حملات سایبری هدفمند اخیر، شرکتها، سازمانهای بینالمللی و حتی کاربران عادی را نگران کردهاند؛ موج جدید حملات سایبری، گویای ظهور نسل جدیدی از هکرهای فوق حرفهای است! ویکیلیکس با پیگیری در مورد این حملات، به نتایج جالبی دست پیدا کرده و آنها را با عموم کاربران اینترنتی درمیان گذاشته است. برای اطلاع از نتایج تحقیقات ویکیلیکس، در ادامه با سکانآکادمی همراه باشید.
Wikileaks از ارتباط 40 حملۀ سایبری با نرمافزارهای مورد استفادۀ CIA پرده برداشت؛ تیمی از محققان شرکت سایمنتِک به رازی در رابطه با 40 حملۀ سایبری دستیابی پیدا کردند. آنها فهمیدند که این حملات سایبری توسط گروه لانگهورن برای نرمافزارهای هک مورداستفادۀ سازمان CIA سازماندهی شده است. این ارتباط، در مجموعه اسناد Vault 7 توسط ویکیلیکس منتشر شد. محققان متوجه شدند شباهت قابلتوجهی میان ابزارها و روشهای انجام هک که در Vault 7 توضیح داده شده با ابزارها و روشهای به کار گرفته شده توسط گروه لانگهورن وجود دارد.
در یک ماه اخیر، موارد متعددی از نرمافزارهای هک مورد استفادۀ CIA در قالب مجموعه اسناد Vault 7 توسط ویکیلیکس، بهصورت عمومی منتشر شده است و هیچ تعجبی هم ندارد -بهخاطر تشبهات ساختاری- اگر عموم مردم نرمافزارهای هک مورد استفادۀ CIA را به حملات سایبری اخیر ارتباط دهند!
تیم محققان شرکت سایمنتِک این نرمافزارها را آنالیز کردند و موفق شدند ارتباط آنها را با 40 حملۀ سایبری در 16 کشور مختلف کشف کنند. این حملات توسط گروه متخصص جاسوسی سایبری موسوم به Longhorn (لانگهورن) انجام شده است. محققان متوجه شدند شباهت خاصی میان نرمافزارهای مورد استفادۀ لانگهورن و مشخصات فنی و روشهای کارِ ارائه شده در مجموعه اسناد والت 7 وجود دارد.
گروه لانگهورن از سال 2011 فعالیت میکند و در این مدت از تروجان، باگهای سریع (Zero-Day) برای هدف قراردادن دولتِ کشور مورد نظر، سازمانهای بینالمللی، شرکتهای مالی، شرکتهای ارتباطی و مخابراتی، و ارگانهای مرتبط با فناوری اطلاعات (IT) استفاده کرده است.
در پستهای وبلاگ لانگهورن، محققان متوجه شباهت خاصی میان این گروه هکری و نرمافزارهای مورد اشاره در والت 7 شدند. این شباهت، این شک را تقویت میکند که فعالیتهای گروه لانگهورن و انتشار اسناد والت 7، توسط یک گروه انجام شده است.
منشأ این اتهام کجا است؟
در بخشی از اسناد والت 7، جدولی از مراحل توسعۀ نرمافزاری تحت عنوان Fluxwire (فلوکسوایر) آمده است؛ محققان به این نتیجه رسیدند که این جدول زمانی، با مراحل توسعۀ نرمافزار Trojan.Corentry -نرمافزار مورد استفادۀ گروه لانگهورن- منطبق است.
محققان اعلام کردند امکانات جدید نرمافزار Trojan.Corentry، در نمونههایی که شرکت سایمنتِک مورد مطالعه قرار داده است، دقیقاً در همان تاریخی که در اسناد والت 7 اشاره شده است، یا چند روز بعد از آن تاریخ، به نرمافزار کارنتری اضافه شدهاند. بهاینترتیب، آنها حدس زدند که بدافزاری که در اسناد والت 7 توضیح داده و معرفی میشود، کارنتری باشد.
در سند دیگری در والت 7، سیستم هدفگیریِ Fire & Forget توصیف و تبیین میشود؛ در اینجا بهطور خاص، نرمافزاری تحت عنوان Archangel (آرکانجل) با کاربرد افزایش حجم اطلاعات مورد استفادۀ کاربر معرفی میشود. محققان سایمنتِک، اطلاعات فنی اشارهشده در رابطه با افزایش حجم اطلاعات (نرمافزار آرکانجل) را با نرمافزار مورد استفادۀ لانگهورن تحت عنوان Backdoor.Plexor (بکدور پلِکسور) مطابقت دادند.
بهعلاوه، محققان میان شیوههای رمزنگاری لانگهورن و شیوههای رمزنگاری اشاره شده در اسناد والت 7، مشابهت پیدا کردند که عبارتند از: استفاده از AES در سیستم 32 بیتی، استفاده از کلید رمزنگاری یکبار مصرف در هر کانکشن و استفاده از رمزنگاری داخلی از طریق SSL، برای پیشگیری از حملۀ MITM.
لانگهورن اولین بار درسال 2014 در محدودۀ رادار سایمنتِک قرار گرفت؛ لانگهورن در تلاش بود تا با استفاده از نرمافزار پلکسور، هدفی را مورد بهرهبرداری اطلاعاتی قرار دهد. این بدافزار، نشانههایی از یک جاسوسی سایبری گروهیِ پیچیده را نشان داد. نحوۀ عملکرد این گروه جاسوسی گویای این بود که آنها از محیط هدف مورد نظرشان، یکسری اطلاعات ابتدایی دارند. این گروه 4 بدافزار متفاوت را مورد استفاده قرار داد که عبارتند از کارنتری، پلکسور، بکدور تروجان الاچ یک، و بکدور تروجان الاچ دو.
قبل از انتشار مجموعه اسناد والت 7، سایمنتِک گروه لانگهورن را سازمانی تلقی میکرد که دارای منابع اطلاعاتی قابلتوجه برای استفاده در عملیات جاسوسی است. محققان معتقدند لانگهورن از مجموعهای از بدافزارهای پیشرفته و آسیبرسانهای سریع (Zero-Day) برای نفوذ در شبکهای از اهداف جهانی استفاده میکند.
لانگهورن بهدلیل ترکیب نرمافزارها، تکنیکها و متودولوژیهای ابداعی، به گروهی متمایز و خاص تبدیل شده است و کیفیت کار این گروه، کوچکترین شکی درمورد ارتباط آنها با والت 7 باقی نمیگذارد!
