در ادعایی جدید، ارتش آمریکا فعالیت‌های گروه جاسوس سایبری MuddyWater را به ایران نسبت داد

به تازگی مرکز فرماندهی سایبری آمریکا، MuddyWater را به نهادهای اطلاعاتی ایران نسبت داده و در بیانیه‌ای در رابطه با مجموعه ابزارهای پیچیده این گروه توضیحاتی ارایه کرده است.

این مرکز تأیید نموده که MuddyWater یک گروه تهدید پیشرفته مستمر ([1]APT) است که تحت عناوین Mercury، Static Kitten، TEMP.Zagros یا Seedworm نیز شناخته می‌شود. بنا بر ادعای این مرکز، گروه سایبری MuddyWater وابسته به اطلاعات ایران بوده و معمولاً دولت‌های خاورمیانه را مورد هدف قرار می‌دهد.

پیش از این نیز شک و تردیدهایی در این زمینه وجود داشت، ولی دولت آمریکا این موضوع را صریحاً تأیید کرده است. مرکز فرماندهی سایبری آمریکا همچنین مجموعه‌ای از ابزارهای متن باز و رویکردهای مورد استفاده MuddyWater جهت مورد هدف قرار دادن سیستم‌ها و توزیع بدافزار منتشر کرد.

بر اساس اطلاعیه این مرکز: «MuddyWater از مجموعه‌ای از رویکردهای مختلف برای حفظ دسترسی به شبکه‌های قربانی استفاده کرده است. بارگذاری جانبی DLLهایی که هدف آنها فریب نرم‌افزارهای سالم و عادی برای اجرای بدافزار و مبهم‌سازی اسکریپت‌های powershell جهت مخفی نمودن توابع کنترلی و فرمان‌ها می‌باشد از جمله روش‌های مورد استفاده MuddlyWater برای انجام فعالیت‌های مخرب و جاسوسی سایبری است».

USCYBERCOM یکسری از بدافزارهای منتصب به این گروه را در وب‌سایت VirusTotal بارگذاری نموده و هشدار داده که در صورت مشاهده دو یا چند نمونه از این بدافزارها بر روی شبکه‌تان، احتمال نفوذ MuddyWater به آن وجود دارد.

متن توئیت مرکز فرماندهی سایبری آمریکا

این ادعا در اطلاعیه مطبوعاتی این مرکز در توئیتر منتشر گردیده است: «MuddyWater یکی از زیرمجموعه‌های وزارت امنیت و اطلاعات ایران ذکر شده است. این نهاد نظارتی، وظیفه جاسوسی از مخالفان نظام و نظارت بر روی فعالیت‌های ضد نظام با کمک شبکه‌ای از عوامل مستقر در سفارتخانه‌های ایران را برعهده دارد».

نسخه‌های جدید بدافزار PowGoop

بنا بر گفته مرکز فرماندهی سایبری آمریکا، نسخه جدید، خانواده‌ای از بدافزارها تحت عنوان PowGoop از جمله ابزارهای مورد استفاده MuddyWater است. این بدافزارها برای اولین بار توسط سازمان پالو آلتو نتورکس معرفی شدند.

مجرمان سایبری از PowGoop برای حمله بر ضد دو سازمان دولتی در خاورمیانه و شمال آفریقا و نصب و اجرای یک نسخه از باج‌افزار Thanos استفاده می‌کردند. محققین پالو آلتو متوجه شدند که هکرها از یک ابزار دانلود کننده جهت اتصال به یک سرور راه دور، دانلود و اجرای اسکریپت‌های پاورشل استفاده می‌کنند. کارشناسان امنیتی این بدافزار را  PowGoop نامگذاری کردند. این نام ریشه در استفاده از GoogleUpdate.exe برای بارگذاری یک نسخه مخرب و دستکاری شده از goopdate.dll دارد. از فایل DLL برای بارگذاری یک اسکریپت پاورشل مخرب از یک فایل خارجی استفاده می‌شد.

نسخه جدید PowGoop نسبت به گذشته قوی‌تر و پیشرفته‌تر شده است. وب‌سایت SentinelLabs اعلام نمود: «با توجه به شناسایی نسخه‌های جدید و پیشرفته PowGoop در حوادث سایبری اخیر، استفاده از این بدافزار و اصلاح آن همچنان ادامه دارد».

Amitai Ben Shushan Ehrlich محقق امنیتی در شرکت SentinelOne می‌گوید: «نسخه‌های جدید نشان می‌دهد که این گروه مجموعه ابزارهای خودش برای بارگذاری DLLهای مخرب را توسعه داده است».

Ehrlich می‌گوید: «علاوه بر GoogleUpdate.exe، نرم‌افزارهای Git.exe، FileSyncConfig.exe و Inno_Updater.exe نیز برای بارگذاری DLLهای مخرب، مورد سوءاستفاده قرار گرفته‌اند».

مرکز فرماندهی سایبری آمریکا نمونه‌های جدیدی از مجموعه ابزارها و رویکردهای MuddyWater (مثل ابزارهای فرماندهی و کنترل، در پشتی Mori و روش تونل‌زنی DNS) را به همراه فایل‌های جاوااسکریپت مورد استفاده برای برقراری ارتباط با زیرساخت‌های مخرب منتشر کرده است. MuddyWater از در پشتی Mori  و رویکرد تونل‌زنی DNS به ترتیب برای جاسوسی سایبری و برقراری ارتباط با زیرساخت فرماندهی و کنترل استفاده نموده است.

مرکز فرماندهی سایبری آمریکا ماننده گذشته بدون هیچ دلیل محکمه پسندی ایران را متهم نموده و اعلام کرده است: «وجود هر نمونه‌ای از این فایل‌ها در یک شبکه می‌تواند نشان‌دهنده حضور مهاجمان در شبکه باشد. اگر متصدی شبکه وجود چند نمونه از این ابزارها را در شبکه شناسایی کند، احتمال نفوذ هکرهای ایرانی به آن شبکه وجود دارد».

رویکردهای مورد استفاده

SentinelLabs یکسری از راهکارهای مورد استفاده MuddyWater را شناسایی نموده است که در ادامه مورد بررسی قرار می‌دهیم.

فعالیت‌های تونل زنی MuddyWater

بنا بر گزارش‌های وب‌سایت SentinelOne: «عوامل MuddyWater تمایل بسیار زیادی به استفاده از ابزارهای تونل‌زنی برای انجام فعالیت‌های گسترده دارند. از ابزارهای اختصاصی مورد استفاده این گروه که معمولاً دارای امکانات چندان زیادی هم نیستند برای نصب ابزارهای تونل‌زنی استفاده می‌شود».

SentinelOne اظهار داشته: «مهاجمان MuddyWater از ابزارهای تونل‌زنی مختلف مثل Chisel، SSF و Ligolo استفاده می‌کنند. این ابزارها به مهاجمان امکان می‌دهند که به سیستم‌های درون محیط هدف که فرضاً در یک شبکه LAN هستند متصل شوند».

سوءاستفاده از ابزار Exchange مایکروسافت

تیم امنیتی Sentinel متوجه شده که MuddyWater سرورهای Exchange سازمان‌های مهم را مورد هدف قرار می‌دهد. بنا بر گفته‌های Ehrlich، محقق امنیتی در Sentinel: «انجام چنین عملیاتی کاملاً وابسته به مجموعه ابزارهای امنیتی تهاجمی بوده و در دسترس عموم قرار دارند. از این رو بدون در اختیار داشتن اطلاعات زمینه‌ای، انتساب آنها به MuddyWater چندان آسان نیست».

بنا بر نتایج تحقیقات Sentinel مهاجمان از دو ابزار زیر برای سوءاستفاده از سرورهای Exchange استفاده می‌کنند:

• یک اسکریپت عمومی با کد شناسایی CVE-2020-0688. این آسیب‌پذیری امکان اجرای کد از راه دور را برای یک کاربر احرازهویت شده فراهم می‌کند.
• یک فریم‌ورک متن باز Ruler. به‌تازگی نیز از این فریم‌ورک برای حمله بر ضد شرکت‌های فناوری اطلاعات و اپراتوری‌های مخابرات خاورمیانه استفاده می‌شود.

مرکز فرماندهی سایبری آمریکا اعلام کرده که گروه MuddyWater همچنان در حال رشد، توسعه و تکمیل ابزارهای خودش است. Ehrlich می‌گوید: «اگرچه این گروه همچنان متکی بر ابزارهای امنیتی تهاجمی عمومی است، ولی مجموعه ابزارهای خودش را کامل‌تر نموده و از فنون جدید برای پیشگیری از شناسایی شدن استفاده می‌کند». Ehrlich همچنین به رشد و تکامل خانواده بدافزارهای PowGoop، استفاده از ابزارهای تونل زنی توسط MuddyWater و هدف‌گیری سرورهای Exchange سازمان‌های مهم اشاره می‌کند.

بنا به گفته :Ehrlich «رویکردهای این گروه نسبت به سایر گروه‌های APT دولتی از پیچیدگی فنی کمتری برخوردار است. با این وجود پشتکار این گروه تأثیر بسزایی در موفقیت آنها دارد. از این رو پیاده‌سازی فنون نه چندان پیچیده مانع از دستیابی آنها به هدفشان نمی‌شود».

[1] advanced persistent threat

منبع: threatpost