رد پای نفوذگران Cicada در عملیات گسترده جاسوسی
رد پای یک گروه نفوذگر چینی که تاکنون تنها بر روی افراد و سازمانهای ژاپنی تمرکز داشته در یک کارزار قدیمی جاسوسی که اکنون قربانیان جدیدی را هدف قرار داده است، شناسایی شده که نشان دهنده گسترش دامنه فعالیت این گروه است.
این حملات گسترده که گمان میرود در تابستان سال گذشته آغاز شده و تا اواخر سال نیز ادامه داشته، به گروهی به نام Cicada مرتبط است که در زمینه “تهدیدات مستمر و پیشرفته” (Advanced Persistent Threat – به اختصار APT) فعالیت میکند و با نامهای APT10 ،Stone Panda ،Potassium ،Bronze Riverside یا MenuPass Team نیز شناخته میشود.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده کارزار مذکور مورد بررسی قرار گرفته است.
گروه امنیتی سیمانتک، بخشی از شرکت برودکام (Broadcom Corporation) در گزارشی اعلام نمود که قربانیان کارزار Cicada، سازمانهای دولتی، حقوقی، مذهبی و مردمنهاد در کشورهای مختلفی از سراسر جهان از جمله در اروپا، آسیا و آمریکای شمالی میباشند.
تمرکز عمده مهاجمان بر بخشهای دولتی، سازمانهای غیردولتی مردمنهاد و به خصوص آنهایی که در زمینههای مذهبی و آموزشی فعالیت میکنند، بوده است. اکثر سازمانهای مورد هدف در ایالات متحده، کانادا، هنگکنگ، ترکیه، سرزمین اشغالی فلسطین، هند، مونتهنگرو، ایتالیا و یک مورد نیز در ژاپن مستقر بودند و مهاجم در برخی موارد به مدت 9 ماه در شبکههای سازمانی برخی از این قربانیان فعال بوده است.
در بخشهای مخابراتی، حقوقی و دارویی نیز قربانیانی وجود داشته اما به نظر میرسد سازمانهای دولتی و غیرانتفاعی محور اصلی کارزار مذکور بودهاند.
یکسال قبل، در فروردین 1400، محققان شرکت کسپرسکی (.Kaspersky, Lab) یک عملیات جاسوسی اطلاعات را که نصب ابزارهای جمعآوری اطلاعات از تعدادی از بخشهای صنعتی در ژاپن توسط این گروه در حال انجام بود، شناسایی کردند.
در اوایل بهمن 1400 نیز مهاجمان Cicada در یک حمله زنجیره تامین (Supply Chain) سازمانیافته با هدف سرقت اطلاعات حساس از سیستمهای آسیبپذیر در بخش مالی تایوان دست داشتند.
محققان سیمانتک با مشاهده و بررسی مجموعه حملات جدید، پی بردند که دسترسی اولیه مهاجمان از طریق یک آسیبپذیری شناخته شده ولی ترمیم نشده در سرورهای Microsoft Exchange شروع میشود و با سوءاستفاده از این ضعف امنیتی، دسترسی غیرمجاز (Backdoor) انتخابی خود، از نوع SodaMaster را ایجاد میکنند.
محققان در ادامه عنوان نمودند که موفق نشدند در این حملات یک آسیبپذیری خاص را که مهاجمان از آن بهرهجویی کردهاند، شناسایی کنند، به عنوان مثال نمیتوان به طور قطعی گفت که آنها از ProxyShell یا ProxyLogon استفاده کردهاند.
SodaMaster یک تروجان (Trojan) دسترسی از راه دور و مبتنی بر Windows است که دارای قابلیتهایی جهت تسهیل فراخوانی کدهای مخرب و استخراج و تبادل اطلاعات با سرور کنترل و فرماندهی (Command and Control – به اختصار C2) خود میباشد.
سایر ابزارهایی که در عملیات نفوذ از آنها استفاده میشود عبارتند از ابزار استخراج رمزهای عبور و اطلاعات اصالتسنجی به نام Mimikatz، یک پویشگر خط فرمان برای شناسایی سیستمهای آسیبپذیر به نام NBTScan، ابزار WMIExec برای اجرای فرامین از راه دور و VLC Media Player برای اجرای یک بارگذاری کننده (Loader) سفارشی بر روی دستگاه آلوده.
با بررسی قربانیان حملات اخیر در بخشهای مختلف، به نظر میرسد که مهاجمان این کارزار اکنون به اهداف متنوعتری علاقهمند شدهاند. نوع سازمانهایی که مورد هدف قرار گرفته شدهاند – سازمانهای غیرانتفاعی و دولتی، از جمله سازمانهایی که در فعالیتهای مذهبی و آموزشی مشارکت دارند – به احتمال زیاد به منظور جاسوسی مهاجمان Cicada مورد نظر قرار گرفتهاند. همچنین فعالیت های مخربی که بر روی دستگاههای این قربانیان مشاهده شده و با در نظر گرفتن فعالیتهای این گروه در گذشته، همه نشان میدهند که جاسوسی، انگیزه و هدف اصلی است.
منبع:
