دیپلمات‌ها زیر تیغ هکر‌ها

میترا جلیلی | تازه‌ترین گزارش کارشناسان امنیتی کمپانی ESET از کشف گروه جاسوسی سایبری (APT) جدیدی با نام BackdoorDiplomacy خبر داده که در ۴ سال گذشته، دیپلمات‌ها و بویژه وزرای امور خارجه را در بسیاری از کشور‌های آفریقایی و برخی کشور‌های خاورمیانه، آسیا و اروپا مورد هدف قرار داده است.

خبری که خواب بسیاری از دیپلمات‌ها را درجهان آشفته کرده و حالا همگی منتظر خبر‌های تازه این کمپانی هستند تا بدانند اطلاعات حساس کدام یک از دیپلمات‌های جهان به سرقت رفته یا احتمالاً دستکاری شده است.

ESET یک کمپانی امنیت اینترنت مستقر در اسلواکی است که محصولات آنتی ویروس و فایروال ارائه می‌دهد و تاکنون در زمینه کشف حملات سایبری در جهان بسیار موفق عمل کرده است.

محققان این کمپانی معتقدند گروه سایبری جدید که شرکت امنیتی ESET آن را با نام رمز BackdoorDiplomacy نامگذاری کرده است حداقل از سال ۲۰۱۷ تاکنون فعالیت داشته و قطعاً با پشتیبانی یک دولت خاص در حال فعالیت در جهان و گردآوری اطلاعات و ایجاد اختلال در کار دیپلمات هاست.

در این گزارش هنوز به کشور‌هایی که مورد حمله قرار گرفته‌اند اشاره‌ای نشده است، اما این احتمال می‌رود که به قربانیان اطلاع داده شده باشد و آن‌ها نیز به‌دلیل مسائل امنیتی علاقه‌ای به فاش کردن این تهدیدات ندارند.

«آدام بورگر»، تحلیلگر ارشد تهدید اطلاعات در شرکت امنیت سایبری اسلواکی ESET، در تازه‌ترین گزارش این کمپانی گفت: تحقیقات ما نشان می‌دهد که این گروه هکری، قربانیان خود را از دیپلمات‌هایی در وزارت امور خارجه بسیاری از کشور‌های آفریقایی و همچنین چند کشور اروپایی، خاورمیانه و آسیا انتخاب می‌کرده که البته بیشتر در سطح وزرای امورخارجه بوده است.

بورگر افزود: البته این بدان معنا نیست که این گروه مجرم سایبری تنها به دیپلمات‌ها بسنده می‌کنند و اطلاعات و شواهدی که در دست داریم نشان می‌دهد شرکت‌های مخابراتی و ارتباطی در آفریقا و حداقل یک سازمان خیریه در خاورمیانه از دیگر اهداف این گروه سایبری بوده است.

این محقق کمپانی ESET گفت: گروه هکری BackdoorDiplomacy در گام نخست نقاط ضعف وسایل، سیستم‌ها و دستگاه‌های متصل به اینترنت ازجمله سرور‌های وب و رابط‌های مدیریتی برای تجهیز شبکه را مورد توجه قرار می‌دهد و درواقع همین ضعف هاست که راه را برای حمله موفق این گروه هکری هموار می‌کند. شواهد نشان می‌دهد که این گروه هکری حمله‌هایی موفق به سرور‌های ایمیل Microsoft Exchange، پنل‌های مدیریت میزبانی وب Plesk و دستگاه‌های F۵ BIG-IP داشته‌اند.

بورگر یادآور شد: هکر‌ها به محض آلوده کردن سیستم‌های هدف و معمولاً قبل از گسترش بدافزار مخرب مورد نظر خود، یک در پشتی را نصب می‌کنند و طیف وسیعی از ابزار‌ها را برای انجام نظارت و سرقت اطلاعات به کار می‌گیرند. گفتنی است کمپانی ESET از این در پشتی با نام Turian یاد می‌کند.

به‌دنبال ایجاد این در پشتی، یک ابزار اسکن اپن سورس (منبع باز) را بارگیری کرده و مورد استفاده قرار می‌دهند تا بتوانند در شبکه براحتی حرکت کرده و میزان آلودگی را تا حدامکان بالا ببرند.

گفتنی است این تروجان مخرب می‌تواند هم به نسخه‌های ویندوز وهم لینوکس حمله کند که خبر بسیار بدی برای قربانیان است چراکه تعداد دستگاه‌های درمعرض خطر را بالاتر می‌برد. به این ترتیب پس‌از حمله به سیستم‌ها، هکر‌ها می‌توانند با اهداف حساس ارتباط برقرار کرده، سیستم‌های آن‌ها را جست‌و‌جو کنند و اطلاعات مهم را پاک کرده و از بین ببرند.

گرفتن عکس از صفحه و همچنین رونویسی، انتقال، حذف یا سرقت پرونده‌ها از دیگر تلاش‌های این هکر‌ها برای ایجاد اختلال در عملکرد دستگاه‌های دیپلماتیک در آفریقا، خاورمیانه و برخی کشور‌های اروپایی بوده است.

این محقق کمپانی ESET همچنین اظهار داشت که مشاهده شده است BackdoorDiplomacy برای وسعت بخشیدن به فعالیت‌های جاسوسی سایبری خود، نه تنها کامپیوتر‌ها و سرور‌ها که حتی وسایل جانبی قابل جابه‌جایی ازجمله درایو‌های USB را نیز آلوده می‌کنند تا به محض اتصال این یو اس بی‌ها به سیستم‌های مختلف بلافاصله بدافزار مخرب در شبکه گسترش یابد و به موفقیت عملیات هک و حمله سایبری کمک شایان توجهی کند.

در واقع این بدافزار درایو‌های فلش را اسکن کرده و سعی می‌کند همه پرونده‌هایی که از آن‌ها در بایگانی‌های محافظت شده با رمزعبور نگهداری می‌شود را کپی کرده و سپس اطلاعات را ازطریق در پشتی به مرکز کنترل (C۲) منتقل کند.

هرچند کمپانی ESET این گروه هکری جدید را به‌طور رسمی به یک کشور خاص مربوط ندانست و آن را تشکیل یافته از چندین گروه آسیایی توصیف کرد، ولی برخی محققان، BackdoorDiplomacy را مرتبط با چین می‌دانند. اما چرا نگاه‌ها به سمت چین رفته است؟

برخی این حملات را به چندین عامل تهدید مستقر در چین متصل می‌کنند و احتمال می‌دهند که این گروه ممکن است حداقل با یکی از آن‌ها یکسان یا در ارتباط باشد. تصور می‌شود درپشتی Turian، براساس Backdoor Quarian یعنی بدافزار مرتبط با حملات سال ۲۰۱۳ علیه اهداف دیپلماتیک در سوریه و ایالات متحده، به وجود آمده است.

این حمله هکری جدید شباهت‌هایی نیز با هک فورتنایت در سال ۲۰۱۷ و Intezer در ۲۰۱۸ و همچنین یک عملیات هک چینی علیه وزارت امور خارجه ایالات متحده دارد و برخی محققان نیز معتقدند که این گروه هکری از روش رمزگذاری مشابه درب پشتی Dr.Web استفاده می‌کنند که مؤسسات دولتی در قزاقستان و قرقیزستان را از سال ۲۰۱۷ تا ۲۰۲۰ مورد حمله قرار داد. البته گفتنی است که چین هنوز واکنشی نسبت به این موضوع نشان نداده و طبعاً مسئولیت این حملات را به عهده نگرفته است.

طبق گزارش کمپانی ESET، در حمله سایبری BackdoorDiplomacy بیشترین تعداد قربانی‌ها به آفریقا بازمی‌گردد و دقیقاً این کشور‌های آفریقایی هستند که بیش از همه، بر دست داشتن چین در این حملات سایبری تأکید دارند.

در اوایل سال جاری میلادی مرکز مطالعات استراتژیک آفریقا در گزارشی عنوان کرده بود که بیشترین نگرانی‌ها در مورد جاسوسی سایبری در آفریقا با چین مرتبط است چراکه حدود ۸۰ درصد همه زیرساخت‌های شبکه‌های ارتباطی این قاره و همچنین شبکه‌های دولتی بیش از ۲۰ کشور آفریقایی توسط چین راه‌اندازی شده است و همین موضوع نشان می‌دهد که چقدر دست این کشور برای نفوذ در زیرساخت‌های آفریقا باز است.

این نخستین بار نیست که کشور‌های آفریقایی به‌طور گسترده مورد حمله سایبری قرار می‌گیرند و در سال ۲۰۱۸ نیز در گزارشی عنوان شد که همه محتوای سرور‌ها در مقر‌های اتحادیه آفریقا (AU) به‌طور مداوم به شانگ‌های انتقال می‌یابد و وقتی مهندسان آفریقایی برای جایگزینی سرور‌ها اقدام کردند این بار جاسوسی چین ازطریق دوربین‌های نظارتی صورت گرفت.

پیش از این نیز بدافزار خطرناک Pegasus به طور همزمان ۱۱ کشور آفریقایی را مورد حمله قرار داده بود که درنهایت مشخص شد هکر‌ها هم از داخل وهم خارج از آفریقا در این کار دخیل هستند و با انتقال اطلاعات در ساعات عادی کاری به چین، مسیر‌های خود را پنهان می‌کنند.

در آفریقا حمله به زیرساخت‌های حیاتی به امری متداول تبدیل شده و بانک‌ها تاکنون میلیارد‌ها دلار درنتیجه خرابکاری در سیستم‌ها از دست داده‌اند. حال باید منتظر ماند و دید در گزارش‌های بعدی کمپانی ESET نام چه کشور‌هایی در میان قربانیان قرار می‌گیرد.

منبع: روزنامه ایران