شرکت کسپرسکی در گزارش اخیر خود با افشای حملات هدفمند سایبری در حوزه زیرساختهای صنعتی، یادآور شده است که این حملات از ژانویه ۲۰۲۲ در جهان شناساییشده و تاکنون دهها شرکت هدف مهاجمان قرار گرفته است.
منبع : مرکز مدیریت راهبردی افتا
شرکت کسپرسکی در گزارش اخیر خود با افشای حملات هدفمند سایبری در حوزه زیرساختهای صنعتی، یادآور شده است که این حملات از ژانویه ۲۰۲۲ در جهان شناساییشده و تاکنون دهها شرکت هدف مهاجمان قرار گرفته است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، روش اصلی نفوذ این حملات، ایمیلهای فیشینگ هدفمند بیانشده است. در برخی از موارد، این ایمیلها که با دقت و حساسیت بالایی ایجاد شدهاند، حاوی اطلاعات و دادههایی هستند که مختص همان سازمان و حوزه کاری است و این اطلاعات در دسترس عموم نیست؛ که این امر، بیانگر این مسئله است مهاجمان، مراحل قبل از حمله و به دست آوردن اطلاعات را بهخوبی انجام دادهاند.
ممکن است این اطلاعات در حملات قبلی به همان سازمان یا کارکنان آن یا سایر سازمانها یا افراد مرتبط با سازمان قربانی بهدستآمده باشد. در این ایمیلها، فایل مایکروسافت مخربی وجود دارد که کد مخرب موجود در آن، با سوءاستفاده از آسیبپذیری CVE-۲۰۱۷-۱۱۸۸۲ مهاجم را قادر میسازد تا کد دلخواه خود را بدون هیچگونه فعالیت اضافی کاربر اجرا کند.
در حملات سری اول از بدافزار PortDoor استفادهشده است و در سری جدید حملات، مهاجمان از شش در پشتی متفاوت بهطور همزمان استفاده کردهاند (حفظ افزونگی و ارتباط پایدار در صورت شناسایی یکی از آنها توسط آنتیویروسها). این بدافزارها عملیات مرتبط با کنترل سیستمهای آلوده و جمعآوری دادههای محرمانه و ارسال آن به سرورهای C&C را انجام میدهند.
مهاجم پس از آلودهسازی سیستم اولیه، فرآیند آلودهسازی سایر سیستمها را دنبال میکند. برای این هدف، مهاجم از اطلاعات مرتبط با اسکن شبکه (که در مرحله قبل استخراجشده است)، جستجو و اکسپلویت آسیبپذیریها، حملات پسورد استفاده میکند. در مرحله نهایی، مهاجم کنترل DC و کل ایستگاههای کاری و سرورها را به دست میآورد. در طول این عملیات، مهاجم از تکنیکهای گوناگونی برای جلوگیری شناسایی ابزارهای خود توسط آنتیویروسها استفاده میکند.
یکی از مهمترین کارهایی که مهاجمان در سیستمهای آلوده انجام میدهند، سرقت مستندات و فایلهای مهم سازمانی است. برای این منظور، فایلهای مهم بهصورت فشرده و دارای پسورد ذخیره و برای سرورهای میانی (سرورهای مرحله یک) خود ارسال میکنند. سرورهای میانی، این فایلها را برای یک سرور دیگر (سرور مرحله دوم) ارسال میکنند.
بر اساس گزارش کسپرسکی، تاکنون دهها قربانی برای این حمله شناساییشده است که نوع قربانیان هدفمند بودن این حملات را نشان میدهد. صنایع دفاعی از جمله اهداف اصلی این حملات محسوب میشوند. این حمله کارخانههای صنعتی، مؤسسات تحقیقاتی، سازمانهای دولتی، وزارتخانهها و ادارات را در چندین کشور بلاروس، روسیه و اوکراین و همچنین افغانستان هدف قرار داده است.
شواهد شبکهای و سیستمی برای شناسایی فعالیت این بدافزار به شرح زیر است، با توجه به اینکه این بدافزار از اوایل سال میلادی فعالیت داشته، برای شناسایی آن باید در دادههای آرشیو (ترافیکی و رویدادها) جستجو انجام شود.