بررسی و تحلیل جدیدترین حملات اجرا شده توسط گروه OilRig

از تاریخ 30 فروردین تا 4 اردیبهشت 1396 حملات سایبری گسترده‌ای بر ضد سازمان‌های متعدد رژیم صهیونیستی اجرا شدند. گزارش اولیه حمله، به زبان عبری در تاریخ 6 اردیبهشت ماه توسط “تیم آمادگی ملی رخدادهای امنیتی اسراییل” و شرکت Marker منتشر شد.

در گزارش‌ها، نفوذ به حساب کاربری ایمیل‌های دانشگاه Ben-Gurion اسراییل و استفاده از آنها برای انجام حملات سایبری در سراسر اسراییل تایید شده است. نکته حائز اهمیت اینکه دانشگاه Ben-Gurion یکی از اصلی‌ترین مراکز تحقیقات امنیت سایبری رژیم صهیونیستی محسوب می‌شود.

بررسی شواهد حاکی از اجرای حملات مذکور توسط گروه نفوذگر OilRig – که با نام‌های Helix Kitten،و Charming Kitten،و Newscaster و NewsBeef نیز شناخته می‌شود – می‌باشد. برخی کارشناسان معتقدند این گروه از نفوذگران ایرانی با منابع و زیرساخت‌های قابل توجه تشکیل شده است. “نهاد دفاع سایبری اسراییل” نیز مدعی است که منشاء حملات اخیر ایران بوده است.

در سال گذشته گروه نفوذگر OilRig بیش از 140 مؤسسه مالی در خاورمیانه را هدف قرار داده بود. بررسی‌ها نشان می‌دهند که جزئیات فنی حملات اخیر نسبت به سال قبل تغییر کرده است. به‌طور خاص، پیشرفت‌هایی در زمینه مکانیزم عدم شناسایی و پودمان‌های ارتباطی حاصل شده است.

در این حملات با بهره‌جویی از آسیب‌پذیری CVE-2017-0199 بدافزار پیشرفته Helminth بر روی دستگاه نصب می‌شده است. این آسیب‌پذیری مربوط به نرم‌افزارهای Office و WordPad است که شرکت مایکروسافت اصلاحیه آن را در 22 فرودین ماه 96 عرضه کرد.

توانایی گروه برای اجرای حملات در مدت زمان نسبتاً کوتاه نشانگر آن است که آنها به درستی میدانستند که میتوانند در بازه زمانی میان انتشار اصلاحیه تا نصب آن توسط سازمانهای هدف قرار گرفته شده به مقاصد خود برسند.

شرکت مهندسی شبکه گستر در گزارشی به بررسی و تحلیل ساختار و عملکرد این حملات پرداخته است. این گزارش در اینجا قابل دریافت و مطالعه است.