرها یک فایل سند آفیس مایکروسافت را به ایمیل پیوست می‌کنند که حاوی کدهای ماکرو آلوده به زبان محلی (مثلا ژاپنی) است. علاوه بر این به یک ماژول بدافزار رمزنگاری شده احتیاج دارند که تنها در سیستم عامل با زبان محلی قربانی قابل رمز گشایی است. زمانی که قربانی فایل پیوست شده به ایمیل را باز می‌کند ظاهرا هیچ اتفاق ناخوشایندی نمی‌افتد اما در پشت پرده اسکریپت پاورشل حاوی کدهای ماکرو شروع به اجرا شدن می‌کنند. از آنجایی که دستورات اجرا شده حاوی کدهایی برای گذر از سیاست‌های امنیتی سازمانی، مخفی کردن پنجره پاورشل ویندوز و بی نیاز از پیکربندی نهایی اجرا توسط کاربر هستند،‌ هیچ نشانه‌ای از اجرا شدن کدها روی کامپیوتر قربانی دیده نمی‌شود.

در نهایت اسکریپت مورد بحث عکسی را از وبسایت‌های قانونی imgur.com و imgbox.com دانلود می‌کند که با استفاده از متد استیگانوگرافی یا پنهان‌نگاری در پیکسل‌های آن اطلاعات مرتبط با کدهای آلوده مخفی شده‌اند. داده‌های مخرب همچنین در ابتدا توسط الگوریتم Base64،‌ سپس با کلید RSA و در نهایت مجددا با الگوریتم Base64 رمزنگاری شده‌اند. هکرها در یک حرکت هوشمندانه داخل کدهای اسکریپت را با خطاهایی به زبان محلی پر کرده‌اند تا تشخیص منبع آن مشکل‌تر شود. علاوه بر این پیام‌های خطا حاوی کلید رمزگشایی بدافزار نیز هستند.

به دنبال استخراج داده‌ها از تصویر آلوده، یک بار دیگر اسکریپتی در پاورشل ویندوز اجرا شده و داده‌های رمزنگاری شده دیگری (با الگوریتم Base64) استخراج می‌شوند. در انتها و در خفا،‌ برای بار سوم اسکریپت پاورشل دیگری حاوی بدافزار Mimikatz اجرا می‌شود که به طور ویژه برای سرقت گواهینامه‌های حساب‌های کاربری ویندوز و نیز دسترسی به منابع مختلف در شبکه طراحی شده است. به این ترتیب هکرها می‌توانند به تمامی نودهای شبکه دسترسی داشته باشند.

به گفته کسپرسکی تکنیک‌های فوق و نیز ماهیت آلودگی‌ها نشان می‌دهد که این حملات هدفمند بوده‌اند و احتمال می‌رود پیمانکاران و شرکت‌های صنعتی هدف هکرها بوده باشند. این شرکت همچنین افزوده که حملات علیه هدف‌هایی در ایتالیا، آلمان و بریتانیا انجام شده‌اند.

در صورتی که هکرها موفق به سرقت گواهینامه‌های کامپیوترهای قربانی شده باشند توانایی انجام فعالیت‌های متعددی از جمله سرقت داده‌های حساس یا حتی کنترل از راه دور تجهیزات صنعتی را خواهند داشت. کسپرکسی مدعی است این گونه حملات را قبل از این که بیش از این پیشرفت کند متوقف کرده، با این حال هنوز هدف نهایی هکرها مشخص نیست.