کد خبر: ۴۱۴

گروه هکری منتسب به ایران چگونه سازمان‌های اسرائیلی را هدف قرار داد؟

هکرهای ایرانی

پژوهشگران امنیتی شرکت check point یک بدافزار ماژولار و قابل تطبیق به نام Cavern Manticore را شناسایی کرده‌اند که در حملات سایبری منتسب به ایران علیه سازمان‌های حساس در اسرائیل مورد استفاده قرار گرفته است. این چارچوب فرماندهی و کنترل پیشرفته، به مهاجمان امکان می‌دهد پس از نفوذ، ابزارهای خود را متناسب با محیط قربانی تغییر دهند و دسترسی خود را در شبکه‌های آلوده گسترش دهند.

مهسا طاعتی
خبرنگار:
مهسا طاعتی

بر اساس گزارش تازه شرکت امنیت سایبری Check Point، یک گروه تهدید پیشرفته و پایدار (APT) منتسب به ایران در حملات اخیر خود علیه سازمان‌های اسرائیلی از یک چارچوب ماژولار فرماندهی و کنترل (C2) استفاده کرده است؛ زیرساختی که به مهاجمان اجازه می‌دهد ابزارهای موردنیاز خود را متناسب با هر قربانی مستقر کرده و شناسایی فعالیت‌هایشان را دشوارتر کنند.

این گروه که با نام Cavern Manticore ردیابی می‌شود، سازمان‌های دولتی و شرکت‌های ارائه‌دهنده خدمات فناوری اطلاعات در اسرائیل را هدف قرار داده است. به گفته محققان Check Point، شواهد موجود احتمال ارتباط این گروه با وزارت اطلاعات و امنیت ایران را مطرح می‌کند. همچنین احتمال می‌رود Cavern Manticore با زیرگروه Lyceum از مجموعه OilRig که با نام‌های Hexane و Siamesekitten نیز شناخته می‌شود، ارتباط داشته باشد.

چارچوبی ماژولار برای دور زدن تحلیل‌های امنیتی

طبق بررسی‌های Check Point، چارچوب فرماندهی و کنترل Cavern Manticore از مجموعه‌ای از ابزارهای ماژولار مبتنی بر .NET تشکیل شده است. این ابزارها با قالب‌های کامپایل متفاوت توسعه یافته‌اند؛ رویکردی که به‌جای استفاده از روش‌های متداول مخفی‌سازی، نقش یک لایه ضدتحلیل را ایفا می‌کند.

محققان می‌گویند این چارچوب برخلاف بسیاری از بدافزارهای پیشرفته، از بسته‌سازها (Packer)، تکنیک‌های تخت‌سازی جریان کنترل (Control-flow Flattening) یا رمزگذاری رشته‌ها استفاده نمی‌کند. در عوض، تفاوت در قالب‌های کامپایل باعث می‌شود تحلیل هر بخش به ابزارها و روش‌های متفاوتی نیاز داشته باشد و فرآیند مهندسی معکوس برای پژوهشگران امنیتی پیچیده‌تر شود.

بدافزار چگونه در شبکه قربانی اجرا می‌شود؟

در این حملات، بدافزار به‌صورت مجموعه‌ای از عامل‌ها (Agents) و ماژول‌های مستقل عمل می‌کند. این معماری، قابلیت‌های ارتباطی را از ابزارهای پس از نفوذ جدا می‌کند و به مهاجمان اجازه می‌دهد متناسب با شرایط هر شبکه، ماژول‌های موردنیاز را بارگذاری کرده و دامنه دسترسی خود را گسترش دهند.

بر اساس گزارش Check Point، زنجیره آلودگی با سوءاستفاده از قابلیت به‌روزرسانی نرم‌افزار SysAid آغاز می‌شود. مهاجمان از این مسیر برای بارگذاری جانبی (DLL Side-Loading) یک فایل DLL متعلق به WinDirStat استفاده می‌کنند؛ اقدامی که در نهایت به اجرای عامل اصلی Cavern روی سیستم قربانی منجر می‌شود.

قابلیت‌های پیشرفته پس از نفوذ

پس از برقراری ارتباط با سرور فرماندهی و کنترل، عامل اصلی بر اساس دستورات اپراتور، ماژول‌های اضافی را دریافت و اجرا می‌کند.

این ماژول‌ها قابلیت‌هایی مانند مدیریت فایل‌ها، شناسایی و دستکاری پایگاه‌های داده، حملات Brute-force علیه سرویس‌های LDAP و SMB، شناسایی شبکه، راه‌اندازی پروکسی SOCKS5 و ایجاد تونل‌های ارتباطی مبتنی بر WebSocket/WSS را در اختیار مهاجمان قرار می‌دهند.

عامل بدافزار همچنین هر ماژول را در یک AppDomain مجزا اجرا می‌کند. پس از پایان اجرای ماژول، محیط مربوطه حذف شده و آثار آن از حافظه پاک می‌شود تا امکان تحلیل نمونه‌های اجرایی کاهش یابد.

علاوه بر این، بدافزار بیشتر فایل‌ها و زیرشاخه‌های موجود در پوشه کاری را حذف می‌کند و تنها فایل‌های ضروری مانند ماژول ارتباطی، فایل پیکربندی و گزارش‌ها را نگه می‌دارد؛ اقدامی که ردپای مهاجمان را محدودتر می‌کند.

آیا هوش مصنوعی در توسعه این بدافزار نقش داشته است؟

یکی از نکات قابل توجه در گزارش Check Point، احتمال استفاده از هوش مصنوعی در توسعه چارچوب Cavern است. به اعتقاد محققان، بخشی از کدهای این بدافزار شباهت‌هایی با خروجی مدل‌های تولیدکننده کد دارند.

با این حال، وجود توضیحات انسانی در کد، اشتباهات تایپی، نام‌گذاری‌های غیراستاندارد و تفاوت‌های ساختاری میان ماژول‌ها نشان می‌دهد توسعه این چارچوب صرفاً توسط هوش مصنوعی انجام نشده و برنامه‌نویسان انسانی نقش مهمی در طراحی و تکمیل آن داشته‌اند.

حملات زنجیره تأمین علیه سازمان‌های اسرائیلی

گزارش Check Point نشان می‌دهد Cavern Manticore در جریان نفوذ به اهداف اسرائیلی از ابزارهای مدیریت و نظارت از راه دور (RMM) برای حرکت جانبی در شبکه استفاده کرده است. مهاجمان همچنین با بهره‌گیری از فناوری‌های دسکتاپ از راه دور مبتنی بر مرورگر، به سیستم‌های قربانیان دسترسی پیدا کرده و حتی از قابلیت‌هایی مانند چاپ از راه دور برای انتقال اطلاعات استفاده کرده‌اند.

به گفته این شرکت، بررسی‌ها نشان می‌دهد مهاجمان شناخت دقیقی از زنجیره تأمین شرکت‌های فناوری اطلاعات در اسرائیل داشته‌اند. در برخی حملات، ابتدا یک ارائه‌دهنده خدمات فناوری اطلاعات هدف قرار گرفته، سپس مهاجمان از همان مسیر به شرکت ارائه‌دهنده دیگری نفوذ کرده و در نهایت به سازمان اصلی مورد نظر خود رسیده‌اند؛ رویکردی که پیچیدگی عملیات را به‌طور قابل توجهی افزایش داده است.

افزایش حملات سایبری منتسب به ایران

انتشار این گزارش هم‌زمان با اظهارات یکی از مقام‌های ارشد امنیتی اسرائیل درباره افزایش حملات سایبری منتسب به ایران صورت گرفته است. به گفته یوسی کارادی، تنها در ماه ژوئن سال جاری حدود ۴۸۰۰ حمله سایبری منتسب به ایران علیه اهداف اسرائیلی ثبت شده است.

وی اعلام کرده است که برخی از این گروه‌های هکری از توان فنی بالایی برخوردار هستند و اگرچه اسرائیل توانایی مقابله با آن‌ها را دارد، اما این تهدیدها باید جدی گرفته شوند.

در مقابل، ایران تاکنون واکنشی رسمی به گزارش‌های منتشرشده درباره این حملات نشان نداده و در موارد مشابه نیز معمولاً هرگونه دخالت در عملیات سایبری علیه سایر کشورها، به‌ویژه اسرائیل، را رد کرده است.

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث