ویکی‌لیکس از ارتباط 40 حملۀ سایبری با نرم‌افزارهای مورد استفادۀ CIA پرده برداشت

ویکی‌لیکس از ارتباط 40 حملۀ سایبری با نرم‌افزارهای مورد استفادۀ CIA پرده برداشت

حملات سایبری هدفمند اخیر، شرکت‌ها، سازمان‌های بین‌المللی و حتی کاربران عادی را نگران کرده‌اند؛ موج جدید حملات سایبری، گویای ظهور نسل جدیدی از هکرهای فوق حرفه‌ای است! ویکی‌لیکس با پیگیری در مورد این حملات، به نتایج جالبی دست پیدا کرده و آن‌ها را با عموم کاربران اینترنتی درمیان گذاشته است. برای اطلاع از نتایج تحقیقات ویکی‌لیکس، در ادامه با سکان‌آکادمی همراه باشید.

Wikileaks از ارتباط 40 حملۀ سایبری با نرم‌افزارهای مورد استفادۀ CIA پرده برداشت؛ تیمی از محققان شرکت سایمنتِک به رازی در رابطه با 40 حملۀ سایبری دستیابی پیدا کردند. آن‌ها فهمیدند که این حملات سایبری توسط گروه لانگ‌هورن برای نرم‌افزارهای هک مورداستفادۀ سازمان CIA سازماندهی شده است. این ارتباط، در مجموعه اسناد Vault 7 توسط ویکی‌لیکس منتشر شد. محققان متوجه شدند شباهت قابل‌توجهی میان ابزارها و روش‌های انجام هک که در Vault 7 توضیح داده شده با ابزارها و روش‌های به‌ کار گرفته شده توسط گروه لانگ‌هورن وجود دارد.

در یک ماه اخیر، موارد متعددی از نرم‌افزارهای هک مورد استفادۀ CIA در قالب مجموعه اسناد Vault 7 توسط ویکی‌لیکس، به‌صورت عمومی منتشر شده است و هیچ تعجبی هم ندارد -به‌خاطر تشبهات ساختاری- اگر عموم مردم نرم‌افزارهای هک مورد استفادۀ CIA  را به حملات سایبری اخیر ارتباط دهند!

تیم محققان شرکت سایمنتِک این نرم‌افزارها را آنالیز کردند و موفق شدند ارتباط آن‌ها را با 40 حملۀ سایبری در 16 کشور مختلف کشف کنند. این حملات توسط گروه متخصص جاسوسی سایبری موسوم به Longhorn (لانگ‌هورن) انجام شده است. محققان متوجه شدند شباهت خاصی میان نرم‌افزارهای مورد استفادۀ لانگ‌هورن و مشخصات فنی و روش‌های کارِ ارائه شده در مجموعه اسناد والت 7 وجود دارد.

گروه لانگ‌هورن از سال 2011 فعالیت می‌کند و در این مدت از تروجان، باگ‌های سریع (Zero-Day) برای هدف قراردادن دولتِ کشور مورد نظر، سازمان‌های بین‌المللی، شرکت‌های مالی، شرکت‌های ارتباطی و مخابراتی، و ارگان‌های مرتبط با فناوری اطلاعات (IT) استفاده کرده است.

در پست‌های وبلاگ لانگ‌هورن، محققان متوجه شباهت خاصی میان این گروه هکری و نرم‌افزارهای مورد اشاره در والت 7 شدند. این شباهت، این شک را تقویت می‌کند که فعالیت‌های گروه لانگ‌هورن و انتشار اسناد والت 7، توسط یک گروه انجام شده است.

منشأ این اتهام کجا است؟
در بخشی از اسناد والت 7، جدولی از مراحل توسعۀ نرم‌افزاری تحت عنوان Fluxwire (فلوکس‌وایر) آمده است؛ محققان به این نتیجه رسیدند که این جدول زمانی، با مراحل توسعۀ نرم‌افزار Trojan.Corentry -نرم‌افزار مورد استفادۀ گروه لانگ‌هورن- منطبق است.

محققان اعلام کردند امکانات جدید نرم‌افزار Trojan.Corentry، در نمونه‌هایی که شرکت سایمنتِک مورد مطالعه قرار داده است، دقیقاً در همان تاریخی که در اسناد والت 7 اشاره شده است، یا چند روز بعد از آن تاریخ، به نرم‌افزار کارنتری اضافه شده‌اند. به‌این‌ترتیب، آن‌ها حدس زدند که بدافزاری که در اسناد والت 7 توضیح داده و معرفی می‌شود، کارنتری باشد.

در سند دیگری در والت 7، سیستم هدف‌گیریِ Fire & Forget توصیف و تبیین می‌شود؛ در اینجا به‌طور خاص، نرم‌افزاری تحت عنوان Archangel (آرکانجل) با کاربرد افزایش حجم اطلاعات مورد استفادۀ کاربر معرفی می‌شود. محققان سایمنتِک، اطلاعات فنی اشاره‌شده در رابطه با افزایش حجم اطلاعات (نرم‌افزار آرکانجل) را با نرم‌افزار مورد استفادۀ لانگ‌هورن تحت عنوان Backdoor.Plexor (بک‌دور پلِکسور) مطابقت دادند.

به‌علاوه، محققان میان شیوه‌های رمزنگاری لانگ‌هورن و شیوه‌های رمزنگاری اشاره‌ شده در اسناد والت 7، مشابهت پیدا کردند که عبارتند از: استفاده از AES در سیستم 32 بیتی، استفاده از کلید رمزنگاری یک‌بار مصرف در هر کانکشن و استفاده از رمزنگاری داخلی از طریق SSL، برای پیشگیری از حملۀ MITM.

لانگ‌هورن اولین بار درسال 2014 در محدودۀ رادار سایمنتِک قرار گرفت؛ لانگ‌هورن در تلاش بود تا با استفاده از نرم‌افزار پلکسور، هدفی را مورد بهره‌برداری اطلاعاتی قرار دهد. این بدافزار، نشانه‌هایی از یک جاسوسی سایبری گروهیِ پیچیده را نشان داد. نحوۀ عملکرد این گروه جاسوسی گویای این بود که آن‌ها از محیط هدف مورد نظرشان، یکسری اطلاعات ابتدایی دارند. این گروه 4 بدافزار متفاوت را مورد استفاده قرار داد که عبارتند از کارنتری، پلکسور، بک‌دور تروجان ال‌اچ یک، و بک‌دور تروجان ال‌اچ دو.

قبل از انتشار مجموعه اسناد والت 7، سایمنتِک گروه لانگ‌هورن را سازمانی تلقی می‌کرد که دارای منابع اطلاعاتی قابل‌توجه برای استفاده در عملیات جاسوسی است. محققان معتقدند لانگ‌هورن از مجموعه‌ای از بدافزارهای پیشرفته و آسیب‌رسان‌های سریع (Zero-Day) برای نفوذ در شبکه‌ای از اهداف جهانی استفاده می‌کند.

لانگ‌هورن به‌دلیل ترکیب نرم‌افزارها، تکنیک‌ها و متودولوژی‌های ابداعی، به گروهی متمایز و خاص تبدیل شده است و کیفیت کار این گروه، کوچکترین شکی درمورد ارتباط آن‌ها با والت 7 باقی نمی‌گذارد!

منبع