محققان امنیتی سیسکو تالوس گزارش دادند مهاجمان در حملات خود علیه دولتهای ناتو، از اسناد سطح بالا و پیچیده وردبرای بهرهبرداری از آسیبپذیریهای ادوبی فلش روی سامانههای قربانیان استفاده میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مهاجمان در حملات خود از اسناد پیچیدهای استفاده میکنند تا روی ماشینهای آلوده به اکتشاف پرداخته و جعبههای شنی را دور بزنند. این چارچوب شناسایی بهقدری پیچیده و چندلایه است که محققان تالوس آن را با عروسکهای تودرتوی ماتروشکا که در کشور روسیه وجود دارد، مقایسه کردهاند.
حملاتی که سیسکو مشاهده کرده در بازه تعطیلات کریسمس و سال نو اتفاق افتاده است. از این سند ورد بهعنوان طعمه استفاده شده و عنوان آن «بیانیه دبیرکل ناتو پس از نشت ناتو-روسیه» است. با این مشاهدات، کارشناسان امنیتی معتقدند این حملات، کشورهای عضو ناتو را هدف قرار دادهاست.
متنی که داخل این پرونده وجود دارد از وبسایت رسمی ناتو رونویسی شده و محتوای سند حاوی هیچ بهرهبرداری نیست و این فرآیند تشخیص و شناسایی را سخت میکند. یک پرونده RTF نیز وجود دارد که حاوی چند شیء جاسازیشده است. ازجمله این اشیا میتوان OLE و اشیای ادوبی فلش را نام برد که از این پرونده استخراج میشود.
محققان تالوس در یک پست وبلاگی توضیح دادند: «شیء OLE حاوی یک شیء ادوبی فلش است. هدف این شیء ادوبی فلش، استخراج یک تکه باینری است که توسط ActionScript در آن تعبیه شدهاست. این تکه در دو مرحله کدگذاری و در قالب شیء ادوبی فلش فشرده شدهاست. الگوریتم کدگذاری مبتنی بر XOR و فشردهسازی zlib است.»
در مرحله اول، از ActionScript برای ارسال یک درخواست HTTP به کارگزار دستور و کنترل استفاده میشود. این درخواست حاوی اطلاعاتی مربوط به سامانهی آلوده است. این اطلاعات به مهاجم اجازه میدهد تا اجرا شدن روی ماشین مجازی یا جعبه شنی را تشخیص دهد. با استفاده از پاسخی که برای درخواست اول دریافت میشود، دو درخواست دیگر نیز ساخته خواهدشد. در مرحله نهایی نیز بهرهبرداری فلش واکشی و اجرا میشود.
دادههای DNS شرکت سیسکو نشان میدهد که از تاریخ ۲۷ دی درخواستهای متعددی به سمت دامنههای دستور و کنترل ارسال شدهاست. این درخواستها از طرف یک انجمن امنیتی ارسال میشوند منجر به ارسال پاسخ از طرف مهاجمان میشود.
آنها بار داده مخرب این پاسخهای دریافتی را با دادههای بیمصرف عوض میکنند تا برای محصولات امنیتی مشکلاتی در زمینه منابع بهبوجود آورند. کارشناسان میگویند: «مهاجمان متوجه شدهاند که محققان امنیتی از زیرساختهای آنها استفاده کرده و مشکلات مربوط به منبع را برای برخی دستگاههای امنیتی بهوجود آوردهاند. این ویژگی نشان از حرفهای بودن مهاجمان دارد که زیرساختی طراحی کردهاند که قادر است با اهداف مختلفی سازگار شود.»
هرچند سیسکو اطلاعاتی در خصوص عاملان این حملات اعلام نکرده، ولی دولتهای ناتو معتقدند چنین حملات سایبری از طرف دولت روسیه انجام میشود. همچنین، همانطور که در ابتدای گزارش اشاره کردیم، سیسکو این حملات را به عروسکهای روسی ِ ماتروشکا تشبیه کرده و میتوان حدس زد روسیه در این حملات دخیل بوده است.