گزارش گوگل درباره گروه هکری چینی APT31

گزارش گوگل درباره گروه هکری چینی APT31

گروه تحلیل تهدیدهای سایبری شرکت گوگل (Google TAG) گزارشی را منتشر شده که حاوی اطلاعات جدیدی درباره هکرهای وابسته به دولت چین است؛ یک گروه هکری دولتی که در اوایل سال جاری، کمپین انتخاباتی جو بایدن (Joe Biden) کاندیدای ریاست جمهوری آمریکا را از طریق ارسال ایمیل ‌های فیشینگ هدف حملات خود قرار داده بود که البته موفقیت چندانی هم نداشت.

Google TAG در گزارش خود اعلام کرده گروه “APT31” که با نام “Zirconium” نیز شناخته می شود، از GitHub و دراپ باکس به عنوان زیرساخت فرماندهی و کنترل خود برای میزبانی بدافزارها استفاده کرده تا علاوه بر این که مانع شناسایی خود شود بتواند از دید تجهیزات و سامانه های امنیتی نیز مخفی بماند. البته در این گزارش مشخص نشده آیا این تکنیک‌ ها با آن چه بر ضد کمپین انتخاباتی بایدن استفاده شده است، یکسان بوده‌اند یا خیر.

مدیر Google TAG گفته است که: «تمام این حملات مخرب بر روی سرویس ‌های مجاز میزبانی می‌شدند که چنین موضوعی کار تشخیص ابزارهای دفاعی را با استفاده از سیگنال ‌ها و نشانه های شبکه سخت ‌تر می کند».

طبق روال گذشته، شرکت گوگل اطلاعات تکمیلی برای انجام تحقیقات بیشتر را در اختیار FBI قرار داده است. این شرکت تنها در سه ماهه سوم سال جاری، بیش از 10 هزار هشدار درباره تهدیدهای سایبری با پشتوانه دولتی ارسال کرده و شاهد افزایش فعالیت مهاجمانی بوده که کمپین‌ های انتخاباتی را هدف حملات خود قرار داده اند.

در دو هفته باقی مانده به انتخابات آمریکا، حجم حملات دولتی که کمپین‌ های بایدن، ترامپ و دیگران را هدف گرفته اند به شدت افزایش پیدا کرده و به گفته مدیرعامل و بنیانگذار یکی از شرکت های امنیتی، این حملات می توانند آمریکا را از جهت امنیت سایبری در شرایط حساسی قرار دهند. وی همچنین بیان کرده: «در چهار سال اخیر، مهاجمان تلاش زیادی برای جمع‌ آوری اطلاعات از احزاب مختلف انجام داده اند و حالا با نزدیک شدن رقابت به دور پایانی، این تلاش‌ ها شدت بیشتری گرفته و شاهد افزایش حملات فیشینگ هدفمند و سایر حمله ‌هایی هستیم که تمرکز اصلی آنها به خطر انداختن اعتبار کاندیداهای انتخاباتی است».

 

اندکی راجع به APT31

محققان Google TAG در این گزارش اعلام کرده اند ایمیل‌ های فیشینگ ارسال شده توسط گروه APT31 حاوی لینک‌ های مخربی هستند که در صورت کلیک بر روی آنها می توانند بدافزارهایی را از GitHub دانلود کنند. این بدافزارها فایل های اجرایی پایتون بوده که در صورت نصب، به هکرها اجازه می‌دهند فایل‌ های دلخواه شان را بر روی سیستم های قربانی آپلود و دانلود کرده و فرمان‌ های مورد نظرشان را اجرا کنند. همچنین این کد مخرب، توانایی اتصال به سرورهای فرماندهی و کنترل خود که در دراپ باکس پشتیبانی می شود را دارد.

در یکی از موارد شناسایی شده، ایمیل‌ های فیشینگ ارسالی حاوی لینک هایی بوده اند که به صورت به روزرسانی‌ های امنیتی شرکت مک‌آفی طراحی شده بودند و قربانیان را دعوت به دانلود و نصب فوری یک نرم‌افزار امنیتی می‌کردند. بر اساس گزارش شرکت گوگل، «در این ایمیل های فیشینگ اعلام می‌شده که هر چه سریع ‌تر اقدام به دانلود و نصب یک نسخه معتبر از نرم افزار ضدویروس مک‌آفی از طریق GitHub کنند. همزمان با این عمل، یک بدافزار هم به صورت مخفیانه بر روی سیستم هدف نصب می‌شده است».

Tom Kellermann مدیر راهبردهای امنیت سایبری شرکت VMware که در سال های گذشته مشاور امنیت سایبری اوباما بوده است، می‌گوید: «گزارش جدید شرکت گوگل، قابلیت‌ گروه‌ هایی مثل APT31 را برای ما آشکارتر می‌کند». به گفته وی، «APT31 همواره در حال بهبود و پیشرفته ‌تر کردن زنجیره کشتار خود با بهره گیری از زبان برنامه نویسی پایتون بوده و از GitHub برای توزیع بدافزارهایش استفاده می‌کند».

لازم به ذکر است یک گروه هکری چینی به نام “Gadolinium” نیز از پلتفرم آژور مایکروسافت به عنوان مرکز فرماندهی و کنترل برای اجرای حملات فیشینگ خود استفاده می‌کرده است. به همین دلیل شرکت مایکروسافت اعلام کرده 18 برنامه کاربردی را از پلتفرم آژور حذف می‌کند.

 

حملات DDoS

علاوه بر کمپین‌ های فیشینگ، شرکت گوگل خبر از افزایش حملات ممانعت از سرویس توزیع شده در چند ماه  اخیر نیز داده است. در ماه گذشته، FBI و مؤسسه امنیت زیرساخت و امنیت سایبری آمریکا درباره افزایش حمله‌ های DDoS که می‌تواند یکی از عوامل تأثیرگذار بر انتخابات ماه نوامبر آمریکا باشد، هشدار داده اند.

طبق گزارش Google TAG، «هر چند حملات DDoS که با پشتوانه دولتی اجرا می‌شوند، کمتر از حملات فیشینگ یا کمپین‌ های هک هستند اما در طول چند سال اخیر شاهد افزایش توانایی گروه‌ های بزرگ برای اجرای چنین حملاتی بوده ایم». همچنین شرکت گوگل در گزارش خود اعلام کرده در سال 2017 میلادی یک حمله DDoS با شدت 2.54 ترابایت بر ثانیه را متوقف نموده است. به احتمال زیاد، این حمله بزرگترین حمله DDoS می باشد که تاکنون گزارش شده است. در ماه فوریه هم پلتفرم خدمات وب آمازون خبر از اجرای یک حمله DDoS با شدت 2.3 ترابایت بر ثانیه را داد.

یکی از کارشناسان امنیت سایبری شرکت گوگل می‌گوید: «زیرساخت ما در سال 2017 شاهد اجرای حمله DDoS با شدت 2.5 ترابایت بر ثانیه بود اما این حمله با وجود هدف قرار دادن هزاران آی ‌پی به صورت همزمان و با امید شکست سازوکارهای دفاعی خودکار، بی اثر بود». بر اساس گزارش این شرکت، ظاهراً این حمله از سمت چهار ارایه دهنده سرویس اینترنت در کشور چین اجرا شده و تشکیلات اجرا کننده این حمله، بودجه و سازمان دهی قوی داشته اند. این شرکت هم اکنون اطلاعات این حمله را منتشر کرده تا بتواند توجه مسئولان را به سمت حملات DDoS که ظرف چند ماه اخیر انجام شده‌اند بیشتر جلب کند.

یک تحلیلگر هوش تهدیدات سایبری معتقد است تعداد این حملات و پیچیدگی آنها افزایش خواهد یافت. وی بیان کرده: «به تازگی و پس از این که کمپین‌ های اخاذی DDoS شروع به کار کرده اند، شاهد تکامل هر چه بیشتر چنین تهدیدهایی بوده ایم و احتمال افزایش چنین حملاتی در آینده باز هم وجود دارد».

 

منبع: bankinfosecurity

خروج از نسخه موبایل