هم رسان: محققان امنیتی کسپرسکی یک گروه هک پیشرفته APT را شناسایی کرده اند که از سال 2012 به خاطر استفاده از تکنیک های هکر هوشمندانه و پیچیده بدون این که مورد توجه قرار بگیرند، خیلی راحت به کار خود ادامه داده اند.

به گزارش پایگاه خبری هم رسان و به نقل از هکرنیوز، این گروه هکری از یک بدافزار بسیار پیچیده با نام Slingshot استفاده کرده است تا با هک کردن روتر صدها هزار قربانی در خاورمیانه و آفریقا، آنها را آلوده کند.
طبق گزارش 25 صفحه ای شرکت امنیتی کسپرسکی این گروه از آسیب پذیری های موجود در روترهای تولید شده توسط شرکت ارائه کننده سخت افزار شبکه با نام Mikrotik واقع در لتونی به عنوان مسیر وارد کردن آلودگی استفاده کرده است تا به صورت مخفیانه جاسوس افزار را در کامپیوترهای قربانیان قرار دهد.
اگر چه هنوز مشخص نیست که این گروه چگونه موفق به دستکاری این روترها شده است، اما کسپرسکی برای دستکاری روترهای Mikrotik به اسناد Vault 7 سیا اشاره می کند که توسط ویکی لیکس منتشر شده است و اکسپلویت ChimayRed را نشان می دهد که در حال حاضر در GitHub موجود است.
زمانی که یک روتر دستکاری می شود، مهاجمان یکی از فایل های DDL این روتر را با یک فایل مخرب از فایل سیستم جایگزین می کنند، و وقتی کاربر نرم افزار Winbox Loader را اجرا می کند این فایل مستقیما در داخل حافظه کامپیوتر بارگذاری می شود.

Winbox Loader یک ابزار مدیریتی معتبر و قانونی است که توسط شرکت Mikrotik برای کاربران ویندوزی طراحی شده است تا به راحتی روترهای خود را کانفیگ کنند تا فایل های DLL را از روتر بارگذاری کرده و آنها را در روی یک سیستم اجرا کنند.
به این طریق فایل DLL مخرب بر روی کامپیوتر مورد هدف اجرا می شود و با سرور از راه دور ارتباط برقرار می کند تا بدافزار نهایی Slingshot را بارگذاری کنند.
بدافزار Slingshot شامل دو ماژول Cahnadr و GollumApp است که برای جمع آوری اطلاعات، ماندگاری و فشرده سازی داده ها طراحی شده اند.
ماژول Cahnadr که با نام NDriver نیز معروف است، به مواردی همچون قابلیت ضد اشکال زدایی، روت کیت و اسنیفینگ ، دیگر ماژول های تزریق، ارتباطات شبکه ای و اساسا تمامی قابلیت های مورد نیاز توسط ماژول های حالت کاربری رسیدگی می کند.
کسپرسکی در یک پست می نویسد:” Cahnadr یک برنامه لایه کرنل است که قادر به اجرای کد مخرب بدون کرش کردن تمامی فایل سیستم و یا ایجاد Blue Screen است که این یک دستاورد قابل توجه به حساب می آید.
Canhadr/Ndriver که با زبان خالص C نوشته شده است، دسترسی کامل به درایو سخت و حافظه را علیرغم محدودیت های امنیتی دستگاه فراهم می آورد و کنترل کامل مولفه های سیستم را به دست می گیرد تا از اشکال زدایی و تشخیص های امنیتی جلوگیری کند.

در حالیکه، GollumApp یک ماژول بسیار پیچیده است که طیف وسیعی از قابلیت های جاسوسی را دارد و به هکرها این اجازه را می دهد تا اسکرین شات بگیرند، اطلاعات مرتبط با شبکه را جمع آوری کنند، پسوردهای ذخیره شده در مرورگرهای وب را به دست آورند، تمامی دکمه های استفاده شده را ضبط کنند، و ارتباط خود را با سرورهای فرمان و کنترل از راه دور حفظ کنند.
از آنجایی که GollumApp در لایه کرنل اجرا می شود و همچنین فرایندهای جدیدی با امتیازات SYSTEM اجرا می کنند، بدافزار کنترل کامل سیستم های آلوده را به مهاجمان می دهد.
اگرچه کسپرسکی این گروه هکری را به کشور خاصی نسبت نداده است اما بر اساس تکنیک های هوشمندانه و اهداف محدود این گروه، این شرکت امنیتی به این نتیجه رسیده است که این گروه هکری یک گروه دولتی انگلیسی زبان قدرتمند است.
محققان می کویند:” Slingshot بسیار پیچیده است و کاملا مشخص است که توسعه دهندگان آن وقت و زمان زیادی برای ایجاد آن صرف کرده اند. روش آلوده سازی بسیار قابل توجه و تا جایی که ما می دانیم منحصر به فرد است.”
قربانیان در بیشتر موارد افراد و سازمان های دولتی در کشورهای مختلف از جمله کنیا، یمن، لیبی، افغانستان، عراق، تانزانیا، اردن، موریس، سومالی، جمهوری دموکراتیک کنگو، ترکیه، سودان و امارات متحده عربی هستند.