McAfee کشف کرد: حمله های سایبری که 5 سال ادامه داشت

شرکت McAfee با انتشار گزارشی پرده از یک سری حملات و نفوذهای برنامه‎ریزی و هماهنگ شده‎ای برداشت که در 14 کشور به اجرا در آمده و 72 موسسه و سازمان را هدف قرار داده است. این حملات از سال 2006 میلادی آغاز شده و در پنج سال گذشته ادامه داشته است.

به این سری از حملات کشف شده، عنوان Shady Rat داده شده است. RAT به معنی موش بوده و در ضمن مخفف اصطلاح Remote Access Tool نیز است. Shady RAT را می‎توان “موش مرموز” ترجمه کرد.

در گذشته نیز حملات مشابهی مانند Operation Aurora (حملات دولت چین به سایت Google) و Night Dragon (نفوذ و سرقت اطلاعات شرکت‎های نفت و گاز کشورهای غربی) بوده است. ولی هیچکدام مانند این حملات جدید، چندین سال طول نکشیده و ظرف حداکثر چند ماه به فعالیت خود پایان داده و یا کشف و شناسایی شده‎اند.

شرکت McAfee با دسترسی به یک سرور که مرکز کنترل و مدیریت این حملات بوده، موفق به کشف این عملیات مخرب شده است. جزئیات تمام عملیات در پنج سال گذشته، بر روی این سرور ثبت (Log) شده بود و کارشناسان McAfee توانسته‎اند با بررسی دقیق این اطلاعات، نوع حملات و اهداف مورد نظر را مشخص کنند.

حمله و نفوذ اولیه به اهداف مورد نظر با استفاده از نامه‎های الکترونیکی که حاوی پیوند (Link) و یا پیوست (Attachment) مخرب بوده‎اند، شروع شده است. این نامه‎ها به صورت انبوه ارسال نشده‎اند، بلکه ابتدا به طور دقیق افراد صاحب مقام و پست سازمانی مناسب شناسایی شده و اغلب فقط یک نامه که در ظاهر مرتبط با فعالیت آن فرد است، ارسال شده است. ظاهر و محتوای نامه نیز آنچنان فریبنده است که اغلب افراد دچار اشتباه شده و آن را واقعی می‎دانند. به این روش فریب دادن، Spear Phishing گفته می‏شود.

کلیک کردن بر روی پیوند و یا باز کردن فایل پیوست مخرب، می‎تواند باعث دریافت (Download) یک بدافزار (Malware) و نصب آن بر روی کامپیوتر قربانی شود. این بدافزار معمولاً اقدام به ایجاد یک درب مخفی (Back-Door) کرده و از این طریق یک کانال ارتباطی با سرور کنترل و مدیریت برقرار می‎کند.

از این کانال، علاوه بر ارسال دستورات بعدی، افراد نفوذگر دسترسی مستقیم به کامپیوتر قربانی و از آنجا به کل شبکه سازمانی پیدا می‎کنند. برای همین نیز، شناسایی افراد صاحب مقام در پست‎های مناسب جهت داشتن مجوزهای دسترسی گسترده به شبکه سازمانی، بسیار مهم است.

سازمان ها و موسساتی که در حملات Shady RAT مورد حمله قرار گرفته‎اند، کاملاً نشان می‎دهد که اهداف مالی مد نظر نبوده و هدف اصلی، بهره برداری سیاسی بوده که اغلب دولت‎ها به دنبال آن هستند.

جدول زیر تنوع موسسات و سازمان‎هایی را که مورد هدف قرار گرفته‎اند، نشان می‎دهد.

به عنوان مثال، قبل و بعد از برگزاری مسابقات المپیک سال 2008، حملات و عملیات نفوذی متعددی به شبکه‎های سازمانی کمیته المپیک آسیا، کمیته بین‎المللی المپیک و سازمان مبارزه با مواد نیروزا صورت گرفته است.

گردانندگان عملیات Shady RAT در سال 2009 میلادی، هنگامی که احساس کردند بدافزارهای مورد استفاده آنان ممکن است مورد شناسایی ابزارهای امنیتی (مانند ضدویروس‎ها) قرار گیرند، اقدام به تعویض آن کردند.

گزارش McAfee نشان می‎دهد که حملات صورت گرفته فقط بر علیه شرکت‎ها و سازمان‎های غربی و به ویژه آمریکایی نبوده و این حملات بر علیه موسساتی در کشورهای دیگر مانند کره جنوبی، تایوان و هند نیز صورت گرفته است. جدول زیر، فهرست کاملی از این کشورها را نشان می‏دهد.

اطلاعات به سرقت رفته نیز اغلب شامل اطلاعات دولتی کشورها، بایگانی نامه‎های الکترونیکی، برنامه (Source) انواع نرم‎افزارها، مناقصات دولتی به ویژه در زمینه نفت و گاز، قراردادهای شرکت‎ها و سازمان‎ها، تنظیمات صنعتی (نظیر سیستم‎های مدیریتی SCADA) و طراحی‎های صنعتی می‎شود.

شرکت McAfee در گزارش خود هیچ اشاره‎ای به منبع حملات Shady RAT نکرده و نام هیچ دولتی را به عنوان حامی این عملیات مطرح نکرده است.

گزارش کامل McAfee درباره حملات Shady RAT را می‎توانید از نشانی زیر دریافت و مطالعه کنید.

www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf