رد پای نفوذگران Cicada در عملیات گسترده جاسوسی

رد پای یک گروه نفوذگر چینی که تاکنون تنها بر روی افراد و سازمانهای ژاپنی تمرکز داشته در یک کارزار قدیمی جاسوسی که اکنون قربانیان جدیدی را هدف قرار داده است، شناسایی شده که نشان دهنده گسترش دامنه فعالیت این گروه است.

این حملات گسترده که گمان می‌رود در تابستان سال گذشته آغاز شده و تا اواخر سال نیز ادامه داشته، به گروهی به نام Cicada مرتبط است که در زمینه “تهدیدات مستمر و پیشرفته” (Advanced Persistent Threat – به اختصار APT) فعالیت می‌کند و با نام‌های APT10 ،Stone Panda ،Potassium ،Bronze Riverside یا MenuPass Team نیز شناخته می‌شود.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده کارزار مذکور مورد بررسی قرار گرفته است.

گروه امنیتی سیمانتک، بخشی از شرکت برودکام (Broadcom Corporation) در گزارشی اعلام نمود که قربانیان کارزار Cicada، سازمان‌های دولتی، حقوقی، مذهبی و مردم‌نهاد در کشورهای مختلفی از سراسر جهان از جمله در اروپا، آسیا و آمریکای شمالی می‌باشند.

تمرکز عمده مهاجمان بر بخش‌های دولتی، سازمان‌های غیردولتی مردم‌نهاد و به خصوص آنهایی که در زمینه‌های مذهبی و آموزشی فعالیت می‌کنند، بوده است. اکثر سازمان‌های مورد هدف در ایالات متحده، کانادا، هنگ‌کنگ، ترکیه، سرزمین اشغالی فلسطین، هند، مونته‌نگرو، ایتالیا و یک مورد نیز در ژاپن مستقر بودند و مهاجم در برخی موارد به مدت 9 ماه در شبکه‌های سازمانی برخی از این قربانیان فعال بوده است.

در بخش‌های مخابراتی، حقوقی و دارویی نیز قربانیانی وجود داشته اما به نظر می‌رسد سازمان‌های دولتی و غیرانتفاعی محور اصلی کارزار مذکور بوده‌اند.

یکسال قبل، در فروردین 1400، محققان شرکت کسپرسکی (.Kaspersky, Lab) یک عملیات جاسوسی اطلاعات را که نصب ابزارهای جمع‌آوری اطلاعات از تعدادی از بخش‌های صنعتی در ژاپن توسط این گروه در حال انجام بود، شناسایی کردند.

در اوایل بهمن 1400 نیز مهاجمان Cicada در یک حمله زنجیره تامین (Supply Chain) سازمان‌یافته با هدف سرقت اطلاعات حساس از سیستم‌های آسیب‌‌پذیر در بخش مالی تایوان دست داشتند.

محققان سیمانتک با مشاهده و بررسی مجموعه حملات جدید، پی بردند که دسترسی اولیه مهاجمان از طریق یک آسیب‌پذیری شناخته شده ولی ترمیم نشده در سرورهای Microsoft Exchange شروع می‌شود و با سوءاستفاده از این ضعف امنیتی، دسترسی غیرمجاز (Backdoor) انتخابی خود، از نوع SodaMaster را ایجاد می‌کنند.

محققان در ادامه عنوان نمودند که موفق نشدند در این حملات یک آسیب‌پذیری خاص را که مهاجمان از آن بهره‌جویی کرده‌اند، شناسایی کنند، به عنوان مثال نمی‌توان به طور قطعی گفت که آنها از ProxyShell یا ProxyLogon استفاده کرده‌اند.

SodaMaster یک تروجان (Trojan) دسترسی از راه دور و مبتنی بر Windows است که دارای قابلیت‌هایی جهت تسهیل فراخوانی کدهای مخرب و استخراج و تبادل اطلاعات با سرور کنترل و فرمان‌دهی (Command and Control – به اختصار C2) خود می‌باشد.

سایر ابزارهایی که در عملیات نفوذ از آنها استفاده می‌شود عبارتند از ابزار استخراج رمزهای عبور و اطلاعات اصالت‌سنجی به نام Mimikatz، یک پویشگر خط فرمان برای شناسایی سیستم‌های آسیب‌پذیر به نام NBTScan، ابزار WMIExec برای اجرای فرامین از راه دور و VLC Media Player برای اجرای یک بارگذاری کننده (Loader) سفارشی بر روی دستگاه آلوده.

با بررسی قربانیان حملات اخیر در بخش‌های مختلف، به نظر می‌رسد که مهاجمان این کارزار اکنون به اهداف متنوع‌تری علاقه‌مند شده‌اند. نوع سازمان‌هایی که مورد هدف قرار گرفته‌ شده‌اند – سازمان‌های غیرانتفاعی و دولتی، از جمله سازمان‌هایی که در فعالیت‌های مذهبی و آموزشی مشارکت دارند – به احتمال زیاد به منظور جاسوسی مهاجمان Cicada مورد نظر قرار گرفته‌اند. همچنین فعالیت های مخربی که بر روی دستگاههای این قربانیان مشاهده شده و با در نظر گرفتن فعالیت‌های این گروه در گذشته، همه نشان می‎دهند که جاسوسی، انگیزه و هدف اصلی است.

منبع:

https://thehackernews.com/2022/04/researchers-trace-widespread-espionage.html?_m=3n%2e009a%2e2710%2exr0ao0bctg%2e1q9a