هم رسان : محققان امنیتی سایبری یک کمپین جاسوسی را کشف کرده اند که مرکز اطلاعات ملی یک کشور آسیای مرکزی نامعلوم را برای انجام حملات watering hole مورد هدف قرار داده است.


به گزارش پایگاه خبری هم رسان به نقل از هکر نیوز، گفته می شود که این کمپین از پاییز سال 2017 به طور مخفیانه فعال بوده است اما در ماه مارس توسط محققان امنیتی از آزمایشگاه های کاسپرسکی کشف شدند، محققان این حملات را به یک گروه عامل تهدید چینی به نام LuckyMouse نسبت داده است.
LuckyMouse، که همچنین با نام هایIron Tiger، EmissaryPanda، APT 27 و Threat Group-3390 شناخته می شود، همان گروه از هکرهای چینی است که در اوائل سال جاری کشورهای آسیایی را با بدافزار استخراج بیت کوین مورد هدف قرار داد.
این گروه حداقل از سال 2010 فعال بوده و در بسیاری از حملات پیشین دست داشته است که موجب سرقت اطلاعات فراوانی از روسا و مدیران پیمانکاران دفاعی ایالات متحده شده است.

این بار این گروه یک مرکز داده ملی از یک کشور نامشخص در آسیای میانه را مورد هدف قرار داده است تا “با سرقتی گسترده به طیف گسترده ای از منابع دولتی دسترسی پیدا کند.”
به گفته محققان، این گروه کد جاوا اسکریپت را به وبسایت های رسمی دولتی مرتبط با مرکز داده تزریق کرده است تا حملات watering hole را انجام دهد.
اگر چه گفته می شود که LuckyMouse در گذشته برای استفاده از اسناد آفیس از یک آسیب پذیری پرکاربرد مایکروسافت آفیس (CVE-2017-11882) استفاده کرده است، اما محققان هیچ مدرکی برای استفاده از این تکنیک در این حمله خاص علیه مرکز داده پیدا نکرد ه اند.
هنوز مشخص نیست که هکرها از چه روشی برای حمله به این مرکز داده استفاده کرده اند، اما محققان معتقدند که LuckyMouse احتمالا حملات watering hole یا فیشینگ را انجام داده است تا حسابهای متعلق به کارمندان مرکز داده ملی را دستکاری کنند.
حمله به مرکز داده در نهایت سیستم هدف را با بدافزاری به نام HyperBro آلوده کرده است،این بدافزار یک تروجان دسترسی از راه دور (RAT) است که در سیستم هدف باقی می ماند و مدیریت از راه دور را برای هکرها ممکن می سازد.
محققان در پستی اعلام کردند:” از اواسط ماه نوامبر نشانه هایی از HyperBro در مرکز داده آلوده شده به دیده می شد. تنها کمی پس از آن، کاربران مختلف در سطح کشور به دلیل انجام حمله watering hole بر روی وب سایت های دولتی به دامین مخرب update.iaacstudio[.]com هدایت شدند.”
“این اتفاقات نشان می دهد که مرکز داده به HyperBro آلوده شده است و کمپین waterholing با این مرکز در ارتباط است.”
در نتیجه حمله waterholing ، وبسایتهای دولتی آسیب دیده، بازدیدکنندگان را به سرویس تست نفوذ Browser Exploitation Framework (BeEF) که مخصوص مرورگر وب است و یا چارچوب کشف ScanBox که به عنوان keylogger همین وظیفه را انجام می دهد، هدایت می کنند.
سرور فرمان و کنترل اصلی مورد استفاده در این حمله بر روی آی پی آدرسی هاست شده است که متعلق به یک Ukrainian ISP و به خصوص به یک روتر MikroTik است که یک سیستم عامل منتشر شده در مارس 2016 اجرا می کند.
محققان معتقدند که روتر MikroTik برای پیشبرد این کمپین هک شده است تا درخواست های HTTP بدافزار HyperBro را بدون شناسایی کردن این بدافزار پردازش کند.