شرکت McAfee با انتشار گزارشی پرده از یک سری حملات و نفوذهای برنامهریزی و هماهنگ شدهای برداشت که در 14 کشور به اجرا در آمده و 72 موسسه و سازمان را هدف قرار داده است. این حملات از سال 2006 میلادی آغاز شده و در پنج سال گذشته ادامه داشته است.
به این سری از حملات کشف شده، عنوان Shady Rat داده شده است. RAT به معنی موش بوده و در ضمن مخفف اصطلاح Remote Access Tool نیز است. Shady RAT را میتوان “موش مرموز” ترجمه کرد.
در گذشته نیز حملات مشابهی مانند Operation Aurora (حملات دولت چین به سایت Google) و Night Dragon (نفوذ و سرقت اطلاعات شرکتهای نفت و گاز کشورهای غربی) بوده است. ولی هیچکدام مانند این حملات جدید، چندین سال طول نکشیده و ظرف حداکثر چند ماه به فعالیت خود پایان داده و یا کشف و شناسایی شدهاند.
شرکت McAfee با دسترسی به یک سرور که مرکز کنترل و مدیریت این حملات بوده، موفق به کشف این عملیات مخرب شده است. جزئیات تمام عملیات در پنج سال گذشته، بر روی این سرور ثبت (Log) شده بود و کارشناسان McAfee توانستهاند با بررسی دقیق این اطلاعات، نوع حملات و اهداف مورد نظر را مشخص کنند.
حمله و نفوذ اولیه به اهداف مورد نظر با استفاده از نامههای الکترونیکی که حاوی پیوند (Link) و یا پیوست (Attachment) مخرب بودهاند، شروع شده است. این نامهها به صورت انبوه ارسال نشدهاند، بلکه ابتدا به طور دقیق افراد صاحب مقام و پست سازمانی مناسب شناسایی شده و اغلب فقط یک نامه که در ظاهر مرتبط با فعالیت آن فرد است، ارسال شده است. ظاهر و محتوای نامه نیز آنچنان فریبنده است که اغلب افراد دچار اشتباه شده و آن را واقعی میدانند. به این روش فریب دادن، Spear Phishing گفته میشود.
کلیک کردن بر روی پیوند و یا باز کردن فایل پیوست مخرب، میتواند باعث دریافت (Download) یک بدافزار (Malware) و نصب آن بر روی کامپیوتر قربانی شود. این بدافزار معمولاً اقدام به ایجاد یک درب مخفی (Back-Door) کرده و از این طریق یک کانال ارتباطی با سرور کنترل و مدیریت برقرار میکند.
از این کانال، علاوه بر ارسال دستورات بعدی، افراد نفوذگر دسترسی مستقیم به کامپیوتر قربانی و از آنجا به کل شبکه سازمانی پیدا میکنند. برای همین نیز، شناسایی افراد صاحب مقام در پستهای مناسب جهت داشتن مجوزهای دسترسی گسترده به شبکه سازمانی، بسیار مهم است.
سازمان ها و موسساتی که در حملات Shady RAT مورد حمله قرار گرفتهاند، کاملاً نشان میدهد که اهداف مالی مد نظر نبوده و هدف اصلی، بهره برداری سیاسی بوده که اغلب دولتها به دنبال آن هستند.
جدول زیر تنوع موسسات و سازمانهایی را که مورد هدف قرار گرفتهاند، نشان میدهد.
به عنوان مثال، قبل و بعد از برگزاری مسابقات المپیک سال 2008، حملات و عملیات نفوذی متعددی به شبکههای سازمانی کمیته المپیک آسیا، کمیته بینالمللی المپیک و سازمان مبارزه با مواد نیروزا صورت گرفته است.
گردانندگان عملیات Shady RAT در سال 2009 میلادی، هنگامی که احساس کردند بدافزارهای مورد استفاده آنان ممکن است مورد شناسایی ابزارهای امنیتی (مانند ضدویروسها) قرار گیرند، اقدام به تعویض آن کردند.
گزارش McAfee نشان میدهد که حملات صورت گرفته فقط بر علیه شرکتها و سازمانهای غربی و به ویژه آمریکایی نبوده و این حملات بر علیه موسساتی در کشورهای دیگر مانند کره جنوبی، تایوان و هند نیز صورت گرفته است. جدول زیر، فهرست کاملی از این کشورها را نشان میدهد.
اطلاعات به سرقت رفته نیز اغلب شامل اطلاعات دولتی کشورها، بایگانی نامههای الکترونیکی، برنامه (Source) انواع نرمافزارها، مناقصات دولتی به ویژه در زمینه نفت و گاز، قراردادهای شرکتها و سازمانها، تنظیمات صنعتی (نظیر سیستمهای مدیریتی SCADA) و طراحیهای صنعتی میشود.
شرکت McAfee در گزارش خود هیچ اشارهای به منبع حملات Shady RAT نکرده و نام هیچ دولتی را به عنوان حامی این عملیات مطرح نکرده است.
گزارش کامل McAfee درباره حملات Shady RAT را میتوانید از نشانی زیر دریافت و مطالعه کنید.
www.mcafee.com/us/resources/white-papers/wp-operation-shady-rat.pdf