گروهی از هکرهای روسی که گفته میشود پیش از این در برگزاری انتخابات ریاست جمهوری آمریکا نیز اختلالاتی را ایجاد کرده بودند حالا بهرهبرداری از حفره امنیتی ویندوز که باعث قدرت گرفتن باج افزار WannaCry و Petya شده بود را آغاز کردهاند. این گروه هکری از این راهکار برای طراحی و اجرای حملات سایبری علیه هتلهای مستقر در اروپا و خاورمیانه استفاده کردهاند.
محققان شرکت امنیتی FireEye موفق به رهگیری کمپینی شدهاند که در قالب آن گروه هکرهای روسی APT28 که از آنها با عنوان Fancy Bear هم یاد میشود حملات از راه دوری را برای سرقت اطلاعات و مشخصات مشتریان هتلهای اروپایی از طریق نفوذ به شبکههای وایفای این اماکن پیادهسازی کردهاند. گفته میشود این سازمان هکری با آژانسهای اطلاعاتی ارتش روسیه در ارتباط است.
در قالب این حملات از EternalBlue به عنوان حفره امنیتی که دسترسی به پروتکلهای شبکهای SMB را فراهم میکند استفاده شده است. این حفره امنیتی از جمله مواردی است که توسط سرویس امنیتی ایالات متحده آمریکا شناسایی شده و از طرف NSA بهمنظور نظارت بر کاربران استفاده میشده است. افشای اطلاعات مربوط به این حفره امنیتی توسط گروه هکری Shadow Brokers انجام شده بود.
با توجه به عرضه عمومی کدهای مرتبط با این حفره امنیتی، مدت زمان کوتاهی نیاز بود تا نفوذگران در طراحی باجافزارهایی نظیر WannaCry یا نمونه پس از آن یعنی Petya بهرهبرداری از آن را آغاز کنند.
علاوه بر این، گروههای مختلفی از مجرمان سایبری نیز بارها تلاش کردهاند تا از EternalBlue به منظور تقویت عملکرد بدافزارهای توسعه یافته خود استفاده کنند. با وجود این، در حال حاضر برای اولین بار خبرهایی در خصوص تلاش APT28 برای استفاده از این حفره امنیتی به گوش میرسد.
Cristiana Brafman Kittner تحلیلگر ارشد در FireEye در گفتگو با وبسایت ZDNet میگوید:
این اولین باری است که استفاده APT28 را از این حفره امنیتی رصد میکنیم. آنطور که از تحقیقات ما مشخص است راهکار توسعه یافته توسط این گروه از نفوذگران، برپایه استفاده از نسخه عمومی کدهای منتشرشده، به مرحله بهرهبرداری رسیده است.
این حملات با کمپینهای فیشینگ، طراحی و راهاندازی شدهاند. حملات این گروه از نفوذگران در حال حاضر حداقل در هتلهای هفت کشور اروپایی و یک کشور خاورمیانهای رصد شده است. نفوذگران ایمیلهای ارسالی خود را به نحوی طراحی میکنند تا امکان نفوذ به شبکههای این هتلها را فراهم کند.
پیامهای ارسالی حاوی مستندی آلوده با عنوان "Hotel_Reservation_From.doc" هستند. در این ایمیل ماکرویی تعبیه شده که در صورت اجرای موفق، رمزگشایی و استفاده از GameFish را آغاز میکند. محققان از GameFish به عنوان بدافزار شاخص و ویژه گروه APT28 یاد میکنند.
با نصب GameFish روی شبکه وای فای، استفاده از EternalBlue آغاز میشود تا خزش در شبکه آغاز شده و کامپیوترهایی که کنترل شبکههای وای فای داخلی و نمونههای ویژه مهمانان را برعهده دارند شنایی شوند. پس از این مرحله، بدافزار یادشده از ابزاری منبع باز استفاده کرده تا اطلاعات و رمزهایی که از طریق شبکه بیسیم مبادله میشود را سرقت کند.
FireEye مدعی شده با پیادهسازی حملات علیه کل شبکه، مهمانان و مشتریان هتلها هدف قرار خواهند گرفت. پیش از این دولتها، سازمانها و شرکتهای مختلف نیز در لیست اهداف APT28 قرار گرفته بودند.
به عنوان یک نمونه عینی، محققان در بررسیهای خود با موردی روبرو شدهاند که در آن یکی از قربانیان بعد از اتصال به شبکه وایفای هتلی در اروپا، هدف حملات نفوذگران قرارگرفته است. البته در این مورد، نفوذگران بلافاصله وارد عمل نشدهاند و دسترسی از راه دور به اطلاعات کاربر، پس از ۱۲ ساعت آغاز شده است. نکته قابل توجه اینکه با بررسیهای بیشتر مشخص شد دستگاه استفاده شده توسط نفوذگران، از نظر فیزیکی در نزدیکی سیستم قربانی قرارگرفته و از همان شبکه وایفای استفاده میکند.
در این روش، نفوذ به کاربرانی که از تایید یک مرحلهای مشخصات برای ورود به سرویسهای مختلف استفاده میکنند در دستورکار قرار گرفته است. این در حالی است که فعالسازی سیستم تایید دومرحلهای هویت، کار را برای نفوذگران دشوارتر خواهد کرد.
راهکار شناسایی شده توسط تحلیلگران، شباهت زیادی با تکنیکهای استفاده شده توسط نفوذگران در حملات DarkHotel دارد. گروه نفوذگری که حملات DarkHotel را پیادهسازی کرده بود نیز با نفوذ به شبکههای وایفای هتلها و ترکیب آن با حملات فیشینگ موفق شده بود به اهداف از پیش تعیین شده دسترسی پیدا کند.
FireEye هشدار داده که شبکههای وایفای با امکان دسترسی عموم افراد میتوانند تهدیدی جدی برای امنیت کاربران باشند. از همین رو پیشنهاد میشود تا حد امکان از اتصال به این شبکهها خودداری شود.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت