شناسایی یک حمله سایبری به بیش از صد کشور

پژوهشگران شرکت امنیتی Trend Micro ضمن شناسایی یک عملیات خربکارانه سایبری اعلام کردند که این حمله تاکنون کامپیوترهای چندین وزارتخانه دولتی، شرکت‌‌ های فناوری، کانال‌ های رسانه‌ای، موسسه‌های تحقیقاتی دانشگاهی و سازمان‌های غیردولتی در بیش از صد کشور جهان را مورد هدف قرار داده‌است. این عملیات خرابکارانه که شرکت ترند مایکرو آن‌را SafeNet می‌خواند با ترفندی موسوم به spear phishing، ایمیل‌های قربانیان خود را با الصاق ضمیمه‌های آلاینده مورد حمله قرار داده‌است.

به گزارش سافت‌گذر به نقل از فن آوری اطلاعات ایران، محققان ترندمایکرو دو گروه سرور فرمان و کنترل (به‌اصطلاح command-and-control یا C&C) را شناسایی کرده‌اند که به‌ نظر می‌رسد مجرمان از آن‌ها به‌عنوان دو پایگاه مجزا جهت ترتیب دادن حمله‌ به اهداف مختلف استفاده کرده‌اند. یکی از این پایگاه‌ها ایمیل‌هایی با ضمیمه آلوده ارسال می‌کرد که در آن‌ها مطالبی درباره تبت و مغولستان نوشته شده‌ بود. ضمیمه این ایمیل‌ها فایل‌های ورد مایکروسافت با پسوند .doc بود و برای نفوذ به کامپیوتر کاربر از ضعف موجود در برنامه ورد که البته مایکروسافت در آوریل سال گذشته وصله‌‌گذاری‌ اش کرده‌ بود، استفاده می‌کردند.

با بررسی لاگ‌ های دسترسی روی سرورهای این پایگاه، در مجموع ۲۴۳ آدرس آی‌ پی منحصر به‌فرد متعلق به کامپیوترهای قربانی‌ به‌دست آمد که در ۱۱ کشور جهان پراکنده بودند. البته زمانی که این حمله کشف شد، تنها آدرس آی‌ پی سه قربانی در دو کشور مغولستان و سودان فعال و با سرورهای مهاجم در ارتباط بودند.

سرورهای C&C در پایگاه دوم ۱۱۵۶۳ آدرس آی‌ پی منحصر به‌فرد از ۱۱۶ کشور جهان را مورد حمله قرار داده‌ بودند اما ظاهراً شمار قربانیانی که از این حمله واقعاً تاثیر پذیرفته‌اند بسیار کمتر از این تعداد بوده‌است چون حین بررسی‌ها تقریباً ۷۱ قربانی همچنان با سرورهای C&C این پایگاه در ارتباط بودند. هنوز مشخص نشده‌است که در حمله‌های ایمیلی پایگاه دوم از چه راه‌ کاری برای نفوذ به کامپیوترها استفاده شده‌‌است ولی هرچه که هست به‌نظر می‌رسد حمله پایگاه دوم در مقایسه با پایگاه نخست، گسترده‌تر بوده و شش کشور هند، ایالات‌ متحده، چین، پاکستان، فیلیپین و روسیه را بیش از دیگران تحت‌ تاثیر قرار داده‌است.

هدف بدافزاری که طی این حمله‌ روی کامپیوترهای قربانی نصب می‌شد در وهله اول، سرقت اطلاعات بود. روی سرورهای C&C نیز پلاگین‌ هایی کشف شد که می‌توانستند گذرواژه‌های ذخیره‌شده در مرورگرهای اینترنت‌اکسپلورر و فایرفاکس و نیز اطلاعات ذخیره‌شده روی Remote Desktop ویندوز را استخراج کنند.