اخبار فناوری اطلاعات
APT33: حمله ای که در آن صنایع عربستان مورد هدف هکرها واقع شد!
بهتازگی مشخص شده است گروهی از هکرها که با نام APT33 شناخته شده اند، پشت یک حمله ی سایبری بزرگ که شرکت های هوافضا، پتروشیمی و انرژی را واقع در عربستان سعودی و کره ی جنوبی آلوده کرده است، قرار گرفته اند. محققان بر این باورند که هکرهای پشت این حمله، گروهی هستند که در گذشته عربستان سعودی را مورد هدف سایبری خود قرار دادند.
به گزارش ایتنا از کسپرسکی آنلاین، بر اساس آخرین گزارش منتشر شده در روز چهارشنبه توسط FireEye، آخرین حمله این گروه هکری به وسیله یک dropper بوده است که آن را DropShot نامیدهاند و مدعی شدهاند که با بدافزار StoneDrill wiper (یک گونه نامعمول از شامون 2) در ارتباط است.
محققان گفتهاند که این بدافزار به وسیله کمپینهای فیشینگ که شامل تبلیغات برای کار در شرکت های هواپیمایی عربستان سعودی و سازمانهای غربی است، توزیع می شود. آنها بر این باورند که ایمیلها شامل فریبهایی برای استخدام هستند که هر کدام حاوی فایلهای HTML مخرب بودند.
محققان گفتند فایل های .hta شامل شرح و توصیف شغل و لینکها برای ارسال مشاغل مشروع در وب سایت های اشتغال محبوب بود که افراد مختلف را مورد هدف قرار داده بود. فایل .hta بدون توجه به کاربر، دارای کدهای جاسازی شده بود که به صورت خودکار یک درب پشتی APT33 را دانلود می کرد. لینک ها در ایمیل ها با دامنههای جعلی برای شرکتهای Boeing، شرکت هواپیمایی Alsalam، Northrop Grumman Aviation Arabia و Vinnell Arabia مورد استفاده قرار میگرفتند. بسیاری از این قربانیان که بر روی لینکها کلیک می کردند، به طور کاملا تصادفی و ناخواسته DropShot را دانلود می کردند. هدف هکرها از ثبت چندین دامنه به دام انداختن نهادها و سازمانهای مورد هدف بوده است.
در ماه مارس، لابراتوار کسپرسکی مقاله ای را در مورد لینک های بدافزار StoneDrill که به یک گونه از شامون ها مرتبط می شد و توانسته بود کمپانیهای Aramcoو Rasgas را در سال 2012 مورد هدف قرار دهد، منتشر ساخت. stoneDrill در آن زمان برای مقابله با سازمان های عربستان سعودی مورد استفاده قرار گرفت و در نهایت سر از سازمانهای پتروشیمی اروپا در آورد.
لابراتوار کسپرسکی در مقاله مربوطه نوشت: ” stoneDrill شباهت های بسیار زیادی با شامون دارد با این فرق که در آن چندین فاکتور و تکنیک جالب برای جلوگیری از تشخیص در این گونه وجود دارد”.
محققان لابراتوار کسپرسکی شباهتهای بسیاری را بین stoneDrill و یک گروه APT که با نام های NewsBeef یا Charming Kitten برای اکسپلویت فرم ورکهای مرورگرها پیدا کردند. اما لابراتوار کسپرسکی و FireEye هر دو بر این باور هستند که گروههایی که پشت حملات شامون و StoneDrill هستند، هردو یکسان هستند و این حملات هماهنگ شده توسط افراد مشترک بودند.
تیم های امنیتی اظهار دارند که APT33 از سال 2013 تاکنون در حال فعالیتهای جاسوسی است و هکرهای پشت این حمله برای دولتها فعالیت میکنند.
محققان امنیتی FireEye در گزارشی نوشتهاند: ” به تازگی در می ماه سال 2017، APT33 یک سازمان عربستان سعودی و یک کمپانی تجاری در کره جنوبی را با استفاده از یک فایل مخرب که در تلاش است تا کاربران را برای یک شغل مناسب در یک شرکت پتروشیمی عربستان به دام بیاندازد، مورد هدف قرار داده است”.
طبق گزارشهای متعدد از محققان امنیتی، هدف اصلی این حملات افزایش تواناییهای هوانوردی ، جمع آوری اطلاعات نظامی عربستان و کمک به شرکتهای پتروشیمی و منفعت کشوری که حمله را به راه انداخته است، بوده است.
طبق گزارش FireEye: “ما بدافزار APT33 را با گروهی که پشت این حمله بودند شناسایی کردیم. اینطور که مشخص است این بدافزار توسط دولتهایی برای انجام فعالیتهای تهدید آمیز علیه دشمنانش ایجاد شده است”.
منبع : ایتنا