معرفی

ظهور گروه‌های جدید هک و تکامل گروه‌های قدیمی‌تر

هرساله گروه‌های هک رشد چشمگیری دارند و از سال گذشته تاکنون، محققان امنیتی شاهد ظهور گروه‌های جدید به همراه شیوه‌های جدید در اجرای حملات سایبری بوده‌اند. شرکت امنیتی Group-IB واقع در سنگاپور در یک گزارش که به تازگی منتشر کرده است، تغییرات اساسی در طیف تهدیدهای فناوری پیشرفته ثبت شده از نیمه دوم سال ۲۰۱۸ و نیمه اول سال ۲۰۱۹ را توصیف می‌کند. در ادامه به خلاصه این گزارش خواهیم پرداخت.

ظهور گروه‌های جدید هک و تکامل گروه‌های قدیمی‌تر

گروه RedCurl، دشمنی جدید

در سال ۲۰۱۹ حملات گروه RedCurl در برابر شرکت‌های بیمه، مشاوران، معادن، صنعت آهن، خرده فروشی‌ها و شرکت‌های ساخت‌وساز با جاسوسی و اهداف سرقت مالی مشاهده شده است.

شرکت Group-IB اظهار کرده است که این گروه از توانایی‌های بالایی برخوردار بوده و شناسایی آن بسیار دشوار است. چیزی که به RedCurl اجازه پنهان شدن در رادار‌ها و سامانه‌های امنیتی را می‌دهد، استفاده از سرویس‌های قانونی برای برقراری ارتباط با سرور‌های کنترل و فرمان خود است.

این گروه برای انجام فعالیت‌های مخرب خود متکی به یک تروجان سفارشی است و تمرکز اصلی آن روی سرقت اسناد مهم از قربانی و سپس نصب استخراج‌ کننده‌های XMRIG برای استخراج ارز دیجیتالی مونرو در دستگاه قربانی است. همچنین با توجه به اطلاعات سرقت شده از قربانیان، به نظر می‌رسد که RedCurl علاقه‌مند به قراردادها و اطلاعات مربوط به پرداخت‌ باشد.

یکی از مشخصه‌های مهم این گروه توانایی و کیفیت بالا در انجام حملات فیشینگ است. این گروه هر پیام را پیش از ارسال به قربانی تنظیم می‌کند (هر پیام مخصوص یک نفر) تا میزان اثرگذاری آن را بالا ببرد.

تا این لحظه موضع گروه RedCurl مبنی بر اینکه یک گروه مجرم سایبری یا یک گروه هک دولتی است، مشخص نشده، اما با این حال، شرکت Group-IB در تلاش است تا با بررسی ابزار‌ها، تکنیک‌ها و اعمال این گروه اطلاعات بیشتری درباره آن کسب کند.

اکثر قربانیان این گروه متعلق به اروپای شرقی هستند و تنها یکی از قربانیان شرکتی در آمریکای شمالی قرار دارد. با توجه زبان استفاده شده در اسناد و سرویس‌های استفاده شده برای راه‌اندازی سرور ایمیل، حداقل یکی از اعضای این گروه به زبان روسی صحبت می‌کند.

 

مهاجمان پول محور

شرکت Group-IB از پنج گروه هک نام برده است که به‌صورت فعال در حملات علیه موسسات مالی نقش داشته‌اند. سه مورد از این گروه‌ها با نام‌های Cobalt، Silence و MoneyTaker توسط افراد روسی زبان اداره می‌شوند. دو مورد دیگر هم گروه‌های Lazarus و SilentCard هستند.

در حالی که گروه‌های دیگری هم وجود دارند که بخش‌های مالی را هدف می‌گیرند، اما شرکت Group-IB این پنج گروه را مهم‌ترین گروه‌ها دانسته و اظهار کرده که تنها این پنج گروه می‌توانند موجب ایجاد صدمات جدی شوند.

این گروه‌ها معمولا زمان زیادی را داخل شبکه‌های در معرض خطر برای یادگیری روش‌های کارآمد صرف می‌کنند تا با استفاده از آن‌ها عملیات خود را اجرا کنند.

گروه SilentCard، گروهی جدید از کشور کنیا است که بانک‌ها را هدف می‌دهد و تاکنون بسیار موفق عمل کرده است. محققان دریافته‌اند که این گروه به صورت محلی اداره می‌شود و در دو سرقت موفق نقش داشته است.

 

مهاجمان مورد حمایت دولت

مهاجمان مورد حمایت دولت که معمولا با نام گروه‌های APT به‌معنی تهدیدهای پیشرفته و مستمر شناخته می‌شوند هم مشغول بوده‌اند. از بین ۳۸ گروهی که طی مدت زمانی خاص فعالیت داشته‌اند، تنها ۷ مورد کشف شده‌اند که عملیات جاسوسی سایبری انجام می‌داده‌اند.

یکی از این گروه‌ها Windshift است که ابزار‌ها و شیوه‌های آن در سال ۲۰۱۸ مورد بررسی قرار گرفته است. با این حال، این گروه از سال ۲۰۱۷ در حال فعالیت بوده و کارمندان آژانس‌های دولتی و امکانات مهم زیرساختی را در خاورمیانه مورد هدف قرار داده است.

همچنین گروهی موسوم به Blue Mushroom از سال ۲۰۱۱ در حال فعالیت بوده که با این حال از اواسط سال ۲۰۱۸، از سوی شرکت‌های امنیتی مورد توجه قرار گرفته است. اهداف این گروه در صنعت هسته‌ای و تحقیقات علمی است.

یکی دیگر از گروه‌های مهم در این دسته، Gallmaker نام دارد که با وجود اینکه حداقل از دسامبر ۲۰۱۷ فعالیت خود را آغاز کرده، اما اولین‌بار در سال ۲۰۱۸ مورد شناسایی قرار گرفته است. این گروه برای اجرای حملات خود علیه اهداف دولتی و نظامی متکی به ابزار living-off-the-land است.

تحقیقات انجام شده توسط Qiho360، در اوایل سال جاری از کشف گروهی به نام APT-C-36 یا Blind Eagle خبر داد. این گروه که از آمریکای جنوبی پشتیبانی می‌شود و روی اهدافی از جمله سرقت اسرار تجاری از شرکت‌های مهم و سازمان‌های دولتی تمرکز دارد.

گروه Whitefly نیز معمولا نهاد‌های مستقر در سنگاپور، از جمله نهاد‌های درمانی، رسانه، ارتباطات و بخش‌های مهندسی را هدف می‌دهد. اگرچه فعالیت این گروه تا سال ۲۰۱۷ قابل ردیابی بوده، اما بزرگترین هک سازمان عمومی سلامت سنگاپور در جولای ۲۰۱۸ که اطلاعات ۱.۵ میلیون بیمار به‌سرقت رفته بود، توسط این گروه انجام شده است.

گروه Hexane یا Lyceum علاقه‌مند به سازمان‌های زیرساختی مهم در خاورمیانه است و اولین‌بار در ماه اوت سال جاری کشف شد؛ اما با این حال آغاز فعالیت آن به مدت‌ها پیش از این تاریخ بر می‌گردد.

هفتمین گروه APT با توجه به اینکه اطلاعات کمی درباره آن وجود دارد، هنوز ناشناخته مانده است. این گروه که با نام TajMahal شناخته می‌شود، بنابر اظهارات کسپرسکی با ۸۰ ماژول برای در معرض خطر قرار دادن یک نهاد دیپلماتیک در آسیای مرکزی، حملاتی را انجام داده است.

 

تشدید جنگ‌های سایبری

امنیت سایبری اخیراً به عنوان موضوعی مشترک برای رهبران سیاسی و پایه اصلی عملیات نظامی بدل شده است. سوابق حملات نشان می‌دهند که این حملات در حال از دست دادن پوشش (پنهانکاری) خود هستند.

روی آوردن دولت‌ها به ابزار‌های دیجیتال برای ایجاد اختلال در فعالیت‌های دشمنان در دنیای امروز، دیگر تنها یک پیش‌بینی نیست و به واقعیت بدل شده است. به عنوان مثال چندین نیروگاه با حملاتی از سوی هکرها مواجه بوده‌اند که هیچ سود مالی برای هکرها نداشته است.

بزرگترین تلافی با استفاده از ابزار‌های دیجیتال علیه دشمنان، در طول تابستان امسال توسط ایالات متحده پس از از کار انداختن پهپاد و حمله به نفتکش‌های آمریکا توسط ایران انجام شده است.

 

 

توضیحات بیشتر در:

Advanced Hacking Groups Keep Showing Up, Old Ones Evolve

 

 

گروه خبر سرتفا
گروه خبر سرتفا

یکی از اهداف سرتفا، انتشار سریع اخبار مربوط به رویدادها و رخدادهای حوزه امنیت سایبری است. بر همین اساس، گروه خبر سرتفا پس انتخاب اخبار از منابع رسمی و معتبر بین‌المللی، اقدام به ترجمه، ویرایش و ساده‌سازی خبر برای مخاطبان این حوزه می‌کند.

آیا با قوانین شرایط استفاده از کلیه خدمات وب‌سایت سرتفا موافق هستید؟ بله ✔ خیر ✘ مطالعه !