افتانا - آشنایی با Tomiris - نسخه قابل چاپ

علی‌رغم وجود شباهت‌های زیاد یافت شده بین دو درِ پشتی، با اطمینان نمی‌توان Tomiris و Sunshuttle را یکسان دانست. ممکن است بخشی از این شباهت‌ها کاملاً تصادفی باشند، اما برنامه‌نویسی آن‌ها توسط گروه یکسان یا به‌کارگیری کدهای برنامه‌نویسی مشابه، محتمل به نظر می‌رسد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت امنیتی FireEyen در روز ۱۸ آذر سال ۹۹، رسماً اعلام کرد که در جریان حمله‌ای بسیار پیچیده، به سیستم‌هایش نفوذ شده است. به گفته مسئولان این شرکت امنیتی، مهاجمان سایبری با به‌کارگیری تکنیک‌های جدید موفق به سرقت ابزارهایی دیجیتال از سیستم های این شرکت شده‌اند که این شرکت از آن‌ها با عنوان Red Team یاد می‌کند.

شرکت FireEye برای شناسایی آسیب‌پذیری سیستم‌ها در شبکه مشتریان خود از ابزارهای Red Team استفاده می‌کرده است.

در آن زمان تصور می‌شد که هدف اصلی مهاجمان، سرقت ابزارهای Red Team بوده است. اما خیلی زود مشخص شد که اهداف حملات بسیار گسترده‌تر از یک شرکت امنیتی بوده و بسیاری از شرکت‌ها و حتی سازمان‌ها و نهادهای مطرح نه فقط در آمریکا که در کشورهای متعدد در تسخیر مهاجمان قرار گرفته بودند.

تمامی شرکت‌ها و سازمان‌های هک شده یک وجه مشترک داشتند و آن استفاده از یکی از نرم‌افزار‌های ساخت شرکت سولارویندز (SolarWinds, LLC) بوده است.

در جریان حمله فوق، مهاجمان Nobelium با بهره‌گیری از تکنیک موسوم به زنجیره تأمین (Supply Chain Attack) پس از هک شرکت سولارویندز به تزریق کد آلوده به یکی از فایل‌های نرم‌افزار SolarWinds Orion با نام SolarWinds.Orion.Core.BusinessLayer.dll اقدام و آن را به یک درِ پشتی (Backdoor) تبدیل کردند. فایل مذکور نیز از طریق قابلیت به‌روزرسانی نرم‌افزار میزبان، به شبکه مشتریان سولارویندز راه‌یافته بود. در عمل موجب شد که شبکه مشتریان این نرم‌افزار در هر نقطه از جهان به تسخیر آن‌ها در بیاید.

حملات زنجیره تأمین حملات سایبری هستند که باهدف قراردادن عناصر با امنیت کمتر در شبکه، به کل سازمان آسیب می‌رسانند. در واقع در این حملات، مهاجمان با بهره‌جویی از اجزای آسیب‌پذیر یک نرم‌افزار معتبر در زنجیره تأمین یک سازمان به آن رخنه و یا آن را دچار اختلال می‌کنند.

گروه Nobelium، گروهی است که برخی منابع آن را به سازمان اطلاعات خارجی غیرنظامی فدراسیون روسیه (Russian Foreign Intelligence Service – به‌اختصار SVR) منتسب می‌دانند. از Nobelium با نام‌های APT۲۹، The Dukes، DarkHalo یا Cozy Bear نیز یاد می‌شود.

اعتقاد بر این است که وقتی شرکت FireEye اولین آثار حمله را کشف کرد، مهاجمان Nobelium بیش از یک سال بود که روی آن کار می‌کردند. شواهد جمع‌آوری‌شده تاکنون نشان می‌دهد که آن‌ها شش ماه در شبکه‌های سولارویندز حضور داشتند تا حمله خود را کامل کنند. حدس زده می‌شود که مهاجمان Nobelium از این دسترسی برای جمع‌آوری اطلاعات استفاده کرده‌اند.

چندین شرکت امنیتی این حمله زنجیره تأمین را بررسی کردند که برخی نمونه‌های آن در لینک‌های زیر قابل‌مطالعه است.
https://securelist.com/sunburst-connecting-the-dots-in-the-dns-requests/۹۹۸۶۲/
https://securelist.com/sunburst-backdoor-kazuar/۹۹۹۸۱/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/sunburst-malware-and-solarwinds-supply-chain-compromise/
https://www.mcafee.com/blogs/other-blogs/executive-perspectives/why-solarwinds-sunburst-is-a-wake-up-call/
https://symantec-enterprise-blogs.security.com/blogs/solarwinds/sunburst-supply-chain-attack-targets-solarwinds-users
https://symantec-enterprise-blogs.security.com/blogs/solarwinds/solarwinds-attacks-stealthy-attackers-attempted-evade-detection-۰

بر اساس گزارش‌هایی در مارس ۲۰۲۱، شرکت‌های FireEye و مایکروسافت (Microsoft Corp) اطلاعاتی در خصوص بدافزار دیگری تحت عنوان Sunshuttle (که GoldMax نیز نامیده می‌شود) و در کارزار فوق مورداستفاده قرار گرفته بود منتشر کردند.
https://www.fireeye.com/blog/threat-research/۲۰۲۱/۰۳/sunshuttle-second-stage-backdoor-targeting-us-based-entity.html
https://www.microsoft.com/security/blog/۲۰۲۱/۰۳/۰۴/goldmax-goldfinder-sibot-analyzing-nobelium-malware/

سپس در ۶ خرداد ۱۴۰۰ مایکروسافت کارزار فیشینگی را که سازمانی مستقر در ایالات متحده را هدف حمله قرار داده بود به Nobelium نسبت داد، جزئیات این حمله در گزارشی به نشانی زیر منتشر شده است:
https://www.microsoft.com/security/blog/۲۰۲۱/۰۵/۲۷/new-sophisticated-email-based-attack-from-nobelium/

در آن زمان Nobelium مدت‌ها بود که عملیات خود را متوقف کرده بود و حملات دیگری به آن منتسب نشده بود. سپس در ژوئن ۲۰۲۱، محققان آثار DNS Hijacking را بر روی یکی از اعضای کشورهای مشترک‌المنافع کشف کردند.
در حملات موسوم به DNS Hijacking مهاجم پس از هک DNS Server، تغییراتی در رکوردها و IPهای درج شده در آن ایجاد می‌کند و به‌واسطه تغییر IP، ترافیک را از سرورهای اصلی به سرور جدید که تحت کنترل خود قرار دارد، هدایت می‌کند.

هنگامی که مهاجم نام دامنه‌ای را می‌رباید، کاربران را به سایت‌های مخرب و جعلی هدایت می‌کند. این سایت‌های جعلی اغلب به‌گونه‌ای طراحی شده‌اند که مانند سایت اصلی به نظر می‌رسند و هدف آنها فریب قربانیان برای واردکردن اطلاعات اصالت‌سنجی و سپس ربودن آن‌ها است.

حملات DNS Hijacking اجرا شده توسط Nobelium در دوره‌های کوتاهی بین دسامبر ۲۰۲۰ تا ژانویه ۲۰۲۱ رخ دادند و مهاجمان، ترافیک را از سرورهای ایمیل دولتی به دستگاه‌های تحت کنترل خودشان هدایت می‌کردند.

به نقل از محققان شرکت کسپرسکی (Kaspersky, Lab.)، این حملات DNS Hijacking در بیشتر موارد نسبتاً مختصر بوده و به نظر می‌رسد که سرورهای ایمیل سازمان‌های موردنظر را عمدتاً هدف قرار می‌دادند. البته محققان نمی‌دانند که مهاجمان چگونه توانستند به این هدف برسند، اما فرض بر این است که آن‌ها به نحوی موفق به کشف اطلاعات اصالت‌سنجی و ورود به کنسول مدیریتی سامانه شده بودند.

هنگامی که به‌واسطه تغییر IP در DNS Server، تغییر مسیر فعال می‌شود، قربانیان به صفحات Webmail login جعلی که همانند صفحات Webmail login اصلی به نظر می‌رسد و رفتار آن را تقلید می‌کنند، هدایت می‌شوند. مهاجمان از طریق این صفحات وب جعلی، اطلاعات اصالت‌سنجی ایمیل قربانیان را ربوده و در برخی موارد، آنها را متقاعد به نصب یک درب پشتی به نام Tomiris در قالب یک به‌روزرسانی نرم‌افزاری می‌کنند.

پس از این‌که مهاجمان نام‌های دامنه مختلف (Domain name) را از طریق DNS Hijacking تحت کنترل خود گرفتند، برای همه این صفحات جعلی گواهی‌نامه‌های SSL معتبر Let’s Encrypt (Let’s Encrypt Certificate) دریافت می‌کنند و این امر باعث می‌شود مهاجمان بدون هیچ خطای Certificate موفق به برقراری اتصال شوند و قربانیان غیرحرفه‌ای و غیرمتخصص متوجه حمله نشوند.

تصویر بالا، صفحه ورود به ایمیلی را نشان می‌دهد که توسط مهاجمان راه‌اندازی شده است. هرگونه اطلاعات اصالت‌سنجی که در این صفحه تایپ می‌شود، توسط مهاجمان جمع‌آوری و ربوده شده و در مراحل بعدی حمله دوباره استفاده می‌شود. آنان پیامی را به‌صورت زیر به این صفحه Login اضافه کردند و لینک مخربی را برای فریب کاربر قرار می‌دهند تا یک "به‌روزرسانی امنیتی" از نوع بدافزاری را نصب کند.
“to continue working with the email service, you need to install a security update: download the update”.

لینک فوق به یک فایل اجرایی منجر می‌شود که یک دانلود کننده (Downloader) بدافزار است که اکنون با نام Tomiris نام‌گذاری شده است.

Tomiris یک درِ پشتی است که به زبان برنامه‌نویسی Go نوشته شده و پس از استقرار در سیستم قربانی به طور مداوم به سرور کنترل و فرماندهی (C۲) متصل شده است تا فایل‌های اجرایی مخرب بیشتری را بر روی سیستم هک شده دانلود کند اما قبل از انجام هرگونه عملیات مخرب، حداقل ۹ دقیقه به حالت خواب (Sleep) می‌رود تا بتواند سیستم‌های تحلیلی مبتنی بر سندباکس (Sandbox-based analysis systems) را دور بزند و توسط آن‌ها قابل‌شناسایی نباشد.

این درِ پشتی برای ماندگاری در سیستم، از طریق اجرای یک فایل از نوع batch به ایجاد یک فرمان زمان‌بندی شده اقدام می‌کند.

آدرس سرور کنترل و فرماندهی (C۲) مستقیماً در داخل Tomiris جاسازی نشده است. در عوض، به یک سرور واسط (Signalization) متصل می‌شود تا URL و درگاهی را استخراج کند که درب پشتی باید به آن متصل شود. سپس Tomiris درخواست‌های GET را به URL مذکور ارسال می‌کند تا اینکه سرور C۲ به‌صورت یک JSON Object پاسخ دهد.

این Object یک فایل اجرایی را مشخص می‌کند که روی سیستم قربانی دانلود شده و با پارامترهای خاص اجرا می‌شود. این ویژگی و این واقعیت که Tomiris هیچ‌گونه قابلیتی فراتر از دانلود ابزارهای بیشتری را ندارد، نشان می‌دهد که بدافزارهای دیگری نیز در این مجموعه ابزار وجود دارند که تاکنون محققان نتوانسته‌اند آن‌ها را شناسایی و بازیابی کنند.

محققان همچنین نمونه دیگری از Tomiris (با نام "SBZ" که هش آن در زیر قابل‌دسترس است) را شناسایی کردند که در نقش یک درِ پشتی به طور خودکار فایل‌هایی را سرقت می‌کند که با پسوندهای از پیش تعریف شده مطابقت دارد (.doc, .docx, .pdf, .rar).
۵۱AA۸۹۴۵۲A۹E۵۷F۶۴۶AB۶۴BE۶۲۱۷۷۸۸E

برخی سرنخ‌های کوچک یافت شده در طول این تحقیق نشان می‌دهد که احتمالاً گردانندگان Tomiris روسی زبان هستند.

محققان هنگام تحلیل Tomiris، متوجه شباهت‌های آن با بدافزار Sunshuttle شدند. برخی از مهم‌ترین آن‌ها عبارت‌اند از:
• زبان برنامه‌نویسی یکسان
• الگوریتم‌های رمزگذاری/مبهم‌سازی مشابه جهت ارتباط با سرور کنترل و فرماندهی (C۲)
• بهره‌گیری از فرمان‌های زمان‌بندی شده برای ماندگاری در سیستم
• سازوکار تأخیر در اجرا (Sleep) و وجود اشتباهات و غلط‌های املائی مشابه در آن‌ها.

تشابه دیگر این است که دستگاه‌های دیگری که در شبکه به Tomiris آلوده شده‌اند با درب پشتی Kazuar نیز هک شده‌اند. محققان کسپرسکی نتوانستند از داده‌های موجود به این نکته پی ببرند که آیا یکی از این بدافزارهای مخرب منجر به استقرار بدافزار دیگر شده است یا این که از دو رویداد مستقل نشأت گرفته‌اند.

علی‌رغم وجود شباهت‌های زیاد یافت شده بین این دو درِ پشتی، با اطمینان نمی‌توان Tomiris و Sunshuttle را یکسان دانست. ممکن است بخشی از این شباهت‌ها کاملاً تصادفی باشند، اما برنامه‌نویسی آن‌ها توسط گروه یکسان یا به‌کارگیری کدهای برنامه‌نویسی مشابه، محتمل به نظر می‌رسد.

به نظر می‌رسد که هنوز مدرک اصلی توسط محققان کشف نشده است تا بتوان همه آن‌ها را به یک گروه نسبت داد. یک فرضیه این است که به دلیل گستردگی حملات Sunshuttle سایر مهاجمان به طور هدفمند سعی در بازتولید روش بدافزار مذکور داشته باشند تا تحلیل‌گران و متخصصان امنیتی را گمراه کنند. اولین نمونه Tomiris که محققان از آن مطلع هستند در فوریه ۲۰۲۱ یعنی یک ماه قبل از کشف Sunshuttle در جهان ظاهر شد.

درحالی‌که ممکن است گردانندگان تهدیدات مستمر و پیشرفته (Advanced Persistent Threat – به‌اختصار APT) از وجود این بدافزار در آن زمان مطلع بوده باشند، اما بعید است که سعی در به‌کارگیری این بدافزار قبل از افشا شدن داشته باشند.

یک فرضیه بسیار محتمل‌تر این است که نویسندگان بدافزارهای Sunshuttle، در دسامبر ۲۰۲۰ هنگام کشف حملات به شبکه مشتریان شرکت سولارویندز، شروع به توسعه Tomiris کرده‌اند تا آن را جایگزین بدافزار فاش شده خود کنند.