آژانس امنیت سایبری عربستان سعودی از انتشار داستمن، بدافزار جدید وایپری داده و هک شرکت ملی نفت بحرین توسط آن خبر داد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بنابر ادعای برخی منابع، هکرهای ایرانی از بدافزار جدید پاککن داده در شبکه باپکو (Bapco)، شرکت ملی نفت بحرین، استفاده کردهاند. این اتفاق ۲۹ دسامبر سال گذشته رخ داد. به گفته کارشناسان، حادثه فوق اثر دلخواه هکرها را در پی نداشت، زیرا فقط بخشی از ناوگان رایانهای باپکو تحت تأثیر قرار گرفت و شرکت پس از حمله به کار خود ادامه داد.
ZDNet اظهار داشت که سازمان امنیت سایبری ملی عربستان سعودی هفته گذشته در مورد حمله سایبری به باپکو هشدار دادهبود. مقامات سعودی نیز به شرکتهای فعال در بازار انرژی در مورد حملات احتمالی هشدار دادند و از شرکتها خواستند تا امنیت شبکههای خود را تأمین کنند.
حادثه امنیتی باپکو در میان افزایش تنشهای سیاسی بین ایالات متحده و ایران و پس از شهادت سردار سلیمانی بهوسیله پهپاد آمریکایی مطرح شد. حمله باپکو با یک بدافزار جدید به نام داستمن (Dustman) رخ داد. بر این اساس تجزیهوتحلیل آژانس امنیت سایبری ملی عربستان، داستمن یک پاککننده اطلاعات است و برای حذف دادهها در کامپیوترهای آلوده طراحی شدهاست. بنا به ادعای کارشناسان، داستمن نماینده سومین بدافزار پاککننده داده با تهران ارتباط دارد و هکرهای ایرانی سابقه طولانی در استفاده از این گونه بدافزارها دارند.
هکرهای ایرانی قبلاً در سال ۲۰۱۲ از بدافزار شمعون موسوم به «Disttrack» - گونهای بدافزار برای پاک کردن بیش از ۳۲ هزار کامپیوتر در آرامکو (شرکت ملی نفت عربستان) – در یکی از مشهورترین حملات سایبری جهان استفاده کردهبودند. دو نسخه دیگر شمعون نیز در سالهای بعد با نامهای Shamoon v2 (مورد استفاده در سالهای ۲۰۱۶ و ۲۰۱۷) و Shamoon v3 (مورد استفاده در سالهای ۲۰۱۸ و ۲۰۱۹) کشف شدند.
طبق گزارش منتشر شده از IBM X-Force، هکرهای ایرانی با یک بدافزار ثانویه مختلف موسوم به ZeroCleare - که نخستینبار در سال ۲۰۱۹ کشف شد – در این حملات دخالت داشتهاند. به گفته مقامات سعودی، داستمن به نظر نسخه بهروز شده و پیشرفتهتر پاککننده ZeroCleare است که پاییز سال قبل کشف شد و شباهتهای چندگانه کد با شمعون اصلی داشت.
مؤلفه اصلی مشترک بین هر سه نوع بدافزار، EldoS RawDisk، یک ابزار نرمافزاری قانونی برای تعامل با پروندهها، دیسکها و پارتیشنها است. در این سه بدافزار از تکنیکهای مختلف برای ارزیابی دسترسی اولیه به سطح اصلی، از محل اولیه و اجرای EldoS RawDisk برای پاک کردن دادهها در هاستهای آلوده استفاده میشدهاست.
از زمان کشف داستمن در نسخه نهایی ZeroCleare، بیشتر کدها یکسان هستند، اما مقامات سعودی معتقدند که داستمن دو تفاوت مهم دارد:
- توانایی مخرب داستمن و تمامی درایورها و بارگذارهای مورد نیاز در یک پرونده اجرایی برخلاف دو مورد دیگر ارائه شدهاست، همانطور که در مورد ZeroCleare نیز وجود داشت.
- داستمن توده را بازنویسی میکند، درحالیکه ZeroCleare با نوشتن آن با دادههای زباله حجم را پاک میکند (0x55)
هدفگیری باپکو
به گفته منابع آگاه، هدف قرار دادن باپکو یا داستمن در حالت معمول با هکرهای ایرانی باید مرتبط باشد. از نظر تاریخی، پیش از استقرار داستمن هکرهای ایران از شمعون و ZeroCleare در شرکتهای نفت و گاز استفاده میکردند.
اهداف گذشته شامل شرکتهای سعودی و آرامکو (شرکت نفت و گاز عربستان) بودند. ایران و عربستان سعودی از سال ۱۹۷۰ به دلیل اختلاف نظر در تفسیر اسلام و رقابت در بازار صادرات نفت روابط تیرهای دارند. باپکو یک شرکت بحرینی است که به علت روابط تجاری شناخته شده با آرامکو، روبط سیاسی خوبی با ایران ندارد.
نحوه رخداد حادثه
باپکو به نظر تنها قربانی حمله بهوسیله داستمن است، اما این بدان معنا نیست که بدافزار در شبکه سایر اهداف مستقر نشدهاست. به گزارش CNA، مهاجمان ظاهراً قصد استفاده از داستمن در آن زمان را نداشتهاند، اما فرایند پاک کردن دادهها به عنوان آخرین تلاش برای از بین بردن شواهد در اشتباهات متعدد شبکه هک بودهاست.
منابع آگاه در گفتوگو با ZDNet ادعا کردهاند که شرکت بحرینی در تابستان گذشته مورد حمله قرار گرفتهاست. مقامات سعودی سیانای با چندین منبع دیگر تأیید کردند که نقطه شروع، سرورهای ویپیان شرکت بوده است. گزارش سیانای نشان میدهد که آسیبپذیریهای راه دور در یک دستگاه ویپیان در ماه ژوئیه ۲۰۱۹ کشف شده و این نقطه شروع ورود مهاجمان به باپکو است.
با وجود اینکه مقامات دستگاه خاصی را به عنوان مقصر معرفی نکردهاند، اما به گزارش منتشر شده از Devcore در تابستان گذشته اشاره میکنند که اشکالات اجرا از راه دور در سرورهای ویپیان درجه سازمانی مانند مواردی در فورتینت (Fortinet)، «Pulse Secure» و شبکههای پالو آلتو (Palo Alto) را نشان میداد.
برخی محققان معتقدند که هکرها از آسیبپذیری در سرورهای Pulse Secure استفاده میکنند در حالیکه دیگران به سرورهای ویپیان فورتینت اشاره دارند.
موتور جستوجوی BinaryEdge نشان میدهد که بخشی از شبکه vpn.bapco.net در واقع روی تجهیزات ویپیان فورتینت اجرا میشود. با این وجود، احتمالاً باپکو در گذشته سرورهای Pulse Secure را اجرا میکرده است.
منابع درخصوص سرور دقیق ویپیان مورد استفاده در حمله اختلاف نظر دارند. به گزارش سیانای در عربستان، هکرها ابتدا کنترل سرور ویپیان را در اختیار گرفتند و سپس دسترسی خود را به کنترل کننده دامنه محلی افزایش دادند.
در این گزارش آمدهاست: «عامل تهدید حسابهای مدیریت و سرویس دامنه را در شبکه قربانی به دست آورد و بدافزار داستمن را روی همه سیستمهای قربانی نصب کرد. مهاجم از حساب سرویس کنسول مدیریت آنتی ویروس برای توزیع بدافزار در شبکه استفاده کردهاست.
عامل تهدید پس از دسترسی به شبکه قربانی، بدافزار و ابزار اجرا از راه دور را با نام PSEXEC را در سرور کنسول مدیریت آنتیویروس کپس کرده و به دلیل ماهیت عملکردی آن به کلیه دستگاههای موجود در شبکه قربانی متصل شده است. چند دقیقه بعد ، مهاجم به سرور ذخیرهسازی قربانیان دسترسی یافته و همه حجمها را بهصورت دستی پاک کردهاست.
مهاجمان سپس برای توزیع بدافزار در تمامی دستگاههای متصل، دستورهای مربوط به کنترل آنتیویروس و از طریق (PSEXEC) بدافزار را اجرا و پروندههای اضافی، دو درایور و پاککن را رها کردند. بیشتر دستگاههای متصل پاک شدند.
حملات موفقیتآمیز که منجر به پاک شدن سیستمها شدند، حاوی پیام BSOD، صفحه آبی مرگ بودند.
مقامات سعودی توضیح دادند: در اقدامات مهاجم احساس فوریت وجود داشتهاست. دلیل این فوریت مشخص نیست. بدافزار داستمن احتمالاً روی زیرساخت عامل تهدید چند دقیقه پیش از نصب روی شبکه قربانی تهیه شدهبود. این امر با حملات مخرب شناخته شده مغایرت دارد، زیرا معمولاً قبل از اجرا آزمایش میشوند.
با این حال، این عجله و عدم آزمایش بر موفقیت عملیات پاککن تأثیر گذاشت و بدافزار در برخی از سیستمها به درستی کار نکرد. مقامات سعودی معتقدند که مهاجمان به پاک کردنهای شکست خورده توجه داشتند و در عین حال تلاش میکردند تا مصنوعات داستمن را از این سیستمها حذف کنند؛ سپس قبل از خروج از شبکه این شرکت گزارشهای دسترسی را روی سرور ویپیان پاک کردند.
مقامات باپکو یک روز بعد و زمان ورود کارمندان به شرکت متوجه حمله شدند. آنها پس از بررسی، بدافزار داستمن را شناسایی کردند، زیرا برخی از ایستگاههای کاری زمان حمله در حالت خواب بودهاند. پس از شروع به کار سیستمها، آنها سعی کردند بدافزار را اجرا کنند، اما آنتیویروس (غیرفعال در زمان حمله اصلی) حمله را تشخیص داد و از آن جلوگیری کرد.
انتشار آنلاین نمونههای بدافزار داستمن
یکی از نمونههای بدافزار روی Hybrid-Analysis، محیط آنالیز جعبه آنلاین در همان روز کشف حمله بارگذاری شدهبود. پروندهها درنهایت در توییتر و VirusTotal در مسیر خود قرار گرفتند.
پاککنهای سال ۲۰۱۹ دخیل در رویدادهای خلیج فارس:
۱۸c۹۲f۲۳b۶۴۶eb۸۵d۶۷a۸۹۰۲۹۶۰۰۰۲۱۲۰۹۱f۹۳۰b۱fe۹e۹۲۰۳۳f۱۲۳be۳۵۸۱a۹۰f
f۰۷b۰c۷۹a۸c۸۸a۵۷۶۰۸۴۷۲۲۶af۲۷۷cf۳۴ab۵۵۰۸۳۹۴a۵۸۸۲۰db۴db۵a۸d۰۳۴۰fc۷
۲fc۳۹۴۶۳b۶db۴۴۸۷۳c۹c۰۷۷۲۴ac۲۸b۶۳cdd۷۲f۵۸۶۳a۴a۷۰۶۴۸۸۳e۳afdd۱۴۱f۸d
مقامات امنیتی در گفتگو با ZDNet اظهار داشتند که بهدلیل عدم دید کامل نسبت به حمله نتوانستهاند این حادثه را به گروه خاص هکری در ایران نسبت دهند.
البته مکآفی حملات شمعون را به یک گروه هکری ایرانی موسوم به APT33 نسبت داد، در حالی که شرکت آیبیام ZeroCleare را به دو گروه به نامهای xHunt و APT34 تخصیص داد.
مقامات باپکو با وجود درخواستهای مکرر هنوز اظهارنظر خاصی در این خصوص نداشتهاند. گزارش سعودی سیانای همچنین حاوی پیشنهادهایی برای شرکتهای فعال در زمینه نفت و گاز بود که به عنوان هدف برای حملات با بدافزار داستمن به شمار میروند.