شرکت امنیت سایبری رومانیایی بیتدیفندر میگوید یک گروه سایبری جدید- که گفته میشود با چین ارتباط دارد- از سال ۲۰۱۸ به سازمانهای نظامی و دولتی کشورهای دریای چین جنوبی حمله سایبری میکند.
براساس گزارش این شرکت در ۲۲ مه، محققان بیتدیفندر عامل تهدید را «مه روشن دریا» نامیده و خاطرنشان کردند که عملیات این گروه در راستای منافع ژئوپلیتیک چین و با تمرکز بر جاسوسی انجام میگیرد. اهداف و ماهیت حملات از همسویی این گروه با منافع چین حکایت دارد.
به گفته محققان بیتدیفندر، این گروه زرادخانه پیچیدهای از بدافزارها و ابزارهای سفارشی برای خود ساخته و یکی از تکنیکهای آن با گروه جاسوسی ایپیتی۴۱، از گروههای سایبری مورد حمایت چین- همپوشانی دارد.
در این گزارش آمده که «همپوشانی دیگری با ابزارهای معروف ایپیتی۴۱ وجود ندارد و این شباهت میتواند نشانه کدگذاری مشترک در عرصه تهدیدات سایبری چین باشد.»
ایپیتی۴۱ یکی از بیشمار تهدیدات پیشرفته مستمر چین است که اقدامات سایبری مخربی را در مورد مؤسسات، شرکتها و دولتهای غربی انجام داده است. ایپیتی۱۰ و ایپیتی۴۰ نیز جزو همین دسته هستند. در حال حاضر، پنج شهروند چینی به اتهام ارتباط با ایپیتی۴۱ در فهرست تحت تعقیب افبیآی قرار دارند. این افراد در سال ۲۰۲۰ به دست داشتن در کارزارهای سایبری برای سرقت اسرار تجاری و اطلاعات حساس از بیش از ۱۰۰ شرکت و نهاد مختلف در سراسر جهان متهم شدند.
در این گزارش آمده که «مه روشن دریا» از سال ۲۰۱۸ دستکم ۸ قربانی داشته که عمدتاً اهداف نظامی و دولتی بودهاند و بهطور مکرر به سامانههای هدف نفوذ کرده است.»
یکی از ترفندهای این گروه برای نفوذ به سامانههای هدف، ارسال ایمیلهای فیشینگ به همراه آرشیوهای زیپ بود. در گزارش فوق آمده که «این آرشیوها حاوی فایلهای الانکی بودند که خود را به شکل فایلهای عادی نشان میدادند و هرگونه کلیک روی فایلهای الانکی باعث میشد که دستورات مخرب به اجرا درآیند.»
براساس این گزارش، آرشیوهای زیپ با عنوان «دیتا»، «داک» و «استارتکآپ_فاینال» نامگذاری میشدند.
مهاجمان از مارس ۲۰۲۴ به استفاده از نامهای جدید روی آوردند که برای نمونه میتوان به «آسانژ_دشمن_ایالات_متحده_در_اسناد۱۰۲_پنتاگون» و «ریاستجمهوری باراک اوباما» اشاره کرد. سایر آرشیوها نیز برای گمراهی کاربر با عناوین «اینستالر»، «آپدیتر» و «اسناد مایکروسافت ویندوز دیفندر» نامگذاری شدند.
«مه روشن دریا» پس از دسترسی به سامانههای هدف از مجموعه ابزارهای سفارشی و پیشساخته خود برای گردآوری دادهها استفاده میکرد.
یکی از ابزارهای سفارشی این گروه کلیدنگار «ایکسکیلاگ» بود که برای دسترسی به دادههای مربوط به تایپ در کامپیوتر قربانی مورد استفاده قرار میگرفت. یکی دیگر از ابزارهای سفارشی آنها دادهکاو مرورگر بود که برای دسترسی به دادههای ذخیرهشده در گوگل کروم، فایرفاکس، مایکروسافت اج یا اینترنت اکسپلورر به کار گرفته میشد.
سومین ابزار سفارشی گروه به مهاجمان کمک میکرد که دستگاههای متصل به سیستم قربانی را تحت کنترل خود درآورند. این ابزار هر ۱۰ ثانیه یکبار اتصال دستگاههای جدید را بررسی میکند. اگر یک دستگاه پرتابل یا یواسبی به سیستم متصل شود، جزئیات مربوط به دستگاه گردآوری شده و با استفاده از درخواست دریافت اچتیتیپی به سروری که در اختیار مهاجم قرار دارد فرستاده میشود.
براساس این گزارش، «مه روشن دریا» دادههای برنامههای پیامرسان تلگرام و وایبر را نیز گردآوری کرده است. این گروه همچنین از ابزار فشردهسازی «رار» برای گردآوری دستی دادهها استفاده میکند.
در این گزارش آمده است: «ترکیب ابزارهای سفارشی و پیشساخته و استخراج دستی دادهها، از وجود یک کارزار جاسوسی هدفمند برای بیرون کشیدن اطلاعات حساس از سیستمهای ناایمن حکایت دارد.»
این گروه بیش از پنج سال ناشناس ماند که در این گزارش «نگرانکننده» خوانده شده است. مهاجمان این گروه نیز «رویکرد پیچیدهای برای حملات سایبری خود دارند.»
محققان یافتههای خود را بهطور علنی منتشر کردند تا نهادهای امنیتی برای شناسایی و مختل کردن اقدامات جاسوسی آنها از اطلاعات کافی برخوردار باشند.
این گزارش با چند توصیه درباره نحوه کاهش خطرات مرتبط با «مه روشن دریا» و دیگر عوامل تهدید به پایان رسید. توجه به مدیریت پچ، استفاده از رمزهای عبور قوی، کنترل ترافیک شبکه و همکاری با نهادهای امنیت سایبری از جمله توصیههای محققان بیتدیفندر هستند.
چین در حال حاضر بر سر صخرهها، جزایر و آبتلهای مرجانی دریای چین جنوبی با برونئی، مالزی، فیلیپین، ویتنام و تایوان اختلاف سرزمینی دارد. حکم بینالمللی سال ۲۰۱۶ بر ادعای «خطوط نهگانه» پکن درخصوص ۸۵ درصد از دریای چین جنوبی خط بطلان کشید.
فیلیپین در ماه فوریه خبر داد که هکرهای چینی سعی کردند به وبسایتهای کشور و سامانه ایمیل رئیسجمهور و نهادهای دولتی نفوذ کنند.
