آژانس امنیت سایبری عربستان سعودی از انتشار داستمن، بدافزار جدید وایپری داده و هک شرکت ملی نفت بحرین توسط آن خبر داد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بنابر ادعای برخی منابع،  هکرهای ایرانی از بدافزار جدید پاک‌‌کن داده در شبکه باپکو (Bapco)، شرکت ملی نفت بحرین، استفاده کرده‌اند. این اتفاق ۲۹ دسامبر سال گذشته رخ داد. به گفته کارشناسان، حادثه فوق اثر دلخواه هکرها را در پی نداشت، زیرا فقط بخشی از ناوگان رایانه‌ای باپکو تحت تأثیر قرار گرفت و شرکت پس از حمله به کار خود ادامه داد.

ZDNet اظهار داشت که سازمان امنیت سایبری ملی عربستان سعودی هفته گذشته در مورد حمله سایبری به باپکو هشدار داده‌بود. مقامات سعودی نیز به شرکت‌های فعال در بازار انرژی در مورد حملات احتمالی هشدار دادند و از شرکت‌ها خواستند تا امنیت شبکه‌های خود را تأمین کنند.

حادثه امنیتی باپکو در میان افزایش تنش‌های سیاسی بین ایالات متحده و ایران و پس از شهادت سردار سلیمانی به‌وسیله پهپاد آمریکایی مطرح شد. حمله باپکو با یک بدافزار جدید به نام داستمن (Dustman) رخ داد. بر این اساس تجزیه‌و‌تحلیل آژانس امنیت سایبری ملی عربستان، داستمن یک پاک‌کننده اطلاعات است و برای حذف داده‌ها در کامپیوترهای آلوده طراحی شده‌است. بنا به ادعای کارشناسان، داستمن نماینده سومین بدافزار پاک‌کننده داده با تهران ارتباط دارد و هکرهای ایرانی سابقه طولانی در استفاده از این گونه بدافزارها دارند.

هکرهای ایرانی قبلاً در سال ۲۰۱۲ از بدافزار شمعون موسوم به «Disttrack» - گونه‌ای بدافزار برای پاک کردن بیش از ۳۲ هزار کامپیوتر در آرامکو (شرکت ملی نفت عربستان) – در یکی از مشهورترین حملات سایبری جهان استفاده کرده‌بودند. دو نسخه دیگر شمعون نیز در سال‌های بعد با نام‌های Shamoon v2 (مورد استفاده در سال‌های ۲۰۱۶ و ۲۰۱۷) و Shamoon v3 (مورد استفاده در سال‌های ۲۰۱۸ و ۲۰۱۹) کشف شدند.

طبق گزارش منتشر شده از IBM X-Force، هکرهای ایرانی با یک بدافزار ثانویه مختلف موسوم به ZeroCleare - که نخستین‌بار در سال ۲۰۱۹ کشف شد – در این حملات دخالت داشته‌اند. به گفته مقامات سعودی، داستمن به نظر نسخه به‌روز شده و پیشرفته‌تر پاک‌کننده ZeroCleare است که پاییز سال قبل کشف شد و شباهت‌های چندگانه کد با شمعون اصلی داشت.

مؤلفه اصلی مشترک بین هر سه نوع بدافزار، EldoS RawDisk، یک ابزار نرم‌افزاری قانونی برای تعامل با پرونده‌ها، دیسک‌ها و پارتیشن‌ها است. در این سه بدافزار از تکنیک‌های مختلف برای ارزیابی دسترسی اولیه به سطح اصلی، از محل اولیه و اجرای EldoS RawDisk برای پاک ‌کردن داده‌ها در هاست‌های آلوده استفاده می‌شده‌است.

از زمان کشف داستمن در نسخه نهایی ZeroCleare، بیشتر کدها یکسان هستند، اما مقامات سعودی معتقدند که داستمن دو تفاوت مهم دارد:

- توانایی مخرب داستمن و تمامی درایورها و بارگذارهای مورد نیاز در یک پرونده اجرایی برخلاف دو مورد دیگر ارائه شده‌است، همان‌طور که در مورد ZeroCleare نیز وجود داشت.

- داستمن توده را بازنویسی می‌کند، درحالی‌که ZeroCleare با نوشتن آن با داده‌‎های زباله حجم را پاک می‌کند (0x55)

هدف‌گیری باپکو
به گفته منابع آگاه، هدف قرار دادن باپکو یا داستمن در حالت معمول با هکرهای ایرانی باید مرتبط باشد. از نظر تاریخی، پیش از استقرار داستمن هکرهای ایران از شمعون و ZeroCleare در شرکت‌های نفت و گاز استفاده می‌کردند.

اهداف گذشته شامل شرکت‌های سعودی و آرامکو (شرکت نفت و گاز عربستان) بودند. ایران و عربستان سعودی از سال ۱۹۷۰ به دلیل اختلاف نظر در تفسیر اسلام و رقابت در بازار صادرات نفت روابط تیره‌‎ای دارند. باپکو یک شرکت بحرینی است که به علت روابط تجاری شناخته شده با آرامکو، روبط سیاسی خوبی با ایران ندارد.

نحوه رخداد حادثه
باپکو به نظر تنها قربانی حمله به‌وسیله داستمن است، اما این بدان معنا نیست که بدافزار در شبکه سایر اهداف مستقر نشده‌است. به گزارش CNA، مهاجمان ظاهراً قصد استفاده از داستمن در آن زمان را نداشته‌اند، اما فرایند پاک کردن داده‌ها به عنوان آخرین تلاش برای از بین بردن شواهد در اشتباهات متعدد شبکه هک بوده‌است.

منابع آگاه در گفت‌وگو با ZDNet ادعا کرده‌‎اند که شرکت بحرینی در تابستان گذشته مورد حمله قرار گرفته‌است. مقامات سعودی سی‌ان‌ای با چندین منبع دیگر تأیید کردند که نقطه شروع، سرورهای وی‌پی‌ان شرکت بوده است. گزارش سی‌ان‌ای نشان می‌دهد که آسیب‌پذیری‌های راه دور در یک دستگاه وی‌پی‌ان در ماه ژوئیه ۲۰۱۹ کشف شده و این نقطه شروع ورود مهاجمان به باپکو است.

با وجود اینکه مقامات دستگاه خاصی را به عنوان مقصر معرفی نکرده‌اند، اما به گزارش منتشر شده از Devcore در تابستان گذشته اشاره می‌کنند که اشکالات اجرا از راه دور در سرورهای وی‌پی‌ان درجه سازمانی مانند مواردی در فورتینت (Fortinet)، «Pulse Secure» و شبکه‌های پالو آلتو (Palo Alto) را نشان می‌داد.

برخی محققان معتقدند که هکرها از آسیب‌پذیری در سرورهای Pulse Secure استفاده می‌کنند در حالیکه دیگران به سرورهای وی‌پی‌ان فورتینت اشاره دارند.

موتور جست‌وجوی BinaryEdge نشان می‌دهد که بخشی از شبکه vpn.bapco.net در واقع روی تجهیزات وی‌پی‌ان فورتینت اجرا می‌شود. با این وجود، احتمالاً باپکو در گذشته سرورهای Pulse Secure را اجرا می‌کرده است.

منابع درخصوص سرور دقیق وی‌پی‌ان مورد استفاده در حمله اختلاف نظر دارند. به گزارش سی‌ان‌ای در عربستان، هکرها ابتدا کنترل سرور وی‌پی‌ان را در اختیار گرفتند و سپس دسترسی خود را به کنترل کننده دامنه محلی افزایش دادند.

در این گزارش آمده‌است: «عامل تهدید حساب‌های مدیریت و سرویس دامنه را در شبکه قربانی به دست آورد و بدافزار داستمن را روی همه سیستم‌های قربانی نصب کرد. مهاجم از حساب سرویس کنسول مدیریت آنتی ویروس برای توزیع بدافزار در شبکه استفاده کرده‌است.

عامل تهدید پس از دسترسی به شبکه قربانی، بدافزار و ابزار اجرا از راه دور را با نام PSEXEC را در سرور کنسول مدیریت آنتی‌ویروس کپس کرده و به دلیل ماهیت عملکردی آن به کلیه دستگاه‌های موجود در شبکه قربانی متصل شده است. چند دقیقه بعد ، مهاجم به سرور ذخیره‌سازی قربانیان دسترسی یافته و همه حجم‌ها را به‌صورت دستی پاک کرده‌است.

مهاجمان سپس برای توزیع بدافزار در تمامی دستگاه‌های متصل، دستورهای مربوط به کنترل آنتی‌ویروس و از طریق (PSEXEC) بدافزار را اجرا و پرونده‌های اضافی، دو درایور و پاک‌کن را رها کردند. بیشتر دستگاه‌های متصل پاک شدند.

حملات موفقیت‌آمیز که منجر به پاک شدن سیستم‌ها شدند، حاوی پیام BSOD، صفحه آبی مرگ بودند.

مقامات سعودی توضیح دادند: در اقدامات مهاجم احساس فوریت وجود داشته‌است. دلیل این فوریت مشخص نیست. بدافزار داستمن احتمالاً روی زیرساخت عامل تهدید چند دقیقه پیش از نصب روی شبکه قربانی تهیه شده‌بود. این امر با حملات مخرب شناخته شده مغایرت دارد، زیرا معمولاً قبل از اجرا آزمایش می‌شوند.

با این حال، این عجله و عدم آزمایش بر موفقیت عملیات پاک‌کن تأثیر گذاشت و بدافزار در برخی از سیستم‌ها به درستی کار نکرد. مقامات سعودی معتقدند که مهاجمان به پاک کردن‌های شکست خورده توجه داشتند و در عین حال تلاش می‌کردند تا مصنوعات داستمن را از این سیستم‌ها حذف کنند؛ سپس قبل از خروج از شبکه این شرکت گزارش‌های دسترسی را روی سرور وی‌پی‌ان پاک کردند.

مقامات باپکو یک روز بعد و زمان ورود کارمندان به شرکت متوجه حمله شدند. آنها پس از بررسی، بدافزار داستمن را شناسایی کردند، زیرا برخی از ایستگاه‌های کاری زمان حمله در حالت خواب بوده‌اند. پس از شروع به کار سیستم‌ها، آنها سعی کردند بدافزار را اجرا کنند، اما آنتی‌ویروس (غیرفعال در زمان حمله اصلی) حمله را تشخیص داد و از آن جلوگیری کرد.

انتشار آنلاین نمونه‌های بدافزار داستمن
یکی از نمونه‌های بدافزار روی Hybrid-Analysis، محیط آنالیز جعبه آنلاین در همان روز کشف حمله بارگذاری شده‌بود. پرونده‌ها درنهایت در توییتر و VirusTotal در مسیر خود قرار گرفتند.

پاک‌کن‌های سال ۲۰۱۹ دخیل در رویدادهای خلیج فارس:
۱۸c۹۲f۲۳b۶۴۶eb۸۵d۶۷a۸۹۰۲۹۶۰۰۰۲۱۲۰۹۱f۹۳۰b۱fe۹e۹۲۰۳۳f۱۲۳be۳۵۸۱a۹۰f
f۰۷b۰c۷۹a۸c۸۸a۵۷۶۰۸۴۷۲۲۶af۲۷۷cf۳۴ab۵۵۰۸۳۹۴a۵۸۸۲۰db۴db۵a۸d۰۳۴۰fc۷
۲fc۳۹۴۶۳b۶db۴۴۸۷۳c۹c۰۷۷۲۴ac۲۸b۶۳cdd۷۲f۵۸۶۳a۴a۷۰۶۴۸۸۳e۳afdd۱۴۱f۸d

مقامات امنیتی در گفتگو با ZDNet اظهار داشتند که به‌دلیل عدم دید کامل نسبت به حمله نتوانسته‌اند این حادثه را به گروه خاص هکری در ایران نسبت دهند.

البته مک‌آفی حملات شمعون را به یک گروه هکری ایرانی موسوم به APT33 نسبت داد، در حالی که شرکت آی‌بی‌ام ZeroCleare را به دو  گروه به نام‌های xHunt و APT34 تخصیص داد.

مقامات باپکو با وجود درخواست‌های مکرر هنوز اظهارنظر خاصی در این خصوص نداشته‌اند. گزارش سعودی سی‌ان‌ای همچنین حاوی پیشنهادهایی برای شرکت‌های فعال در زمینه نفت و گاز بود که به عنوان هدف برای حملات با بدافزار داستمن به شمار می‌روند.