دیپلماتها؛ هدف مهاجمان سایبری
دیپلماتها همواره هدف ثابتی برای هکرهای دولتی معروف به APT هستند و بررسیهای امنیتی نشان میدهد گروهی از این هکرها حداقل از سال 2017 دیپلماتها را در نقاط مختلف جهان از جمله کشورهایی در آفریقا و خاورمیانه هدف قرارداده است.
به گزارش ایلنا و به نقل از مدیریت راهبردی افتا؛ این گروه که از آن با عنوان BackdoorDiplomacy یاد شده، از بدافزاری سفارشی با نام Turian برای آلودهسازی اهداف خود بهره گرفته است.
به گفته شرکت امنیتی ایست، گروه BackdoorDiplomacy، موفق به حمله به وزارت خارجه کشورهایی در آفریقا، آسیا و اروپا، چند شرکت فعال در حوزه مخابرات در آفریقا، خاورمیانه و یک نهاد خیریه در عربستان سعودی شده است.
به نظر میرسد اصلیترین روش نفوذ اولیه BackdoorDiplomacyاین گروه هکری، ، در هر دو بستر Windows و Linux، سوءاستفاده از آسیبپذیری سرویسهای قابلدسترس بر روی اینترنت است.
چنانچه سرورهای وب یا واسطهای مدیریتِ شبکهِ قربانی به دلیل وجود ضعف نرمافزاری یا عدم مقاومسازی صحیح، آسیبپذیر باشند، مهاجمان سایبری به آنها حمله میکنند.
بهمحض فراهم شدن دسترسی اولیه، مهاجمان سایبری به پویش سایر دستگاهها برای گسترش دامنه آلودگی اقدام میکنند. در ادامه نیز با نصب بدافزار Turian و توزیع مجموعهای از ابزارها، فعالیت کاربران سیستم قربانی را تحت رصد قرار داده و در نهایت دادهها را سرقت میکنند.
کارشناسان مرکز مدیریت راهبردی افتا میگویند: اصلیترین قابلیت بدافزار Turian که مورد استفاده مهاجمان سایبری است، استخراج دادهها از روی دستگاه، تصویربرداری از فعالیتهای کاربر و رونویسی، حذف، انتقال و سرقت فایلهاست.
بررسیها نشان میدهد بدافزار Turian بر پایه بدافزاری با نام Quarian توسعه داده شده است که در سال 2013 برای اجرای حمله سایبری بر ضد دیپلماتهای سوری و آمریکایی استفاده شده بود.
مهاجمان سایبری برای دسترسی به اطلاعات پرقیمت دیپلماتها از ده ابزار مختلف سایبری استفاده کردهاند.
کمتر از دوهفته قبل نیز شرکت چک پوینت (Check Point Software Technologies) در گزارشی از شناسایی یک «درب پشتی» جدید خبر داد که مهاجمان چینی از آن برای نفوذ به وزارت خارجه کشورهایی در جنوب شرق آسیا استفاده کرده بودند.
نشانههای الودگی بدافزار Turian ، مراحل آلوده سازی ، فهرست ابزارهای مورد استفاده گروه هکری BackdoorDiplomacy، اطلاعات تکمیلی در باره شیوه کار این هکرهای دولتی با دیگر مهاجمان سایبری و گزارشهای شرکتهای «ای ست» و « چک پوینت» در پایگاه اینترنتی مرکز مدیریت راهبردی افتا به آدرس :
https://www.afta.gov.ir/portal/home/?news/235046/237266/243927/
این آدرس در اختیار کارشناسان، متخصصان و مدیران IT سازمانها و دستگاههای دارای زیر ساخت قرار داده شده است.