گروه هکری منتسب به ایران چگونه سازمانهای اسرائیلی را هدف قرار داد؟
پژوهشگران امنیتی شرکت check point یک بدافزار ماژولار و قابل تطبیق به نام Cavern Manticore را شناسایی کردهاند که در حملات سایبری منتسب به ایران علیه سازمانهای حساس در اسرائیل مورد استفاده قرار گرفته است. این چارچوب فرماندهی و کنترل پیشرفته، به مهاجمان امکان میدهد پس از نفوذ، ابزارهای خود را متناسب با محیط قربانی تغییر دهند و دسترسی خود را در شبکههای آلوده گسترش دهند.
بر اساس گزارش تازه شرکت امنیت سایبری Check Point، یک گروه تهدید پیشرفته و پایدار (APT) منتسب به ایران در حملات اخیر خود علیه سازمانهای اسرائیلی از یک چارچوب ماژولار فرماندهی و کنترل (C2) استفاده کرده است؛ زیرساختی که به مهاجمان اجازه میدهد ابزارهای موردنیاز خود را متناسب با هر قربانی مستقر کرده و شناسایی فعالیتهایشان را دشوارتر کنند.
این گروه که با نام Cavern Manticore ردیابی میشود، سازمانهای دولتی و شرکتهای ارائهدهنده خدمات فناوری اطلاعات در اسرائیل را هدف قرار داده است. به گفته محققان Check Point، شواهد موجود احتمال ارتباط این گروه با وزارت اطلاعات و امنیت ایران را مطرح میکند. همچنین احتمال میرود Cavern Manticore با زیرگروه Lyceum از مجموعه OilRig که با نامهای Hexane و Siamesekitten نیز شناخته میشود، ارتباط داشته باشد.
چارچوبی ماژولار برای دور زدن تحلیلهای امنیتی
طبق بررسیهای Check Point، چارچوب فرماندهی و کنترل Cavern Manticore از مجموعهای از ابزارهای ماژولار مبتنی بر .NET تشکیل شده است. این ابزارها با قالبهای کامپایل متفاوت توسعه یافتهاند؛ رویکردی که بهجای استفاده از روشهای متداول مخفیسازی، نقش یک لایه ضدتحلیل را ایفا میکند.
محققان میگویند این چارچوب برخلاف بسیاری از بدافزارهای پیشرفته، از بستهسازها (Packer)، تکنیکهای تختسازی جریان کنترل (Control-flow Flattening) یا رمزگذاری رشتهها استفاده نمیکند. در عوض، تفاوت در قالبهای کامپایل باعث میشود تحلیل هر بخش به ابزارها و روشهای متفاوتی نیاز داشته باشد و فرآیند مهندسی معکوس برای پژوهشگران امنیتی پیچیدهتر شود.
بدافزار چگونه در شبکه قربانی اجرا میشود؟
در این حملات، بدافزار بهصورت مجموعهای از عاملها (Agents) و ماژولهای مستقل عمل میکند. این معماری، قابلیتهای ارتباطی را از ابزارهای پس از نفوذ جدا میکند و به مهاجمان اجازه میدهد متناسب با شرایط هر شبکه، ماژولهای موردنیاز را بارگذاری کرده و دامنه دسترسی خود را گسترش دهند.
بر اساس گزارش Check Point، زنجیره آلودگی با سوءاستفاده از قابلیت بهروزرسانی نرمافزار SysAid آغاز میشود. مهاجمان از این مسیر برای بارگذاری جانبی (DLL Side-Loading) یک فایل DLL متعلق به WinDirStat استفاده میکنند؛ اقدامی که در نهایت به اجرای عامل اصلی Cavern روی سیستم قربانی منجر میشود.
قابلیتهای پیشرفته پس از نفوذ
پس از برقراری ارتباط با سرور فرماندهی و کنترل، عامل اصلی بر اساس دستورات اپراتور، ماژولهای اضافی را دریافت و اجرا میکند.
این ماژولها قابلیتهایی مانند مدیریت فایلها، شناسایی و دستکاری پایگاههای داده، حملات Brute-force علیه سرویسهای LDAP و SMB، شناسایی شبکه، راهاندازی پروکسی SOCKS5 و ایجاد تونلهای ارتباطی مبتنی بر WebSocket/WSS را در اختیار مهاجمان قرار میدهند.
عامل بدافزار همچنین هر ماژول را در یک AppDomain مجزا اجرا میکند. پس از پایان اجرای ماژول، محیط مربوطه حذف شده و آثار آن از حافظه پاک میشود تا امکان تحلیل نمونههای اجرایی کاهش یابد.
علاوه بر این، بدافزار بیشتر فایلها و زیرشاخههای موجود در پوشه کاری را حذف میکند و تنها فایلهای ضروری مانند ماژول ارتباطی، فایل پیکربندی و گزارشها را نگه میدارد؛ اقدامی که ردپای مهاجمان را محدودتر میکند.
آیا هوش مصنوعی در توسعه این بدافزار نقش داشته است؟
یکی از نکات قابل توجه در گزارش Check Point، احتمال استفاده از هوش مصنوعی در توسعه چارچوب Cavern است. به اعتقاد محققان، بخشی از کدهای این بدافزار شباهتهایی با خروجی مدلهای تولیدکننده کد دارند.
با این حال، وجود توضیحات انسانی در کد، اشتباهات تایپی، نامگذاریهای غیراستاندارد و تفاوتهای ساختاری میان ماژولها نشان میدهد توسعه این چارچوب صرفاً توسط هوش مصنوعی انجام نشده و برنامهنویسان انسانی نقش مهمی در طراحی و تکمیل آن داشتهاند.
حملات زنجیره تأمین علیه سازمانهای اسرائیلی
گزارش Check Point نشان میدهد Cavern Manticore در جریان نفوذ به اهداف اسرائیلی از ابزارهای مدیریت و نظارت از راه دور (RMM) برای حرکت جانبی در شبکه استفاده کرده است. مهاجمان همچنین با بهرهگیری از فناوریهای دسکتاپ از راه دور مبتنی بر مرورگر، به سیستمهای قربانیان دسترسی پیدا کرده و حتی از قابلیتهایی مانند چاپ از راه دور برای انتقال اطلاعات استفاده کردهاند.
به گفته این شرکت، بررسیها نشان میدهد مهاجمان شناخت دقیقی از زنجیره تأمین شرکتهای فناوری اطلاعات در اسرائیل داشتهاند. در برخی حملات، ابتدا یک ارائهدهنده خدمات فناوری اطلاعات هدف قرار گرفته، سپس مهاجمان از همان مسیر به شرکت ارائهدهنده دیگری نفوذ کرده و در نهایت به سازمان اصلی مورد نظر خود رسیدهاند؛ رویکردی که پیچیدگی عملیات را بهطور قابل توجهی افزایش داده است.
افزایش حملات سایبری منتسب به ایران
انتشار این گزارش همزمان با اظهارات یکی از مقامهای ارشد امنیتی اسرائیل درباره افزایش حملات سایبری منتسب به ایران صورت گرفته است. به گفته یوسی کارادی، تنها در ماه ژوئن سال جاری حدود ۴۸۰۰ حمله سایبری منتسب به ایران علیه اهداف اسرائیلی ثبت شده است.
وی اعلام کرده است که برخی از این گروههای هکری از توان فنی بالایی برخوردار هستند و اگرچه اسرائیل توانایی مقابله با آنها را دارد، اما این تهدیدها باید جدی گرفته شوند.
در مقابل، ایران تاکنون واکنشی رسمی به گزارشهای منتشرشده درباره این حملات نشان نداده و در موارد مشابه نیز معمولاً هرگونه دخالت در عملیات سایبری علیه سایر کشورها، بهویژه اسرائیل، را رد کرده است.