تشریح اقدامات سایبری-جاسوسیِ گروه CopyKittens

 تشریح اقدامات سایبری-جاسوسیِ گروه CopyKittens

محققان امنیتی پویش سایبری بزرگی را کشف کردند که به‌طور ویژه افراد مختلف در بخش‌های دولتی، دفاعی و آموزشی در کشورهای مختلف را هدف قرار داده‌اند. گفته می‌شود این حملات توسط یک گروه نفوذ ایرانی انجام شده است. هرچند گزارش این بررسی توسط شرکت ترندمیکرو و یک شرکت امنیتی از رژیم صهیونیستی صورت گرفته است.

محققان این گروه را CopyKittens نام‌گذاری کرده و گفته می‌شود عوامل آن حداقل از سال ۲۰۱۳ میلادی فعالیت‌های خود را آغاز کرده‌اند. لازم به ذکر است که این گروه نفوذ، افراد و سازمان‌ها را در کشورهایی همچون رژیم صهیونیستی، عربستان سعودی، ترکیه، آمریکا، اردن و آلمان هدف قرار داده است.

سازمان‌های هدف شامل نهادهای دولتی مانند وزارت امور خارجه، شرکت‌های دفاعی، شرکت‌های بزرگ فناوری اطلاعات، مؤسسات علمی، وزارت دفاع و مقامات شهرداری و کارمندان سازمان ملل متحد هستند. در آخرین گزارش محققان امنیتی، ابزارها و روش‌های حمله و زیرساخت‌های دستور و کنترل توضیح داده شده است.

   تشریح اقدامات سایبری-جاسوسیِ گروه CopyKittens

فرآیند آلودگی CopyKittens در دستگاه‌ها

این گروه از روش‌های مختلفی برای آلوده کردن دستگاه‌های هدف استفاده می‌کند که یکی از آن‌ها واترینگ‌هُل است. در این روش کدهای جاوا اسکریپت در وب‌گاه‌های هدف تزریق می‌شود تا بهره‌برداری‎های مختلف را توزیع کنند. علاوه بر حملات واترینگ‌هُل، برخی روشهای دیگر CopyKittens برای توزیع بدافزار عبارتند از :

  • رایانامه‌هایی که در آن‌ها پیوندی به وب‌گاه‌های مهاجمان وجود دارد.
  • اسناد آفیس که در آن‌ها از جدیدترین آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۷-۰۱۹۹ بهره‌برداری می‌شود.
  • بهره‌برداری از کارگزارهای وب با استفاده از پویشگرهای آسیب‌پذیری و ابزارهای SQLi.
  • استفاده از رکوردهای رسانه‌ای-اجتماعی جعلی برای جلب اعتماد هدف‌ها و ارسال پیوندهای مخرب به آن‌ها.

ترندمیکرو در توضیحات خود نوشته است: «این گروه از ترکیبی از روش‌ها برای هدف قرار دادن سامانه‌ها و بسترهای مختلف استفاده می‌کند تا یک ارتباط موفق با آن برقرار کرده و بتواند آلودگی خود را توزیع کند.» برای آلوده کردن سامانه‌های هدف، گروه CopyKittens از ابزارها و بدافزارهای خاص خود استفاده کرده و از سایر ابزارهای تجاری نیز بهره می‌برد.

بدافزاری با نام Matryoshka تروجان دسترسی از راه دوری است که این گروه توسعه داده و از پروتکل DNS برای ارتباطات دستور و کنترل خود استفاده می‌کند. این بدافزار قابلیت‌هایی مانند سرقت گذرواژه‌ها، اسکرین گرفتن از صفحه‌ی نمایش، ضبط کلیدهای فشرده‌شده جمع‌آوری و بارگذاری پرونده‌ها و ارائه‌ی دسترسی به شِل Meterpreter را دارا می‌باشد.

 تشریح اقدامات سایبری-جاسوسیِ گروه CopyKittens

اولین نسخه از این بدافزار در سال ۲۰۱۵ میلادی مورد بررسی قرار گرفت و از جولای سال ۲۰۱۶ میلادی تا ژانویه‌ی ۲۰۱۷ در دنیای واقعی استفاده از آن مشاهده شده است. پس از آن نیز این گروه نسخه‌ی ۲ از بدافزار Matryoshka را توسعه داده و از آن استفاده کرده‌اند. به کاربران توصیه شده برای جلوگیری از در خطر قرار گرفتن حساب‌های کاربری، احراز هویت دو-عاملی را فعال کنند.

منبع:

www.news.asis.io

مطالب مرتبط

نظر خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *